solidot新版网站常见问题,请点击这里查看。

安全: 连 FBI 也推荐使用广告屏蔽工具

美国 FBI 在一份公告中推荐使用广告屏蔽工具,它警告网络罪犯正利用搜索结果中的广告窃取或勒索受害者的钱财。FBI 称网络罪犯购买广告冒充合法品牌如加密货币交易所,而广告通常会显示在搜索结果的顶部,用户不注意可能区分不了广告和搜索结果。恶意广告还诱骗用户安装伪装成合法应用的恶意程序,可能会窃取密码和使用勒索软件加密文件。FBI 的一个建议是使用广告屏蔽工具。通过安装广告屏蔽工具,潜在的受害者可能会看不到任何广告,更容易找到合法网站。广告屏蔽工具也有助于拦截网站不必要的臃肿部分,有利于隐私保护。FBI 称用户可以选择关闭广告屏蔽工具,选择允许或拒绝网站的所有广告。

安全: LastPass 用户密码库被盗

提供密码管理服务的 LastPass 披露了最新安全事故的调查结果——用户信息和密码库被盗,但短时间内黑客要破解用户的主密码是非常困难的。LastPass 称它最近在第三方云储存服务监测到异常活动,它立即启动了调查。调查发现,黑客利用了今年 8 月入侵开发环境中窃取到的情报,黑客在 8 月的入侵中窃取了部分源代码和私有技术信息,其中包括了 LastPass 在云储存服务中用于访问和解密部分存储卷的凭证和密钥。黑客随后拷贝了用户信息的备份和用户密码库的备份。用户信息包括了公司名称、终端用户名称、账单地址、电子邮件地址、电话号码以及客户访问 LastPass 服务的 IP 地址。用户密码库使用了 256 位 AES 密钥加密,只能通过源自用户主密码使用 Zero Knowledge 零知识架构的唯一加密密钥解密。LastPass 没有储存用户的主密码。黑客可能会通过暴力破解尝试猜出用户的主密码,LastPass 认为这非常困难,它对客户可能遭遇钓鱼攻击发出了警告。

安全: 教父恶意程序不攻击俄语用户

安全公司 Group-IB 的研究人员报告,名为教父(Godfather)的 Android 银行木马正将 16 个国家的银行和加密货币应用用户作为攻击目标,涵盖美国、土耳其、西班牙、加拿大、德国、法国和英国的 215 家国际银行、94 个加密货币钱包和 110 个加密货币交易平台。研究人员报告,教父的一项有意思功能是不会攻击俄语用户或前苏联国家用户的语言,其中包括阿塞拜疆语、亚美尼亚语、白俄语、哈萨克语、吉尔吉斯语、摩尔多瓦语、乌兹别克语或塔吉克语。这可能表明教父的作者是俄语开发者。教父被认为是 Anubis 银行木马的新版本,两者共享了代码库。黑客在窃取用户的凭证和绕过二因素认证之后会将受害者银行账户和加密钱包内的资金全部转掉。

安全: Okta 私有代码库被入侵源代码被盗

身份认证管理服务商 Okta 在一封名为机密信息的邮件中证实它在 GitHub 的私有代码库被入侵源代码被盗。Okta 今年发生了多起安全事故,早些时候黑客组织 Lapsus$ 声称访问了 Okta 管理终端和部分客户数据。最新这起事故是 GitHub 最早发现的,它警告 Okta 其代码库有可疑访问。随后的调查发现黑客拷贝了该公司私有库的源代码,但没有未经授权访问了该公司的系统或客户数据。黑客访问了 Okta Workforce Identity Cloud (WIC)代码库。该公司表示将在公司博客上公布更多信息。

安全: 腾讯微信成为 GitHub 秘密扫描合作伙伴

GitHub 官方博客宣布腾讯微信成为其秘密扫描项目的合作伙伴。不是腾讯微信会秘密扫描 GitHub 的所有代码库,而是 GitHub 有一个项目叫秘密扫描(secret scanning),旨在防止开发者的私有令牌对外泄露。开发者在公开项目中硬编码安全凭证日益成为一个严重的安全隐患,秘密扫描就是在发现这些机密信息后警告开发者。与微信合作意味着 GitHub 将在公开代码库中扫描微信官方帐户和小程序开发者相关的私有令牌,发现之后允许微信撤销这些暴露在外的令牌。

