solidot新版网站常见问题,请点击这里查看。
安全
Wilson(42865)
发表于2024年04月23日 23时42分 星期二
来自龙牙
加拿大多伦多大学公民实验室的研究人员分析了百度、荣耀、华为、讯飞、OPPO、三星、腾讯等九家厂商的云输入法,发现八家输入法软件包含严重漏洞,允许研究人员完整破解厂商设计用于保护用户输入内容的加密法。还有部分厂商并未使用任何加密法保护用户输入内容。研究人员向受影响的九家开发商提交了漏洞报告,大部分开发商均认真看待问题并予以回应,修补了漏洞,但仍有少数输入法未修补漏洞。在测试的九家厂商的应用程序中,仅有华为的产品未发现任何上传用户输入内容至云端相关的安全问题,其余每一家厂商都至少有一个应用程序含有漏洞,使得被动型网络攻击者得以监看用户输入的完整内容。

安全
Wilson(42865)
发表于2024年04月23日 21时48分 星期二
来自机器人的逃跑计划
微软周一披露,一个高危漏洞被俄罗斯黑客组织利用了四年之久。该漏洞编号为 CVE-2022-38028,位于 Windows 打印后台处理程序中,威胁评分 7.8/10,它能与其它漏洞组合利用提权获得系统权限。该漏洞是 NSA 报告的,微软在 2022 年修复时没有披露该漏洞正被利用。周一微软披露黑客组织 Forest Blizzard 至少从 2020 年 6 月甚至可能早在 2019 年 4 月起就利用该漏洞。Forest Blizzard 的其它名字包括了 APT28、Sednit、Sofacy、GRU Unit 26165 和 Fancy Bear,被认为与俄罗斯军事情报总局的 26165 部队有关联。黑客利用漏洞获得系统权限之后会安装恶意程序 GooseEgg,该工具为后续行动提供了一个简单的界面用于安装其它具有系统权限的恶意程序。GooseEgg 会将恶意程序安装到特定子目录下,这些子目录名字包括了 Microsoft、Adobe、Comms、Intel、Kaspersky Lab、Bitdefender、ESET、NVIDIA、UbiSoft、Steam。举例来说,它可能会创建特定的目录如 C:\ProgramData\Adobe\v2.116.4405。

安全
Wilson(42865)
发表于2024年04月23日 17时31分 星期二
来自穹顶之下
Change Healthcare 终于承认了安全研究人员早已通过区块链纪录知道的事实:它在遭遇勒索软件攻击之后向该组织 AlphV/BlackCat 支付了价值 2200 万美元的 150 比特币赎金。然而该公司同时警告了客户敏感医疗数据可能会暴露的风险。Change Healthcare 支付的赎金在勒索软件组织内部引发了内讧,主要组织者跑路,而仍然控制着数据的同伙威胁泄露数据。Change Healthcare 的做法被认为会鼓励勒索软件黑帮向其它医疗机构发动攻击。此次事件已经给该公司造成 8.72 亿美元的损失,未来损失可能会进一步扩大到 10 亿美元以上。

安全
Wilson(42865)
发表于2024年04月22日 23时46分 星期一
来自侦图机
前白宫网络政策高级总监 A.J. Grotto 认为美国政府有个微软问题:微软是美国国家安全的威胁。微软的网络安全问题影响到了美国政府,如中国俄罗斯黑客都是通过微软产品入侵美国政府机构访问政府官员的邮箱。Grotto 称,微软对美国政府有巨大的影响力,而该公司并不慑于使用。他估计美国 85% 的政府生产力软件来自微软,Windows 操作系统所占份额更大,“微软在很多方面锁定了政府,它能将与安全漏洞相关的大量成本转嫁给联邦政府。”他希望美国政府能鼓励更多的竞争。

