文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Solidot 公告
投 票
热门评论
- 错别字 (1 points, 一般) by 陈少举 在 2024年11月02日23时42分 星期六 评论到 Linus Torvalds 用电动汽车取代了燃油汽车
- BaD kEyBoArD: tYpO (1 points, 一般) by lot 在 2024年09月25日21时26分 星期三 评论到 美国汽车召回愈五分之一是修复软件
- Guo farm accumulated wealth, the ants lost all the (1 points, 一般) by solidot1727141937 在 2024年09月24日09时39分 星期二 评论到 日本科学家用猫制作 iPS 细胞
- 但是又快又便宜 (1 points, 一般) by Craynic 在 2024年09月09日13时12分 星期一 评论到 澳大利亚政府研究发现 AI 在概述上的表现比人类差
- (1 points, 一般) by gashero 在 2024年09月04日12时41分 星期三 评论到 众多高校撤销外语专业
- 让他们贴支付宝或微信捐款的方式 (1 points, 一般) by solidot1725066425 在 2024年08月31日09时08分 星期六 评论到 KDE 将每年通过桌面通知请求一次捐赠
- 更现代? (1 points, 一般) by Craynic 在 2024年08月28日13时15分 星期三 评论到 微软撤回了弃用控制面板的声明
- 对延迟退休的错误理解 (1 points, 一般) by solidot1723550599 在 2024年08月13日20时09分 星期二 评论到 中国人 50 岁后还能健康工作多少年?
- (1 points, 一般) by solidot1723275683 在 2024年08月10日15时45分 星期六 评论到 甜味剂赤藻糖醇可能增加心血管疾病风险
- 不值得信任google (1 points, 一般) by solidot1722426862 在 2024年07月31日19时56分 星期三 评论到 Chrome 服务故障导致部分用户无法访问保存的密码
两周前在网络犯罪论坛兜售 23andMe 客户数据的黑客再次泄露了数百万 23andMe 客户的基因数据。23andMe 提供基因检测服务,它此前表示攻击者利用的是撞库攻击。所谓撞库攻击是指通过已泄露的用户密码信息生成字典表,尝试批量登录其它网站,获取可以登录的用户账号。名叫 Golem 的黑客在 BreachForums 上发布了新的 23andMe 数据集,包含了 400 万用户,Golem 声称其中包含了生活在美国和西欧的最富有的人的数据。23andMe 表示正对此展开调查。黑客自称拥有 300TB 的 23andMe 客户数据。
安全研究人员发现,IT 管理员广泛使用弱密码,其中包括 admin。网络安全公司 Outpost24 分析了恶意程序窃取的身份凭证,将其中的管理员账号挑选出来。他们共分析了 180 万个管理员凭证,发现其中使用 admin 的账号有 4 万个。前 20 流行密码包括:admin,123456,12345678,1234,Password,123,12345,admin123,123456789,adminisp,11. demo,root,123123,admin@123,123456aA@,01031974,Admin@123,111111,admin1234 和 admin1。绝大多数密码都很容易破解。
思科刚披露了一个高危 0day CVE-2023-20198,存在于 IOS XE 的 WebUI 中,任何运行 IOS XE、启用 HTTP 或 HTTPS 服务器功能并暴露于公网的交换机、路由器或无线 LAN 控制器都受到影响。攻击者能利用漏洞获得网络的完整管理权限。Shodan 搜索显示有逾 14 万联网的 IOS XE 设备,对这些设备的扫描显示,有 3.45 万设备已经遭到入侵。思科建议系统管理员在补丁可用前先禁用 HTTP 服务器功能。
