标签 漏洞 下的文章

某个在应用中利用零日漏洞的团队已被解散

之前我们报道过,某个主流电商应用利用零日漏洞达成不可卸载、窃取用户信息等恶意功能,后被谷歌 下架。此事也被其它安全团队独立 验证。据外媒报道,该公司有上百人负责挖掘安卓漏洞,并利用这些漏洞。最初带有恶意功能的版本只针对农村和小城镇的用户,以避免被发现。通过收集用户活动的大量数据,它得以提供更具有个性化的推送通知和广告,吸引用户打开应用并下单。此事曝光发酵后,该团队被解散,大部分人员被分流。并释出了新的版本移除了漏洞利用代码,但底层代码仍保留在其中。安全专家表示,他们从未看到过一个主流应用会那样做。

消息来源:CNN
老王点评:我的理解是,这就是“知行合一”。

上古的 LISP 机系统软件 v100 恢复成功

这是 MIT CADR Lisp 机的系统软件的最后一个版本。因此,这既是一个新的版本,也是一个非常古老的版本。这款软件和它所运行的机器是一场“重要战斗”的标志和纪念物,那场战斗是一场以敌对方式制造计算机的战争。战斗的双方,MIT/斯坦福一方认为,制造计算机的正确方法是用最好的语言编写最好的软件,如果有必要的话,还要设计特殊的花哨的计算机来运行这些软件;新泽西一方认为制造计算机的正确方法是制造小而快、容易和简单的软件和硬件,做大多数人在当时需要的事情。结果我们都知道了,MIT Lisp 机已经湮没在历史中;而胜利方开发出了 Unix 和 C,建立了 RISC、CISC、X86 指令架构,和基于 Algol 的整个语言家族,包括从 BASIC 到 C++ 到 Pascal 到 Go。被恢复的是 MIT CADR Lisp 机的系统软件的最终版本,从备份磁带上花费了十年的时间提取和清理,并使其在 35 年后首次运行。

消息来源:The Register
老王点评:真是尘封的历史文物。

Tor 合作推出的新浏览器不使用洋葱网络

Tor 项目正在推出一个注重隐私的浏览器 Mullvad 浏览器,它并不是连接到去中心化的洋葱网络。该浏览器的主要目标是使广告商和其他公司更难在互联网上追踪你。默认情况下,该浏览器通过屏蔽元数据,使网站更难对你进行 “指纹” 识别。此外,它还阻止了第三方 Cookie 和跟踪器,并预装了一些插件来进一步减少你的指纹。

消息来源:The Verge
老王点评:虽然装插件也可以实现,但是开箱即用还是会方便。只是这种浏览器有时候并不太方便。

FSF 警告远离 iPhone、亚马逊和流媒体服务

自由软件基金会(FSF)第 13 年发布了其《道德技术礼品指南》,这次还给一些公司和产品贴上了 “远离” 的负面标签。指南中说,对于 iPhone:不仅仅 Siri 令人毛骨悚然,所有苹果设备都包含对用户有敌意的软件。对于 MacBook:macOS 是限制其用户自由的专有软件,macOS 被发现在用户每次打开一个应用程序时都会提醒苹果。对于亚马逊:最臭名昭著的 DRM 犯罪者之一,他们利用设备和服务来监视用户。对于流媒体服务:除了受 DRM 约束的流媒体音乐外,还需要安装额外的专有软件。FSF 最后称,为了尊重自由,他们建议赠送 FSF 会员资格。

消息来源:FSF
老王点评:厄,对于大部分普通人,我想还是会选这些“邪恶”的产品或服务吧,这就是这件事讽刺的地方。

微软员工意外爆料 Windows 11 的记事本将有标签页

微软的一名高级产品经理发布了一张带有标签页的记事本版本的照片,热情洋溢地宣布 “Windows 11 中的记事本现在有标签了!”并随即在几分钟后删除了该推文。如果微软真的为记事本添加标签,它将是继今年早些时候微软为文件资源管理器添加标签后,第一个获得标签界面的内置应用程序。

消息来源:The Verge
老王点评:可能大家喜欢的就是记事本一成不变和呆板简单吧?

惊现 10 级内核漏洞,但多数 IT 管理员不用惊慌

研究人员公布了一个严重级别为 CVSS 10 的安全漏洞,它存在于 Linux 内核 5.15 版本中加入的 ksmbd 模块中。ksmbd 用于实现服务器端的 SMB3 服务,具有优化的性能和更小的占用空间。但它运行在内核空间,而不是在用户空间中。好在大多数用户仍然使用 Samba,不受影响。该漏洞于 7 月份发现后,已于 8 月份发布的 Linux 内核 5.15.61 及更新版本中修复。

消息来源:The Register
老王点评:不是啥都该塞到内核空间的。

有将近 1400 万基于 Linux 的系统直接暴露在互联网上,这使得它们成为有利可图的现实世界攻击目标,这些攻击可能会导致它们被部署恶意的 Webshell、加密货币矿工、勒索软件和其他木马。