安全
Wilson(42865)
发表于2024年04月22日 18时42分 星期一
来自平格尔的奇遇
勒索软件黑帮今年开局不利。网络安全公司 Coveware 的数据显示,2024 年第一季度支持勒索赎金的企业比例下降至 28%,2023 年第四季度则是 29%。支付比例下降是因为企业和组织采用了更先进的保护措施,巨大的法律压力,以及勒索软件黑帮再三违背了不会发布或出售盗窃数据的诺言。虽然支付比例下降,但支付金额仍然在上升。Coveware 的数据显示 2023 年支付给勒索软件黑帮的赎金高达 11 亿美元。原因是黑帮增加了攻击频率,攻击更多目标,并要求更详细的赎金金额。2024 年第一季度,平均赎金金额为 381,980 美元,比前一季度下降 32%,赎金中位数 25 万美元,同比增加 25%。

安全
Wilson(42865)
发表于2024年04月19日 22时40分 星期五
来自失落之心
自称 GhostR 的黑客组织声称 3 月从 World-Check 数据库窃取了 530 万记录,威胁在网上公开。该数据库被企业用于检查潜在客户是否在制裁和金融犯罪相关的黑名单上。World-Check 是“了解你的客户(know your customer,KYC)”合规项目的筛选数据库,允许公司确定潜在客户是否属于高风险或潜在犯罪分子,如与洗钱有关联或受政府制裁。黑客是从一家能访问 World-Check 数据库的新加坡公司窃取的,但没有披露该公司名字。

安全
Wilson(42865)
发表于2024年04月17日 16时16分 星期三
来自异形:痛苦之河
今年 2 月遭勒索软件攻击的美国医疗公司 Change Healthcare 的母公司 UnitedHealth 披露,此次攻击至今造成的损失为 8.72 亿美元。UnitedHealth 在截至 3 月 31 日的第一季度财报中表示,攻击对公司的影响为每股 0.74 美元,预计到年底会增加到每股 1.15-1.35 美元。与此次攻击相关的补救工作还在进行之中,因此随着时间推移,与业务中断和修复相关的总费用可能会超过 10 亿美元,其中包括可能向勒索软件组织 ALPHV/BlackCat 支付 2200 万美元的赎金。Change Healthcare 拒绝证实是否支付了赎金,而 ALPHV/BlackCat 在获得赎金之后宣布停止运作,它没有向其加盟成员支付佣金。但这些加盟成员仍然控制着窃取自 Change Healthcare 的数据,没有获得佣金的组织开始威胁泄露窃取的数据。

安全
Wilson(42865)
发表于2024年04月17日 15时08分 星期三
来自帕迪多街车站
OpenJS 基金会发出警告,称 XZ 后门事件可能不是一起孤立事件。在 XZ 事件中,攻击者 Jia Tan(化名)潜伏长达两年多时间,最终获得信任成为项目的共同维护者。OpenJS 基金会称,他们观察到了类似的行动,他们收到了一系列邮件,要求基金会采取行动更换其管理的流行 JavaScript 项目的维护者,以解决高危漏洞。邮件使用了 GitHub 关联邮箱。这和 XZ 项目维护者 Lasse Collin 收到的施压邮件十分相似。类似事件凸显了快速发展的开源生态系统所面临的安全风险,尤其是今天软件的依赖关系错综复杂。

安全
Wilson(42865)
发表于2024年04月16日 14时17分 星期二
来自太阳王与海妖
PuTTY 客户端的一个高危漏洞 CVE-2024-31497 允许攻击者在获得约 60 个有效签名和公钥之后推断出私钥然后伪造签名。漏洞影响版本 v0.68-0.80,已在 v0.81 中修复。漏洞只影响密钥类型 521 位 ECDSA。问题与 ECDSA 随机数有关,前 9 个随机数被发现都是零,因此攻击者在获取约 60 个相同密钥下生成的有效 ECDSA 签名后可以恢复密钥。

安全
Wilson(42865)
发表于2024年04月12日 23时14分 星期五
来自羊毛战记
密码管理器 LastPass 披露黑客对其员工发动了语音钓鱼攻击,使用了深度伪造的音频冒充其 CEO Karim Toubba。根据调查,全球四分之一的人遭遇过或知道有人遭遇过此类骗局。LastPass 称其员工没有上当,因为攻击者使用的是 WhatsApp,这不是常见的商业沟通方法。攻击者在交流中被发现具有很多常见的社会工程特征,比如要求尽快行动,因此引起了 LastPass 员工的怀疑,将此事报告给了安全团队。