CIA 上月底在官方 Twitter 账号中添加了它的 Telegram 频道 https://t.me/securelycontactingcia,其中包含了如何通过暗网和其它隐蔽手段联络该机构的信息,它同时警告潜在的线人对其它任何声称代表 CIA 的频道保持警惕。然而 Twitter/X 展示链接的缺陷会让完整的网址截断为 https://t.me/securelycont,其中 securelycont 这个名字在 Telegram 还没人使用。37 岁的安全研究员 Kevin McSheehan 注意到了这个问题,他注册了用户名 securelycont,任何点击链接的人都会访问他的频道,其中包含了不要分享任何秘密信息的警告。链接被截断的问题 X 上早就存在过,他惊讶于 CIA 竟然没有注意到。CIA 对其频道被劫持一事尚未置评。
思科督促客户修复一个正被活跃利用的高危 0day 漏洞,攻击者可利用该漏洞获得网络的完整管理权限。该漏洞编号为 CVE-2023-20198,严重等级 10/10。漏洞存在于 Cisco IOS XE 的 Web 用户界面中,任何运行 IOS XE、启用 HTTP 或 HTTPS 服务器功能并暴露于公网的交换机、路由器或无线 LAN 控制器都受到影响。Shodan 搜索显示有多达 8 万台联网设备受影响。思科称,至少从 9 月 18 日开始,未知身份的攻击者就利用该漏洞成为授权用户,创建本地用户账号。攻击者在大多数情况下会植入恶意程序,一旦 Web server 重启能在系统或 IOS 级别执行恶意命令。植入的程序在重启后无法继续存在,但本地用户帐户能继续保持活动状态。该植入程序保存在 /usr/binos/conf/nginx-conf/cisco_service.conf 下。
过去两个月,黑客劫持了 WordPress 网站向访问者展示浏览器需要更新才能正常访问的信息,如果访客上当他们会下载恶意程序收集登陆凭证等敏感信息。恶意程序通常托管在 Web 服务上,一经发现会迅速被移除。但在这起攻击中,黑客利用了币安智能链的智能合约去储存永远无法移除的恶意代码。加密货币所使用的区块链在信息写入之后是很难移除的。
思科最近披露了 Cisco Emergency Responder 的一个漏洞 CVE-2023-20101,它包含了一个 root 账号的静态用户凭证,原本是为开发保留的,但不小心留在了最终用户产品中。攻击者可以使用该账号登陆受影响系统,以 root 用户权限执行任意命令。这远非第一次思科在其产品中使用了硬编码密码。
最近攻击者入侵了多名 Steam 开发者账号,为游戏加入了恶意程序。Valve 的调查显示,不到 100 名 Steam 用户安装了含有恶意程序的版本,它已通过邮件向这些用户发出了警告。Valve 采取了措施阻止相同的事情再次发生,它要求从 10 月 24 日开始更新游戏需要双因素验证,开发者将需要一部手机接收短信形式的双因素验证码。如果游戏尚未发行,或只是更新测试版分支,则不需要代码。手机是必须的,如果开发者没有手机,Valve 称,“抱歉,但是如果需要添加用户或为已发行的应用设置默认分支,就需要手机或某种方式来接收短信。”
微软威胁情报团队(Threat Intelligence)称,中国黑客组织 Storm-0062 正在利用 Atlassian 的 0day 入侵客户系统。Atlassian 是在 10 月 4 日披露了其 Confluence 数据中心和服务器中的一个漏洞 CVE-2023-22515。微软安全团队表示,它从 9 月 14 日起就观察到了漏洞利用。Atlassian 本周更新了安全通知,称该漏洞正被活跃利用。