网络安全公司 趋势科技 发布了一份对 Linux 威胁形势的深入研究,其根据从蜜罐、传感器和匿名遥测中收集的数据,详细介绍了 2021 年上半年影响 Linux 操作系统的首要威胁和漏洞。

该公司检测到近 1500 万个针对基于 Linux 的云环境的恶意软件事件,发现加密货币矿工和勒索软件占所有恶意软件的 54%,Webshell 占 29%。

此外,通过剖析同一时期 10 万台 Linux 主机报告的 5000 多万例事件,研究人员发现了 15 个顶级安全缺陷,这些缺陷已经在野外被广泛利用或有了概念证明(PoC):

  • CVE-2017-5638(CVSS 评分:10.0) - Apache Struts 2 远程代码执行(RCE)漏洞
  • CVE-2017-9805(CVSS 评分:8.1) - Apache Struts 2 REST 插件 XStream RCE 漏洞
  • CVE-2018-7600(CVSS 评分:9.8) - Drupal Core RCE 漏洞
  • CVE-2020-14750(CVSS 评分:9.8) - Oracle WebLogic Server RCE 漏洞
  • CVE-2020-25213(CVSS 评分:10.0) - WordPress 文件管理器(wp-file-manager)插件 RCE 漏洞
  • CVE-2020-17496(CVSS score: 9.8) - vBulletin subwidgetConfig 未认证 RCE 漏洞
  • CVE-2020-11651(CVSS 评分: 9.8) - SaltStack Salt 授权弱点漏洞
  • CVE-2017-12611(CVSS 评分: 9.8) - Apache Struts OGNL 表达式 RCE 漏洞
  • CVE-2017-7657(CVSS score: 9.8) - Eclipse Jetty 块长度解析的整数溢出漏洞
  • CVE-2021-29441(CVSS 评分:9.8) - 阿里巴巴 Nacos AuthFilter 认证绕过漏洞
  • CVE-2020-14179(CVSS 评分:5.3) - Atlassian Jira 信息泄露漏洞
  • CVE-2013-4547(CVSS 评分:8.0) - Nginx 制作的 URI 字符串处理访问限制绕过漏洞
  • CVE-2019-0230(CVSS 评分:9.8) - Apache Struts 2 RCE 漏洞
  • CVE-2018-11776(CVSS 评分:8.1) - Apache Struts OGNL 表达式RCE 漏洞
  • CVE-2020-7961(CVSS 评分:9.8) - Liferay Portal 不受信任的反序列化漏洞

更令人不安的是,官方 Docker Hub 资源库中最常用的 15 个 Docker 镜像被发现存在数百个漏洞,这涉及 python、node、wordpress、golang、nginx、postgres、influxdb、httpd、mysql、debian、memcached、redis、mongo、centos 和 rabbitmq。这表明需要在开发管道的每个阶段保护容器免受广泛的潜在威胁。

研究人员总结说:“用户和组织应始终应用安全最佳实践,其中包括利用安全设计方法,部署多层虚拟补丁或漏洞屏蔽,采用最小特权原则,并坚持共同责任模式。”


via: https://thehackernews.com/2021/08/top-15-vulnerabilities-attackers.html

作者:Ravie Lakshmanan 选题:wxy 译者:wxy 校对:wxy

本文由 LCTT 原创编译,Linux中国 荣誉推出

使用 Ubuntu 计算出了圆周率的最新记录

此前,圆周率的纪录是小数点后 50 万亿位。日前,瑞士的科学家宣布,他们使用了一台运行 Ubuntu Linux 20.04 的计算机算出了圆周率(π)的最新数值,小数点后 62.8 万亿位,打破了新的世界纪录。这台计算机装有两块 32 核 AMD Epyc 芯片、1TB 内存,有 38 个 16TB 的硬盘,其中 34 块用作内存交换,剩下 4 块用于存储计算出来的圆周率。他们从今年的 5 月 4 日开始,历时 108 天 9 小时。最初是用十六进制进行计算的,然后又用了 12 天转换为十进制数字。最后的十位数为 78 1792 4264。

有一个这样的说法,宇宙中的所有信息都能在 π 的某个位置中找到。

glibc 安全修复带来了一个更糟糕的漏洞

最初的问题并不那么糟糕,要利用这个缺陷发起最小的攻击,攻击者需要许多前提条件。而为了修复这个缺陷,却带来了一个更糟糕的错误,有可能触发分段故障,导致任何使用该库的应用程序崩溃。红帽公司对第二个漏洞给予 CVSS 7.5 分的高危评分。由于每个 Linux 程序,包括其他语言的解释器(如 Python、PHP)都与 glibc 库相链接。glibc 是仅次于内核本身的第二重要的东西,所以影响相当大。目前新的修复已经提交到上游。