安全
Wilson(42865)
发表于2024年04月12日 18时32分 星期五
来自卡叠什战役
因供应链混乱,英特尔和联想过去几年销售的硬件都包含可远程利用且永远无法修复的漏洞。安全公司 Binarly 披露,漏洞影响英特尔、联想和超微(Supermicro)交付的服务器硬件,任何包含 AMI 或 AETN 制造的基板管理控制器(BMC)的硬件都受到影响。BMC 是服务器主板上的微型计算机,用于简化服务器集群的远程管理。它允许系统管理员远程重新安装操作系统、安装和卸载应用,控制系统的所有其它方面。包括 AMI 和 AETN 在内的 BMC 制造商采用了开源 Web 服务器 lighttpd 的存在漏洞的版本,利用漏洞攻击者能挫败名为地址空间布局随机化的内存地址保护。AMI 的 MegaRAC BMC 被认为最容易受到攻击的 BMC 之一,英特尔的 M70KLP 采用了该 BMC。

安全
Wilson(42865)
发表于2024年04月10日 13时40分 星期三
来自原罪之战:天赐之力
安全公司 Bitdefender 披露了 LG 电视机的四个漏洞,这些漏洞允许黑客绕过授权机制控制电视机,LG 已经释出了安全更新。受影响的型号为 LG43UM7000PLA 运行版本 webOS 4.9.7 - 5.30.40,OLED55CXPUA webOS 5.5.0 - 04.50.51,OLED48C1PUB webOS 6.3.3-442 (kisscurl-kinglake) - 03.36.50,OLED55A23LA webOS 7.3.1-43 (mullet-mebin) - 03.33.85,数量超过 8.8 万台,绝大多数位于韩国,其次是香港、美国、瑞典和芬兰。Bitdefender 称,黑客可利用漏洞获得设备的 root 权限,注入在操作系统层运行的命令。

安全
Wilson(42865)
发表于2024年04月09日 15时14分 星期二
来自龙牙
2018 年 3 月 23 日周五上午 9 点,苹果工程师 Walter Huang 驾驶特斯拉 Model X 汽车在加州 101 公路和 85 公路岔口发生致命车祸,撞上了分隔岛,车祸发生时汽车启用了自动驾驶(或辅助驾驶)功能。本周 Huang 家人提起的过失致死诉讼进入了审讯阶段。诉讼称,Huang 有理由相信特斯拉汽车的自动驾驶系统比人类驾驶更安全,特斯拉及其 CEO 马斯克(Elon Musk)曾反复谈论该系统的强大之处,虽然事实上特斯拉的自动驾驶和其它汽车配备的辅助驾驶功能基本无区别。美国国家运输安全委员会的调查显示,在发生致命车祸前,Huang 曾多次经历相同的故障,自动驾驶多次突然转向分隔岛,但每次 Huang 都及时恢复对汽车的控制。他曾用中文和朋友谈论了其遭遇。但 3 月 23 日他没能及时控制汽车。特斯拉声称他当时正在 iPhone 手机上玩世嘉的策略游戏《全战三国》。该手机有用于故障排除的增强日志功能。苹果帮助恢复了手机上的部分日志,证实他经常在通勤期间玩《全战三国》,事故发生当天游戏也激活了,但最后 17 分钟没有与《三国》相关的日志记录。诉讼指控特斯拉造成了过失死亡,并对销售有缺陷的产品负有责任。特斯拉则声称 Huang 误用了汽车的自动驾驶功能。

安全
Wilson(42865)
发表于2024年04月08日 15时53分 星期一
来自百万年神殿
2023 年 5 月 和 6 月,黑客组织 Storm-0558 使用微软 2016 年密钥签名的身份令牌入侵了全球 22 个组织逾 500 人的 Microsoft Exchange Online 邮箱,访问了多名美国政府官员的电邮账号,其中包括商务部长 Gina Raimondo,驻华大使 R. Nicholas Burns 和国会议员 Don Bacon。美国网络安全审查委员会公布的调查报告认为,这次入侵是微软的错误导致的,是完全可以避免的,本不应该发生。委员会认为,微软在安全上做出不够充分,需要进行一次彻底改革。