安全: GitHub 详述逐步推广 2FA 的流程

今年早些时候,最大代码托管平台 GitHub 宣布到 2023 年底所有上传代码的用户都必须使用双因素认证(2FA)。此举旨在预防开发者的账号被劫持,防止攻击者劫持账号后上传恶意代码对下游项目发动供应链攻击。现在 GitHub 官方博客详述了逐步推广 2FA 的流程:从 3 月开始要求不同组的开发者逐渐启用 2FA,这些开发者或者发布了 GitHub 或 OAuth 应用或软件包,或者创建了一个发布,或者是企业和机构的管理员,向重要的 npm、OpenSSF、PyPI 或 RubyGems 软件包贡献了代码,向前 400 万公开和私有的软件包贡献代码。相关开发者将会收到邮件通知,要求在截止期限前完成启用 2FA,这个期限通常是间隔 45 天。在这期间开发者将会每天收到警告提示。

安全: 勒索软件使用了微软签名的恶意 Windows 驱动

微软取消了多个 Microsoft 硬件开发者账号,原因是这些账号通过 Windows Hardware Developer Program 认证程序递交的驱动在获得签名之后被用于包括勒索软件在内的网络攻击。微软称,安全公司 SentinelOne、Mandiant 和 Sophos 在 10 月 19 日报告了这些活动,随后的调查发现 Microsoft Partner Center 的多个开发者账号参与了递交恶意驱动获得微软签名的活动。安全研究人员称,他们发现了一种新的工具包,包含了名为 STONESTOP (加载器) 和 POORTRY(内核模式驱动)的组件被用于网络攻击,其中 POORTRY 有微软签名。

安全: 俄罗斯法庭和市长办公室遭到破坏性恶意程序攻击

俄罗斯安全公司卡巴斯基披露了一种冒充勒索软件但实际上旨在破坏数据的恶意程序 CryWiper——名字来自于恶意程序破坏文件使用的扩展名 .cry。该恶意程序的攻击目标是俄罗斯法庭和市长办公室,但更多细节未知。卡巴斯基称,CryWiper 不破坏任何 .exe、.dll、.lnk、.sys 或 .msi 扩展的文件,也放过了重要的系统文件夹,它的破坏目标是数据库、档案和用户文件。目前只知道的是 CryWiper 专门攻击俄罗斯目标。卡巴斯基称,CryWiper 是用 C++ 编写的,用 MinGW-w64 和 GCC 编译器编译,这有点不同寻常,大部分 C++ 恶意程序是用微软的 Visual Studio 编译。恶意程序应该是在非 Windows 系统上开发的。

安全: 三星 LG 联发科的证书被用于签名恶意程序

Android OEM 厂商使用平台证书或平台密钥给操作系统和核心应用签名,如果恶意程序使用了相同密钥签名,那么它们将被分配到高权限的 android.uid.system 用户 ID,拥有系统级访问权限。Google Android 安全团队的 Łukasz Siewierski 报告多个恶意应用样本使用了 10 个平台证书,这些证书属于 OEM 厂商如三星、LG、锐伟科技和联发科。Google 已经通知了所有受影响的厂商,并建议它们轮换平台证书,调查证书是如何泄露的。

安全: Android 13 的内存安全漏洞大幅减少

过去十多年内存安全漏洞占到了所有产品漏洞的 65% 以上,但从 2019 到 2022 年 Android 中内存安全漏洞的比例从 76% 降至了 35%,2022 年是第一年内存安全漏洞不再占到 Android 漏洞的半数以上。Google 的 Jeffrey Vander Stoep 表示,虽然相关性不能代表因果性,但内存安全漏洞的减少与采用 Rust 语言有关。 Android 12 开始支持 Rust 作为 C/C++ 的内存安全替代语言。在 Android 13 中,所有新增原生代码(C/C++/Rust) 中有 21% 是 Rust 编写的,Android 开源项目 AOSP 中有大约 150 万行 Rust 代码,到目前为止 Rust 代码中没有发现任何内存安全漏洞。Google 并不预计这个数字会永远保存为零,但相对于 Rust 的代码行数,Rust 实现了其预期的目的,即防止最常见的内存安全漏洞。

