立冬了,养生早餐吃起来!
各位 Buffer 早上好,今天是 2017 年 11 月 9 日 星期四,今天份的 BUF 早餐内容有:11 月谷歌修复日,修复多个漏洞;新曝光的 SowBug 间谍组织自 2015 年起就不断窃取外交机密;不知名用户触发 Parity 以太币钱包的源代码漏洞,导致约 2.85 亿美元资金冻结;MantisTek GK2键盘内置键盘记录器,数据被传到中国;Linux 出现 USB 驱动安全问题;IEEE P1735 加密标准出现问题,可能导致 IP 泄露;现金贷数据江湖:1.5元买到一条借款人信息。
以下请看详细信息:
【国际时事】 11 月谷歌修复日,修复多个漏洞
本周一是谷歌 11 月修复日,谷歌共修复了 31 个 Android 漏洞,其中有 9 个严重的远程代码执行漏洞。另外,共有 9 项修复与最近的 KRACK 攻击有关。
谷歌发布的 11 月份 Android 安全公告中,分为三个安全层级。其中 2017-11-06 主要修复高危的 KRACK 漏洞;2017-11-01 修复的是 6 个严重远程代码执行漏洞、3 个高危提权漏洞和 2 个高危信息披露漏洞,主要影响的是媒体框架,修复范围涵盖 Android 5.0.2、 5.1.1、 6.0、 6.0.1、 7.0、 7.1.1、 7.1.2 和 8.0;2017-11-05 修复了 3 个严重远程代码执行漏洞、7 个高危提权漏洞和一个高危信息披露漏洞,主要影响高通组件。
此外,自 10 月份起,谷歌为 Nexus 和 Pixel 设备单独发布漏洞修复公告。本月公告显示,Nexus 和 Pixel 设备中共修复 50 多个漏洞,影响到 架构、媒体框架, Runtime、系统、内核以及联发科、NVIDIA 和高通的组件。[来源:Securityweek]
新曝光的 SowBug 间谍组织自 2015 年起就不断窃取外交机密
最近,赛门铁克的研究人员发现一个之前不知名的 SowBug 黑客组织活动频繁,至少自 2015 年开始就不断针对南美和南亚的政府机构发起秘密攻击并窃取敏感数据。阿根廷、巴西、厄瓜多尔、秘鲁、马来西亚等国家的外国政策机构、政府实体、外交机构等都中招了。
研究人员表示,该组织使用的是名为“Felismus”的恶意程序,这个程序比较复杂且是编写较好的 RAT 木马,其中的组件有助于后门木马本身隐藏甚至进行其他操作。利用这个恶意程序,黑客可以完全接管被感染的电脑,并与远程服务器通信、下载文件、执行 shell 命令。目前尚不清楚Felismus 的感染机制,不过证据显示,黑客可能是利用了山寨版的 Windows 或 Adobe 阅读器更新。[来源:TheHackerNews]
不知名用户触发 Parity 以太币钱包的源代码漏洞,导致约 2.85 亿美元资金冻结
据外媒 bleepingcomputer 报道,有不知名用户利用 Parity 以太币钱包源代码中的漏洞,将资金永久冻结在用户账户中。
该漏洞只影响 Parity 多重签名钱包和在用户转移资金到新账户时给出签名的账户。不过这些仅限于 7 月 20 日至今开设的钱包。由于很多公司都青睐多重签名钱包,并指定员工开通、管理多个账户;此外,与 IPO 类似的 ICO 也常常使用多重签名钱包。可以说,这个漏洞影响的多重签名钱包大多属于一些公司和财务机构。研究人员统计到 71 个受影响的账户,共持有超过 930000 以太币,价值约 2.85 亿美元。而实际受影响的钱包数量和实际损失可能更大。
Parity 开发者目前已经了解到这个问题,并表示该漏洞实际上存在于 7 月 20 日 Parity 发布的某个漏洞补丁中。目前,此漏洞修复补丁已经发布。[来源:bleepingcomputer]