Chrome
Wilson(42865)
发表于2024年04月07日 14时53分 星期日
来自索拉里斯星
Google Chrome 使用的 V8 JS 引擎宣布其内存沙盒不再视为实验性。开发者通过官方博客解释了其沙盒的工作原理:内存安全仍然是一个相关问题,过去三年所有发现的 Chrome 利用都始于一个渲染进程的内存损坏漏洞。其中六成的漏洞位于 V8 引擎中。但问题是 V8 的漏洞很少是经典的内存损坏错误如释放后使用和越界访问,因此现有的内存安全解决方案大部分不适用于 V8,比如切换到内存安全语言 Rust。V8 沙盒旨在隔离其堆内存,因此内存损坏错误不会传播到进程内存的其它部分。

安全
Wilson(42865)
发表于2024年04月03日 23时53分 星期三
来自星空暗流
XZ 后门事件后,开源项目出于谨慎考虑开始重新评估对 XZ 的依赖。最新采取行动的是 Fwupd Linux 固件项目,它用 Zstd 压缩取代了 XZ。Fwupd 此前使用 XZ 压缩 XML 负荷加速网络下载节省 CDN 资源。出于对 XZ 项目的担忧,它现在改用了 Zstd。结果显示,Zstd 不仅更值得信任,而且其产生的压缩元数据比 XZ 小 3%,解压缩数据还更快。

安全
Wilson(42865)
发表于2024年04月02日 23时39分 星期二
来自黑珍珠魔咒
Shawn the R0ck 写道:2024年3月29日,一份关于在自由软件社区备受争议的开源项目 xz 软件包被上游源代码中的后门所污染的报告在 oss-security 邮件列表中曝光。这个后门影响到了 liblzma 库,它是 xz 软件包的一部分,在第一份报告发布后有多了很多跟进的研究,内容主要如下,1) 这个后门完整地存在于发布的 xz 源码包中(5.6.0 和 5.6.1 版本),但上游 git 仓库中存在伪装为测试数据,但并未插入 liblzma 中的载荷,而打包前单独加入源码包中的唤醒代码(它们不存在于 git 仓库中,因此从 git 仓库,或由 github 生成的源码包编译的 liblzma 中不会有后门)会将载荷注入到构建过程中。2) 注入的代码修改 Makefile 以包含恶意文件,这些文件在构建过程中被执行,导致进一步的有效载荷注入。3) 这个有效载荷针对的是使用 gcc 和 GNU 链接器的 x86-64 GNU/Linux 系统,并且是 Debian 或 RPM 软件包构建的一部分。4) 恶意代码针对 OpenSSH 服务器进行劫持以实现远程代码执行,但显著降低了登录速度。它通过劫持和修改 liblzma 库中的某些函数来实现这一点,其载荷是间接加载到 sshd 中的。sshd 实现了对 systemd-notify 的支持,liblzma 被加载是因为它是 libsystemd 的其他部分所依赖的,systemd 的复杂度再次成为了实际上的安全隐患。5) 建议立即升级任何可能受影响的系统,因为这些被污染的版本还未广泛被 GNU/Linux 发行版集成。6) 提供了一个脚本来检测系统是否可能受到影响。7)后门投毒者关闭了 LANDLOCK 沙箱,这个已经被主要维护者修复。开源社区诸多用户都对于 systemd 饱受争议的复杂性以及其生态渗透到 GNU/Linux 系统之深本有意见,借愚人节之机满足读者的阴谋论叙事的诉求:幕后黑手其实是 M$,意在摧毁 GNU/Linux 生态,首先,他们秘密收买了 Lennart Poettering,让他开发了 systemd。Lennart 在 M$ 的授意下,将 systemd 逐步渗透到 GNU/Linux 发行版中,为后续行动铺路,2022年3月,M$ 认为可以执行下一步计划了就排出了 Jia Tan 团队跟 xz-utils 社区进行交涉,Lennart Poettering 的任务也宣告结束,2022年6月,M$ 公开召回(雇佣)Lennart,此后 M$ 筹划了 2023 年开始支持 openssh 的 systemd 生态进而让 Jia TAN 去掌控整个 GNU/Linux 生态,只是没想到被一个执着于性能且追求计算美学的工程师破坏了原本完美的计划,M$立马命令Github关闭了相关的帐号以毁灭证据,幸运的是这个蔚蓝色的星球的赛博网络里有时空穿梭机,这让github的重要信息得以保留。