安全: 主要浏览器停止信任 TrustCor 的证书

11 月 8 日,加拿大 Calgary 大学教授 Joel Reardon 和 UC 伯克利的 Serge Egelman 在 Mozliia 的邮件列表上报告,他们发现 TrustCor CA 与间谍软件开发商 Measurement Systems 和 Packet Forensics 存在千丝万缕的关系,其中后者是一家美国军方的承包商。虽然没有发现 TrustCor 签发了有问题的证书,两位研究人员对这一关联性表达了担忧。TrustCor 的高管 Rachel McPherson 在邮件列表上做出了回应,否认与 Measurement Systems 或 Packet Forensics 有任何业务往来或任何关联,但其回应未能令人满意。Mozilla Firefox 和 Microsoft Edge 宣布将停止信任 TrustCor 签发的新证书,其他浏览器开发商预计将会很快跟进。

安全: LastPass 披露最新安全事故

提供密码管理服务的 LastPass 披露了最新的安全事故。LastPass 称它最近在第三方云储存服务监测到异常活动,它立即启动了调查。初步结论是这次事故与今年八月的安全事故有关联。在今年 8 月黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限,窃取了部分源代码和私有技术信息。LastPass 称正在判断最新事故的影响范围,它表示客户的密码仍然是安全的,它利用了行业标准的 Zero Knowledge 零知识架构确保它也不知道客户的主密码。

安全: Sam Bankman-Fried 称他完全不懂编程

最近申请破产的 FTX 交易平台前 CEO Sam Bankman-Fried(SBF) 接受了加密货币视频博主 Tiffany Fong 的两次电话采访。第一次采访是在 11 月 6 日,11 月 29 日发布。在采访中他被问道了一些尖锐的问题,如 FTX 的系统是否存在后门,允许 SBF 在不惊动其他人的情况下执行命令改变公司财务记录。SBF 对此表示惊讶,称他完全不懂编程,从未打开过 FTX 的任何代码。SBF 广泛参与了政治活动,曾向美国民主党捐款,他表示其实他给民主党和共和党的捐款金额基本相同,只是给共和党的捐款没有摆在明处。对于公司倒闭及围绕他的丑闻,SBF 称他每天醒来都会花几小时反思。

安全: Google Project Zero 呼吁 Android 加快修复漏洞

Google Project Zero 安全团队想要消灭 0day,它采用的一种方法是公开督促企业加快修复漏洞,其中包括 Google 自己。在最新的官方博客中,它批评了 Android 和 Pixel 团队。今年 6 月,Project Zero 研究员 Maddie Stone 报告了一个位于 ARM GPU 驱动中正被利用的提权漏洞,另一位研究员 Jann Horn 接下来三周在驱动中发现了多个相关漏洞,这些漏洞允许攻击者获得系统的完整访问权限,绕过 Android 的权限模型。他们向 ARM 报告了漏洞,ARM 在 7 月和 8 月修复了漏洞并公布相关源代码,然而 Android 至今没有给用户打上补丁。这一次掉链子的是 Google 和 Android OEM。高通使用了自己的 GPU,但 Google 的 Tensor SoC 使用了 ARM GPU,三星和联发科也都使用了 ARM GPU,这意味着受影响的设备数量多达数百万部。Google 接受采访时表示它正在测试补丁,将会在未来几周释出。

安全: 540 万 Twitter 账号信息在黑客论坛免费共享

逾 540 万 Twitter 账号信息在一个黑客论坛免费共享。今年早些时候黑客以 3 万美元的价格兜售这批数据。黑客利用的漏洞是在 2022 年 1 月 1 日 HackerOne 用户“zhirinovskiy”报告的, Twitter 的 Android 客户端的身份验证环节存在漏洞,允许攻击者获取目标账号相关的电话号码和/或电子邮件地址。Twitter 确认了这一漏洞,奖励了 zhirinovskiy 5,040 美元奖金。但在修复前,可能有多位黑客利用了该漏洞窃取了数据。