curl 项目释出了 curl 8.4.0,其中修复了一个高危漏洞 CVE-2023-38545,该漏洞被认为是至今 curl 项目发现的最严重漏洞之一。curl 作者 Daniel Stenberg 在个人博客上详细解释了这一漏洞。攻击者可通过发送长度超过 16kB 的主机名触发该漏洞,导致堆缓冲区溢出。Stenberg 表示,如果 curl 是用内存安全语言 aka Rust 开发的话那么该问题不会发生,但重写 curl 不在他的议程中。他说可能会支持用 Rust 写一些依赖项目,逐步取代部分功能,但在可预见的未来,curl 仍然是用 C 编写的。
Google 披露了峰值攻击流量每秒请求数超过 3.98 亿次的 DDoS 攻击,称其全球负载均衡基础设施阻止了这一攻击,客户基本未受影响。这次攻击使用了新颖的 HTTP/2 快速重置方法。Google 称 HTTP/2 的主要设计目标是效率,但这也让 DDoS 的攻击效率更高。HTTP/2 将一个 TCP 连接分为若干个流(Stream),每个流中可以传输若干消息(Message),每个消息由若干最小的二进制帧(Frame)组成。HTTP/1.1 是串行处理每个请求,而 HTTP/2 的客户端在一个 TCP 连接上可以打开多个并发流,在实际使用中客户端每个请求可以打开 100 个流。它允许客户端发送 RST_STREAM 帧告诉服务器取消上一个流。客户端和服务器端无需为此进行协商,客户端可以单方面要求取消上一个流。HTTP/2 快速重置攻击就是利用这一原理。客户端一次连接打开大量流,然后再立即取消每个请求。立即重置流的能力允许每个连接有无数个运行中的请求。请求数量不依赖于 RTT 而是可用网络带宽。
2022 年 11 月 11 日,FTX 员工经历了公司短暂历史上最糟糕的一天,这家曾价值 320 亿美元的加密货币交易所宣布了破产。但更糟糕的时刻还没到来。身份尚未识别的一位黑客或一群黑客选择在这个时间点盗窃该公司的加密货币。FTX 因此次盗窃损失了 4.15-4.32 亿美元的加密货币资产,而如果不是剩余的员工及时采取行动,它本来会损失 10 亿美元以上。当天晚上 10 点左右,FTX 子公司 LedgerX CEO Zach Dexter 向剩余员工、破产律师和顾问发送了 Google Meet 邀请,主题是“紧急情况”。有数十人最终加入了 Google Meet,其中之一是联合创始人兼 CTO Gary Wang。当时数字资产信托公司 BitGo 正准备托管 FTX 剩余的加密货币资产。Dexter 建议让 BitGo 立即创建冷钱包将所有加密货币都转移过去。BitGo 表示这需要大约半个小时,但 FTX 员工认为等准备完毕可能为时已晚了。Google Meet 会议上有人建议先用硬件钱包储存资产。FTX 顾问 Kumanan Ramanathan 提出其办公室里有一个 Ledger Nano——U盘硬件钱包——可以作为加密资产的临时避难所。晚上 10:30 左右,Ramanathan 创建了新钱包,Wang 向该钱包转移了 4-5 亿美元的加密货币资产。BitGo 几分钟后通知他们冷钱包已经准备就绪。FTX 员工随后将所有资产都转移给了 BitGo。Ramanathan 的钱包最终也合并到了 BitGo。到了 11 月 12 日凌晨 5 点,BitGo 托管了 11 亿美元的 FTX 资产。
X.Org 项目披露了五个漏洞,其中之一 CVE-2023-43785 属于内存越界访问漏洞,位于 libX11 库中,相关代码可追溯到 1996 年。第二个漏洞 CVE-2023-43786 同样位于 libX11 库中,为 PutSubImage()函数无限递归导致栈耗尽,相关代码可追溯到 1988 年 2 月。第三个漏洞 CVE-2023-43787 则是 XCreateImage() 函数整数溢出导致堆溢出,相关代码同样可追溯到 1988 年。另外两个漏洞是 libXpm 中的越界读取,相关代码可追溯到 1998 年。
网络安全公司 Human Security 报告有数万中国制造的廉价 Android 设备预装了后门。研究人员目前识别了 8 款植入了后门的设备,其中 7 款是电视盒,还有一款是平板,数量至少有 7.4 万。植入的后门是基于恶意程序 Triada,这些设备主要被用于广告欺诈和住宅代理服务。幕后攻击者据称控制了多达千万个家庭 IP 地址和 700 万个移动 IP 地址。这意味着全球有多达 2000 万台设备受到感染,任何时候都有 200 万台设备在线。趋势科技的安全研究人员表示,这些数据是可信的。Google 和苹果已经移除了安全研究人员发现的关联应用。