有时在不相关的代码路径中的改变会导致其他地方的行为改变,而程序员却没有意识到发生了什么。

断更十年的 Slackware 15.0 就要发布正式版了

Slackware 是最古老的仍在维护的 Linux 发行版之一。自 Slackware 14 以来,已经过去了近十年。早在 2 月份,Slackware 15.0 Alpha 就已发布,然后在 4 月份发布了 Slackware 15.0 Beta。现在,他们发布了 Slackware 15.0 的第一个候选版本,而稳定版本应该不会太远了。

作为当年见过和使用过的第一个 Linux 发行版,我是没想到 Slackware 居然还能再次活跃起来。

谷歌宣布新的游戏化漏洞赏金平台

谷歌的漏洞奖励计划(VRP)共发现 11055 个漏洞,奖励了 2022 名研究人员,总奖励金额近 3000 万美元,并有近 20 名漏洞猎人加入了谷歌 VRP 团队。为了纪念该计划的 10 周年,他们宣布了一个新的平台:bughunters.google.com,这个新网站将谷歌所有的 VRP(谷歌、安卓、滥用、Chrome 和 Play 商店)更紧密地联系在一起。该平台将具有游戏化功能,提供更多互动或竞争的机会。将有每个国家的排行榜,并有机会获得特定错误的奖励或徽章。

加入游戏化元素后,真成了赏金猎人打怪模式了。

中国 IPv6 活跃用户数已达网民半数

网信办在回答记者问时提到:截至 2021 年 5 月,我国 IPv6 地址拥有量达到 59030 块(/32),位居世界第一,我国 IPv6 活跃用户数达 5.28 亿,占互联网网民总数的 53.39%。

按网信办《通知》要求,到 2023 年末,IPv6 活跃用户数达到 7 亿,物联网 IPv6 连接数达到 2 亿。到 2025 年末,IPv6 活跃用户数达到 8 亿,物联网 IPv6 连接数达到 4 亿。之后再用五年左右时间,完成向 IPv6 单栈的演进过渡。

在 IPv4 地址得不到满足的情况下,转而拥抱 IPv6 反而走在了其它 IPv4 富裕国家前面。

微软新提案让 Chrome 页面加载速度更快

在一个新的 Chromium 提案中,微软正通过 chrome://protocol 为获取的脚本开发新的“代码缓存”。在启用之后,能提高 Chrome 在 Windows、Linux、macOS 和其他桌面平台上的页面加载速度。在加载和执行一个脚本后,V8 可以将为该脚本生成的解释器字节码序列化。之后,如果 Blink 告诉 V8 再次运行相同的脚本,并提供以前的序列化字节码,那么 V8 可以跳过最初的解析步骤,脚本运行得更快。这对于页面加载时间来说非常重要。在使用新功能之后,微软已经观察到在新标签页上首次绘制内容的时间减少了 11%-20%。

自从微软使用 Chromium 作为 Edge 内核之后,Chromium 的改进速度就明显加快了。

微软正式宣布推出 Windows 11 操作系统

这是微软六年来首次推出新的 Windows 系统,也是微软系统十年来最重要升级。Windows 11 将在今年晚些时候发布,会对所有 Windows 10 用户免费更新。Windows 11 最大的变化是它的用户界面,引入了几个大的变化,包括重新设计的开始菜单,抛弃了从 Windows 8 起引入的动态磁贴,新的主题,带有小部件的个性化推送,以及新的多任务菜单。微软还将推出一个全新的微软商店,提供 Win32、PWA、UWP 应用以及安卓应用。其中安卓应用是通过微软商店中的亚马逊 Appstore 平台在 Windows 上安装的。

这个新的 Windows 11 有很多值得注意的变化,具体请正式推送时大家自行体会吧。

谷歌扩展开源漏洞数据库以纳入更多数据

虽然开源软件存在诸多优势,但其漏洞问题也日益凸显。绝大多数开源代码库至少包含一个已知的开源漏洞,而 92% 的开源库缺陷可以通过简单的更新轻松修复。今年 2 月,谷歌推出了开源漏洞数据库(OSV),并扩展 OSV 以包括来自主要开源项目的漏洞数据库,包括 Python、Rust、Go 和 DWF。从多个开源数据库汇总数据的主要挑战之一是,它们可能遵守不同的格式。因此,谷歌研究了一个“漏洞交换模式”,以人类和自动化工具都能使用的格式来描述各开源项目的漏洞。

这对于开源软件的安全缺陷状况会有直接的改善,但是要真正形成影响,还需要更多的工作和推广。

官方 Python 存储库被发现六款加密货币挖矿恶意软件

专注于软件供应链安全管理的研究公司 Sonatype,刚刚在官方的 Python 软件存储库(PyPI)上发现了六个包含不同恶意软件的 Python 包。这些恶意代码被藏于 setup.py 中,继而导致加密货币挖矿类恶意软件被下载并安装到受害者的系统上。过去数月,这几款恶意软件包被下载量将近 5000 次。此类恶意软件主要是针对那些拥有高性能 Linux 机器的机器学习研究人员们。

这真是精准“打击”,我觉得类似 PyPI 这样的公共软件库需要有更主动的恶意代码防范手段。