软件: Google Chrome 释出紧急更新修复年内的第 8 个 0day

Google 释出了紧急更新修复了一个正被利用的 Chrome 桌面浏览器 0day,这是今年 Chrome 的第 8 个 0day。该高危漏洞编号为 CVE-2022-4135,为 GPU 中的一个堆溢出漏洞,由 Google Threat Analysis Group 的 Clement Lecigne 在 11 月 22 日发现。在大部分用户完成更新前 Google 没有披露漏洞细节,它建议桌面用户立即更新到新版本 107.0.5304.122 。Google Chrome 今年发现的前 7 个 0day 是 2 月 14 日的 CVE-2022-0609、3 月 25 日的 CVE-2022-1096、4 月 14 日的 CVE-2022-1364、7 月 4 日的 CVE-2022-2294 、8 月 17 日的 CVE-2022-2856、9 月 2 日的 CVE-2022-3075,10 月 28 日的 CVE-2022-3723。

安全: 2022 年最常用的密码仍然是 password

NordPass 公布了 2022 年最常用密码名单,以及破解密码所需的时间。最常用密码相比过去几年差异并不大:password、123456、123456789、guest、qwerty、12345678、111111、12345、col123456 和 123123。对于不重要的密码,大部分人都会选择容易记忆的数字或短语。破解大部分常用密码只需要不到一秒钟,少数可能需要 10 秒或更长时间,比如 col123456。NordPass 还公布了与密码趋势相关的统计:在奥斯卡奖颁奖季节使用 Oscars 作为密码的频率会大幅增加,在流行电影电视剧放映期间同名密码也会大增,比如 batman、euphoria 和 encanto。

安全: Windows 8.1 将于明年 1 月 10 日停止支持

微软将于 2023 年 1 月 10 日停止对 Windows 8.1 的支持,且不提供扩展支持包。对 Windows 8.1 用户而言,选择只有两个:购买新 Windows PC,或者付费升级到 Windows 10 或 11。1 月 10 日之后,微软将停止向 Windows 8.1 提供安全补丁,意味着用户将会面临更大的安全风险。如果 Windows 8.1 想要升级,鉴于 Windows 11 提高了硬件需求,大部分 Windows 8.1 PC 可能满足不了升级条件,只剩下升级到 Windows 10 这一选项。微软将会一直支持 Windows 10 到 2025 年 10 月 14 日。

安全: 安全研究人员悄悄破解勒索软件 Zeppelin

2020 年 5 月,一家公司感染了新勒索软件 Zeppelin,更糟糕的是备份数据也被加密了。在两周之后,老板准备屈服按要求支付赎金。这时候他们收到了一个意想不到的电话,一位 FBI 特工告诉他们不要支付赎金,可以联络一家网络安全咨询公司 Unit 221B,他们能破解密码。这家公司的创始人 Lance James 在 Zeppelin 的加密程序中发现了多个漏洞,允许他使用大约 100 台云端服务器在几个小时内暴力破解密钥。Unit 221B 不愿意声张他们的破解能力,因为如果被 Zeppelin 作者知道的话,漏洞会被堵上,破解也就失效了。Unit 221B 帮助数十名受害者避免支付赎金,而结果是 Zeppelin 勒索软件黑帮逐渐停止了活动。现在他们能公开自己的破解方法了。

安全: 近半数 macOS 恶意程序来自一个应用

Elastic Security Labs 发布了其报告《2022 Global Threat Report》,只有 6.2% 的恶意程序是针对 macOS 设备,而针对 Windows 和 Linux 的恶意程序分别占 54.4% 和 39.4%。其中令人意外的是近半数 macOS 恶意程序来自一个应用 MacKeeper,讽刺的是该应用自称零努力就能保护 Mac 干净且安全。但因为该应用拥有广泛的权限,能访问进程和文件,攻击者能滥用它,保护系统安全的应用变成了一种安全风险。MacKeeper 还被指对新手而言难以卸载,很多用户还将其标记为恶意杀毒软件。

上一页24252627282930313233下一页