提供基因检测服务的美国公司 23andMe 证实其平台上的用户数据被盗,称攻击者利用的是撞库攻击。此前有黑客在黑客论坛兜售声称窃取自 23andMe 的客户数据,并公开了数据样本。黑客以每个账号 10 美元到 1 美元(数量越多单价越便宜)的价格出售。所谓撞库攻击是指通过已泄露的用户密码信息生成字典表,尝试批量登录其它网站,获取可以登录的用户账号。23andMe 发言人称初步调查显示该公司的系统没有发现安全问题。
米高梅集团证实黑客在上个月的网络攻击中窃取了客户数据,此次攻击预计将给这家经营赌场和酒店的巨头造成大约 1 亿美元的损失。米高梅集团是在 9 月 11 日披露遭到网络攻击,勒索组织 Scattered Spider 随后宣布对此负责。它在本周四递交的监管文件中披露了更多信息,称被窃取的数据属于 2019 年 3 月前与该公司有过交易的客户,其中包括姓名、联系信息、性别、出生日期和驾照。黑客还窃取了少数客户的社会安全号码和护照。米高梅集团没有披露有多少客户受到影响。它表示客户的密码或付款信息没有被窃取。
周日晚上下班回家路上,53 岁的 Brian Morrison 发现他的全新名爵 ZS 电动汽车卡在了时速 30 英里无法减速。幸运的是他仍然能控制方向,能避免碰撞(晚上十点的车流也少),在警方的帮助下他从失控的汽车内转移到警车内(他有行动障碍无法跳车),然后利用警车对汽车进行围堵阻止其前进,直到3 小时后技术人员赶到现场设法关闭了汽车。这辆电动汽车没有机械式制动器。如果故障发生在上午十点而不是晚上十点,无疑会造成更严重的问题。
Arm 周一警告其 Mali 系列 GPU 驱动漏洞 CVE-2023-4211 正被活跃利用。Mali GPU 被广泛用于 Google Pixels 等 Android 手机,Chromebook 等 Linux 设备。本地非特权用户可利用该漏洞访问已释放的内存。访问不再使用的系统内存是将恶意代码加载到攻击者可执行位置的一种常见机制。Arm 表示它已在 Bifrost、Valhall 和 Arm 第五代 GPU 架构内核驱动版本 r43p0 中修复了该漏洞,受影响的版本包括:Midgard 内核驱动版本 r12p0 - r32p0,Bifrost 驱动版本 r0p0 - r42p0,Valhall 驱动版本 r19p0 - r42p0,Arm 第五代 GPU 架构内核驱动版本 r41p0 - r42p0。高通芯片使用的是 Adreno GPU,使用高通芯片的 Android 手机不受影响。
美国和日本对黑客组织 BlackTech aka Palmerworm、Temp.Overboard、Circuit Panda 和 Radio Panda 秘密在路由器上植入后门固件发出了警告。BlackTech 的活动至少始于 2010 年,它设法获得管理员凭证访问子公司使用的网络设备,安装后门固件,然后逐渐渗透和入侵关联公司的网络。BlackTech 通常以分支机构使用的路由器为目标,然后滥用企业网络之间路由器的信任关系。安全警告提到了思科的路由器。思科表示攻击者只能在该公司的旧型号路由器上安装后门固件,新路由器能阻止运行未经授权的固件。
研究人员披露了针对 GPU 的新型旁路攻击,能暴露其处理的视觉数据。该攻击命名为 GPU.zip。GPU.zip 利用了现代所有 GPU 都使用的优化技术——图形数据压缩,研究人员发现它能被滥用暴露视觉数据,比如在最新版本的 Google Chrome 上,一个恶意网页能泄露另一个网页的像素。测试显示,AMD、苹果、Arm、英特尔和高通的集显以及英伟达的独显都受到影响。研究人员表示,大部分网站都禁止跨源网站嵌入,因此普通用户不太容易受到 GPU.zip 的像素窃取攻击。研究人员在 3 月就向 GPU 供应商以及 Google 报告了漏洞,但没有一家公司承诺修复漏洞,Google 尚未决定如何修复。