安全
Wilson(42865)
发表于2024年04月01日 17时19分 星期一
来自加速世界12:红色徽章
xz 后门作者 JiaT75 (Jia Tan) 使用了拼音名字,但并不意味着他或他们就是华裔,可能不过是一个伪装。在长达三年时间内,Jia Tan 不可能一直不露出任何马脚。他的英文邮件和母语英语者一样出色,Git 时间戳是可以修改的,但他或他们可能会在某个时间忘记修改,导致时间戳出现可疑的变动,比如工作时间从 UTC+08 切换到 UTC+02 和 UTC+03。对其 Git 时间戳的分析显示,Jia Tan 可能生活在东欧。他或他们被发现在中国官方假期如中秋、清明、农历新年期间都工作,但在东欧的假期比如圣诞节和新年期间则从不工作。

安全
Wilson(42865)
发表于2024年03月31日 22时27分 星期日
来自假如我有完美妈妈
xz 后门事件凸显了维护者在维护一个基本上不会得到多少外界帮助的开源项目时所面临的挑战,当别有用心的人热情提供帮助,你真的难以分辨对方是真心还是假意。对于 xz 项目原唯一维护者 Lasse Collin 邮件列表交流的分析显示,这位维护者早就筋疲力尽了,他承认如果有 bug 会去修,但开发新功能基本上不可能了。这种情况在 JiaT75(Jia Tan)积极提供帮助后发生了变化,Jia Tan 是少数或者可能是唯一一位愿意“帮助”而不是抱怨开发停滞的人。Lasse Collin 表示考虑让 Jia Tan 扮演更重要的角色,甚至让其接手维护。对于不断抱怨和提出要求的用户,他强调这是一个无薪水的业余项目。在“用户”不断的要求之下,Jia Tan 成为了项目的共同维护者。

安全
Wilson(42865)
发表于2024年03月30日 17时03分 星期六
来自索拉里斯星
Linux 上广泛使用的无损压缩软件包 xz-utils 被该项目的一位维护者秘密植入了后门,后门旨在绕过签名验证未经授权访问开放 SSH 端口的系统。存在后门的版本是 v5.6.0 和 v5.6.1,后门版本尚未进入 Linux 发行版的生产版本,因此影响范围有限,主要影响的是测试版本的 Debian 和 Red Hat 发行版,以及 Arch 和 openSUSE 等。攻击者被认为处心积虑,潜伏长达三年时间。使用中文拼音的攻击者 JiaT75 (Jia Tan) 于 2021 年创建了 GitHub 账号,之后积极参与了 xz-utils 的开发,获取信任之后成为了该项目的维护者之一。过去几个月,JiaT75 开始非常巧妙的悄悄加入恶意代码,“分阶段通过添加测试用例数据为掩盖放入了恶意代码,并在发布时在m4脚本的目录中添加了一些精妙的把恶意代码重新组装、解压缩的脚本,在库中添加了劫持某 OpenSSL 函数的功能,添加了一个 SSH 后门。”创建后门版本之后 JiaT75 还积极联络主要 Linux 发行版维护者,以该版本包含“很棒新特性”为由督促他们使用后门版本。但后门代码存在 bug,会导致崩溃等,此人随后与 Linux 开发者们频繁联络通信,试图修复问题,并建议他们发现问题后不要公开。目前 JiaT75 的账号以及 xz-utils 库都已被 GitHub 关闭。