Day Vision

Reading Everyday,Extending Vision

苹果推出100万美元漏洞攻击报告赏金计划 | 一周安全播报

2022-09-16 06:38:22


3·黑客可利用新漏洞破解 WiFi 密码据外媒报道,网络安全专家在WPA3WiFi安全标准中再次发现两个严重漏洞,可能会帮助攻击者破解WiFi密码。




8.5-8.11

1·国家互联网应急中心:2018 年成功关闭 772 个控制规模较大的僵尸网络


据国家互联网应急中心天津分中心消息,为有效控制计算机恶意程序感染主机引发的危害,2018年,国家互联网应急中心组织基础电信企业、域名服务机构等成功关闭772个控制规模较大的僵尸网络。根据第三方统计报告显示,位于我国境内的僵尸网络控制端数量在全球的排名情况以及在全球控制端总数量的占比均呈现下降趋势。


2·黑客疯狂窃取超百万张韩国银行卡信息,因为其“性价比高”


据外媒报道,在过去两个月内,黑客在某犯罪论坛上出售了超过一百万张韩国银行卡的详细信息。专家表示,不仅是韩国银行卡数据,整个亚太地区的银行卡信息在网络黑市上都很受欢迎。据了解,很多犯罪分子发现亚太地区金融机构的反欺诈系统比西方同行更简单,所以该地区的银行卡信息会带来更高的“投资回报”。


3·黑客可利用新漏洞破解 WiFi 密码


据外媒报道,网络安全专家在WPA3WiFi安全标准中再次发现两个严重漏洞,可能会帮助攻击者破解WiFi密码。第一个漏洞(CVE-2019-13377)允许黑客针对WPA3的Dragonfly握手(handshake)进行旁路攻击。第二个漏洞(CVE-2019-13456)是一个存在于FreeRADIUS中的信息泄漏错误。


4·五角大楼不顾美国政府警告 继续采购中国和俄罗斯生产的设备和软件


美国国防部监察署近日发布报告称,五角大楼不顾美国政府有关安全风险的警告,继续采购中国和俄罗斯生产的技术设备和软件。长期以来,美国政府一直称中国电子产品制造商对美国国家安全构成威胁。同样,美国情报机构也在宣扬俄罗斯威胁论。


5·俄罗斯政府黑客利用物联网入侵网络


微软安全研究人员通过官方博客发出警告,为俄罗斯政府工作的黑客正利用各种物联网设备如打印机和视频解码器作为立足点渗透到目标的网络中。一旦进入到网络,攻击者只需要简单执行网络扫描去寻找其它不安全的设备,发现更高权限的账号从而访问到更高价值的数据。微软研究人员是在今年四月发现利用物联网的攻击行动。俄罗斯黑客利用了 IP 电话、打印机和视频解码器,其中两起案例中,设备使用的是默认很容易猜测出的秘密,另外一起案例的设备使用了存在已知漏洞的固件。微软认为,发起攻击的是与俄罗斯政府有关联的黑客组织 Strontium,aka Fancy Bear 或 APT28。


6·亚马逊、谷歌、苹果语音助手涉嫌侵犯隐私 多国开查


据外媒报道,美国和欧洲多国监管机构正在对谷歌、苹果和亚马逊就涉嫌侵犯隐私一事进行调查。目前苹果和谷歌已叫停人工审核录音的项目,亚马逊也于上周对条例进行了修改,允许用户关闭人工审核录音功能。


7·为更快寻找 iOS 漏洞苹果将向安全专家提供开发版 iPhone


苹果计划向安全研究人员提供特有的iPhone型号,以便于他们能更轻松的找到iOS系统的漏洞。援引福布斯报道,苹果计划在本周晚些时候召开的黑帽安全会议上宣布这条消息。并非所有安全专家都能获得特制iPhone,仅面向此前受到苹果邀请参与BUG悬赏计划的安全研究人员。通过该计划,研究人员可以通过向苹果披露iOS漏洞以获得奖励。


8·破坏型攻击爆发:制造业沦为重灾区


研究人员表示在过去6个月中网络攻击所造成的破坏力翻倍,而且受影响的组织中有50%属于制造业。基于近阶段的网络攻击,本周一IBM的X-Force IRIS事件响应团队发布了新的安全研究报告,强调破坏型恶意软件正在快速爆发。通过对恶意代码的分析发现,诸如Industroyer,NotPetya或Stuxnet在内的恶意程序不再是纯碎的窃取数据和秘密监控,而是造成更有破坏力的伤害。这些破坏行为包括锁定系统、让PC崩溃、渲染服务不可操作以及删除文件等等。


9·微软悄然修复 SWAPGS 处理器漏洞 保护 Windows 用户安全


外媒报道称,微软悄然发布了一个提升 Windows 用户安全的补丁,修复了自 2012 年以来生产的英特尔 CPU 漏洞(涉及 Ivy Bridge 之前的芯片)。据悉,SWAPGS 漏洞有些类似于臭名昭著的幽灵(Spectre)和熔毁(Meltdown)芯片缺陷,由安全公司 Bitdefender 在一年前发现。在 BlackHat 安全会议上,其终于宣布已被修补。


10·微软警告黑客组织 Fancy Bear 正试图利用物联网设备漏洞


微软威胁情报中心报道称,俄罗斯黑客组织 Fancy Bear 一直试图利用 VoIP 电话和打印机等物联网设备,对企业网络展开渗透。外界普遍猜测,该组织拥有俄罗斯官方背景,又名 Strontium Group 或 APT 28 。该组织已成功地在 50 多个不同的国家 / 地区,感染了超过 50 万台消费级路由器。


11·波音泄露代码暴露 787 安全漏洞


IOActive 公司的安全研究员 Ruben Santamarta 在去年九月发现波音公司的一台服务器没有任何密码保护,服务器储存了波音 737 和 787 客机的代码。他下载了这些代码,在大约一年之后,他声称从 787 的代码中发现了安全漏洞,可被黑客作为入侵的起点,进一步渗透到飞机的安全敏感系统。波音否认了这一说法,称漏洞不会影响任何关键或必须的飞行系统,它在飞行模式下尝试利用这些漏洞,但没有成功。


12·只需发送一条短信 黑客就能成功入侵你的 iPhone


Google Project Zero团队的安全专家Natalie Silvanovich在黑帽安全峰会上展示了存在于Apple iOS iMessage客户端中的无交互漏洞,只需要一条短信就可通过这些漏洞来控制用户的设备。由于这些漏洞全程不需要受害者参与,因此特别受到暗网和黑客组织的青睐。 目前苹果已经发布了这些BUG的部分安全补丁,但是并没有完全进行修复。


13·斥资 107 亿美元,博通收购赛门铁克旗下的企业安全业务


8月8日,博通正式宣布,公司将以107亿美元的现金收购杀毒软件厂商赛门铁克旗下企业安全业务。这笔交易将赛门铁克一分为二,博通将拥有赛门铁克的整个企业安全产品组合和赛门铁克品牌名称,而赛门铁克将保留面向消费者的产品组合,其中包括LifeLock 身份保护品牌和诺顿(Norton)防病毒软件。


14·被九成世界500强企业所使用的办公电话出现漏洞,且该漏洞已存在十年之久


近日,迈克菲研究人员透露,亚美亚公司所开发的桌面电话中存在一个名为CVE-2009-0692的远程代码执行漏洞。攻击者可以利用该漏洞来劫持电话的正常操作,提取、窃取音频,并对设备进行监控。据悉,Avayay已经开始着手解决该问题。


15·苹果推出100万美元漏洞攻击报告赏金计划


苹果公司决定提供100万美元的漏洞奖励以鼓励安全人员尽可能多的发现旗下产品漏洞。包括macOS、tvOS、watchOS和iCloud;对于0Day攻击、全链内核代码执行攻击等的发现都将包含进高达100万美元的奖励当中。对于苹果这一举动,Luta Security CEO Katie Moussouris持反对观点:“我很关心苹果将奖励计划提高到这个水平,因为它可能会造成意想不到的不正当激励的后果,这就好像是在鼓励犯罪。”


16·KDE4/5 命令执行漏洞 (CVE-2019-14744) 简析


2019年7月28日Dominik Penner(@zer0pwn)发现了KDE framework版本<=5.60.0时存在命令执行漏洞。8月5日该漏洞被披露,8月8日,KDE社区修复了该漏洞。知道创宇404实验室研究员HACHp1对该漏洞进行了分析,并给出了个人观点。


17·Apache Solr DataImportHandler 远程代码执行漏洞(CVE-2019-0193) 分析


2019年08月01日,Apache Solr官方发布预警,Apache Solr DataImport功能 在开启Debug模式时,可以接收来自请求的"dataConfig"参数。在dataConfig参数中可以包含script恶意脚本导致远程代码执行。知道创宇404实验室研究员Longofo对该漏洞做出了应急,并在其过程中记录下PoC升级的历程以及自己遇到的一些问题。


知道创宇分享整理,更多内容请戳