【漏洞威胁】 MantisTek GK2键盘内置键盘记录器,数据被传到中国
有研究人员发现,一款售价高达 49.66 欧元的流行 104 键 Mantistek GK2 机械游戏键盘正在悄悄记录用户输入的内容,然后发送到阿里云的服务器。根据Tom’s Hardware的描述,Mantistek键盘会使用“云驱动”软件, 软件手机的可能是用来分析的数据,但是实际涉及到的是一些敏感信息。
事件起初是在某论坛由玩家爆料发现,他们上传了相关的截图,截图中的信息显示,用户的明文输入被记录下来,传到了中国的服务器,IP为47.90.52.88。仔细分析后,Tom’s Hardware团队发现,Mantistek 键盘没有真正完整的键盘记录器,不过它会记录按键被按了多少次,然后把数据传回服务器。[来源:TheHackerNews]
Linux 出现 USB 驱动安全问题
周一,谷歌研究员 Andrey Konovalov 发现了 79 个与 Linux USB 相关的漏洞,其中有 14 个位于在 Linux 内核 USB 子系统中。其中大部分是简单的 DOS 漏洞,但有些漏洞涉及提权,可能被黑客利用,执行不受信任的代码并接管受害者电脑。
研究人员表示,由于很多设备都有 USB 端口,导致 Linux 内核必须支持多种 USB 驱动器,而很多驱动器都没有经过全面测试和合规审核,因此容易出问题。USB 相关的漏洞其实很严重,因为这些漏洞可以用于入侵物理隔离的电脑。因此,这类漏洞必须尽快修复。[来源:bleepingcomputer]
IEEE P1735 加密标准出现问题,可能导致 IP 泄露
日前,研究人员发现 IEEE P1735 加密标准有缺陷,可被黑客利用解锁、修改甚至窃取加密芯片上的系统。IEEE P1735 原本是为了加密电子 IP(即 IP 核,包括硬核与软核),以便芯片设计者保护自己的 IP 安全。大部分移动设备和嵌入式设备都含有系统芯片(SoC)。SoC 是将电脑或其他电子系统集成到单一芯片的集成电路,可以处理数字信号、模拟信号、混合信号甚至更高频率的信号。系统芯片可包含多种 IP ,这些 IP 对于厂商而言价值非凡,所以 IEEE 便发布了 P1735 标准来加密电子 IP。
此次发现的 IEEE P1735 中存在至少七个漏洞,涉及 AES_CBC 模式的不当填充;加密的 IP 密码本可被修改加入木马;Rights Block(含有 AES 密钥的 RSA 加密)的修改等。目前尚未有任何修复方案,用户需耐心等待更新。[来源:TheHackerNews]
【国内新闻】 现金贷数据江湖:1.5元买到一条借款人信息
伴随着趣店的上市,主打“小额”、“短期”、“凭信用借钱”的网络现金贷款成为最近一段时间的社会焦点,高盈利的表象下,资本纷纷介入抢食,公众则对其发出有关“高利贷”的质疑。有关现金贷监管的呼声也不绝于耳,继11月4日央行行长周小川发声,宣布“守住不发生系统性金融风险的底线”之后,11月7日,公安部出台意见,重点打击非法集资犯罪和涉及互联网金融、证券期货市场和金融机构的突出经济犯罪活动。三日内两部门发声指向金融风险。
在暴利的驱使下,资本巨头纷纷入局,令现金贷平台的混战进入“肉搏”。在这场战斗中,用户无疑是平台争夺的重点。在新京报记者的调查中,各大网贷平台的贷款数据以每条0.1元至1.5元不等的价格直接出售给需要购买数据的人们。此外,一些专门交易数据的网上平台也开始出现。争议出现在现金贷APP的“获取通讯录权限”,许多现金贷平台的合同条款中,都有一条内容为“授权第三方机构获取客户信息”的条款,有声音认为,这给网贷用户信息泄露乃至信息倒卖留下了口子。[来源:新京报]
*AngelaY 编译整理,转载请注明来自 FreeBuf.COM返回搜狐,查看更多
责任编辑:
