微软产品七成漏洞是内存安全问题
微软工程师 Matt Miller 在以色列举行的安全会议 BlueHat 上透露,软件巨人旗下产品过去 12 年修复的所有漏洞,七成涉及的是内存安全问题。内存安全是软件和安全工程师使用的术语,描述应用程序以不会导致错误的方式访问操作系统内存。当软件无意或有意以超出其分配大小和内存地址的方式访问内存时,就会出现内存安全漏洞。缓冲区溢出、竞争条件、分页错误、空指针,堆栈耗尽,堆耗尽/损坏、释放后使用或双重释放等术语描述的都是内存安全漏洞。
参考链接:https://www.solidot.org/story?sid=59556
Facebook被发现可搜索女性朋友的照片却无法搜索男性的
据外媒TheNextWeb报道,一位比利时安全研究人员在Facebook的搜索功能中发现了一个不寻常的怪异现象。Facebook允许用户搜索女性朋友的照片,但却无法查看男性朋友的照片。这个现象被臭名昭著的比利时白帽黑客Inti De Ceukelaire发现。
TNW已经设法复制了几个Facebook帐户的故障。当用户在搜索栏中输入“我的女性朋友的照片”时,Facebook将出现一些看似随意的女性朋友照片。用“男性”换掉“女性”会让人感觉完全不同。而不是社交网络中的朋友的照片,而是显示来自社交网络的精选图片。这些来自用户没有关注的帐户和团体。假设用户错误输入了查询,Facebook也会询问用户是否打算输入“女性”。
参考链接:https://www.cnbeta.com/articles/tech/817589.htm
Linux Miner从受感染的系统中删除竞争恶意软件
趋势科技的研究人员最近观察到针对Linux机器的挖矿软件可以从受感染的系统中删除大量其他恶意软件家族。该威胁借用以前看到的恶意软件(如Xbash和KORKERDS)代码,将加密货币挖掘代码安装到受害机器上,并通过将自身植入系统和crontabs来实现持久性。初始脚本将提供给目标,以删除大量已知的Linux恶意软件,挖矿软件以及与其他矿工服务和端口的连接,然后下载挖掘加密币的二进制文件。此外,该脚本还下载了加密货币挖掘恶意软件XMR-Stak的修改版本,XMR-Stak是一种通用的Stratum池式挖掘器,能够利用CPU和GPU功率来挖掘加密货币。
参考链接:https://www.hackeye.net/threatintelligence/18950.aspx
小米电动滑板车有漏洞,可无需身份验证远程访问
据美国科技媒体CNET援引安全研究组织Zimperium周二发布的研究报道称,小米型号为M365的电动滑板车存在漏洞,可能会让黑客远程控制该滑板车,比如导致滑板车突然加速或突然刹车。
Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现,其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板,完全无需身份验证。
参考链接:https://tech.sina.com.cn/it/2019-02-13/doc-ihqfskcp4827888.shtml
利用RunC 漏洞获得 Docker、Kubernetes 主机的 root 权限
Runc 容器运行时中存在一个漏洞,可导致恶意容器(仅需最少用户交互)覆写主机 runc 二进制并获得主机监的 root 代码执行权限。该漏洞是由研究员 Adam Iwaniuk 和 Broys Poplawski 发现的,编号是 CVE-2019-5736,在用户名称空间正确使用的系统上遭自动拦截(不以 root 运行的容器不受影响)。然而,它影响的机器“主机 root 被映射到容器的用户名称空间中”,因为默认的 AppArmor 策略和 Fedora 的默认 SELinux 策略并不会拦截 CVE-2019-5736 触发。
参考链接:https://mp.weixin.qq.com/s/GER4P-BY3Ntdkntyi2WLOw
与《我的世界》相关的炸弹威胁恶作剧导致数百所学校撤离 两名涉事黑客遭指控
据外媒 The Verge 报道,近日一个与《我的世界》(Minecraft)相关的炸弹威胁恶作剧导致英国和美国数百所学校的学生撤离,而两名涉事黑客已被逮捕指控。
Timothy Dalton Vaughn和George Duke-Cohan,他们各自的黑客别名 “wantbyfeds” 和 “DigitalCrimes” ,在 2 月 8 日因黑客犯罪、阴谋和“涉及爆炸物的州际威胁” 被指控,指的是他们将众多炸弹威胁发送到不同的学校。
法院文件声称,Vaughn 和 Duke-Cohan 在一个名为 Apophis Squad 的黑客组织内行动,协调了一系列“炸弹和学校射击威胁,旨在引起对迫在眉睫的危险的恐惧,并导致两大洲数百所学校在很多场合关闭。“
关于 Vaughn 和 Duke-Cohan 的行动的报道于 2018 年 3 月首次出现。他们向学校发送电子邮件,迫使撤离,但英国诺桑比亚警方的一份声明证实这是一个可追溯到美国的恶作剧。
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号