四叶草网络安全学院致力于网络安全攻防实战型人才培养,学院总结多年一线实网攻防经验与案例,自研实战攻防安全教学体系,结合线上、线下培训、竞赛以及攻防实战等形式培养和提升实战能力。
一周漏洞速览
ApacheShiro1.2.4反序列化漏洞
ApacheShiro默认使用了CookieRememberMeManager,其处理cookie的流程是:得到rememberMe的cookie值Base64解码–AES解密–反序列化。然而AES的密钥是硬编码的,就导致了攻击者可以构造恶意数据造成反序列化的RCE漏洞。
修复建议:
升级Shiro到最新版。
LJCMS前台SQL注入漏洞
LJCMS是一个基于PHP+MYSQL+Smarty、免费、开源的企业网站系统,是由良精(简称liangjing/ljcms)团队专为广大站长及企业打造营销型网站管理系统的利器,系统内置了SEO搜索引擎优化机制,支持用户自定义多语言版,拥有企业网站常用的模块功能。经安全人员发现,LJCMS前台存在sql注入漏洞。
修复建议:
升级至最新版本。
TYPO3ExtensionRestler1.7.0-任意文件读取
TYPO3是瑞士TYPO3协会维护的一套免费开源的内容管理系统(框架)(CMS/CMF)。extensionrestler是其中的一个HTTP客户端库扩展。TYPO3ExtensionRestler1.7.0存在任意文件读取漏洞
修复建议:
升级该扩展。
一周安全资讯速览
微软发布紧急更新修复Office和Paint3D应用中RCE漏洞
微软今天发布了一个紧急安全更新,修复了存在于微软Office和Paint3D应用中的多个漏洞。这些漏洞存在于使用AutodeskFBX库的微软应用中,而Autodesk官方也在4月15日为受影响的产品发布了修复补丁。微软在其公告中解释说,攻击者如果成功利用上述漏洞,将能够获得与登录用户相同的权限,这意味着恶意行为者甚至可以在受影响的机器上获得管理员权限。微软在其公告中解释说,攻击者如果成功利用上述漏洞,将能够获得与登录用户相同的权限,这意味着恶意行为者甚至可以在受影响的机器上获得管理员权限。
谷歌PlayStore新漏洞导致相同版本的应用重复更新
谷歌应用商店GooglePlayStore出现了一个新的bug,导致一些应用在GooglePlayStore当中反复显示有相同版本的可用更新。用户报告受影响的应用主要包括YouTubeTV、GoogleDocs、GoogleDocs、Sheets、Slides、Gmail等第一方应用。更新后的应用甚至会在页面的"最近更新"部分列出。有趣的是,据说一些第三方应用也会提示有相同版本的应用更新。虽然这个bug并不严重,甚至可能大多数用户都不会注意到,但那些数据量有限的用户可能会浪费数量流量下载相同版本的应用。
苹果公司:无证据表明黑客可利用邮件漏洞进行攻击
据外媒报道,苹果公司表示,目前没有任何证据表明网络攻击者可以利用iPhone和iPad邮件(Mail)应用程序中的新漏洞进行黑客攻击。此次发现漏洞的Mail应用在全球可能有超过10亿用户。苹果公司表示:“我们已经彻底调查了研究人员的报告,并根据所提供的信息得出结论,这些问题不会对我们的用户构成直接的风险。研究人员在Mail中发现了三个问题,但仅凭这些漏洞并不足以让黑客绕过iPhone和iPad的安全保护,目前我们还没有发现任何证据表明它们可以被用来攻击苹果用户的隐私。”
微软发布令牌漏洞公告:可绕过Chromium沙盒执行任意代码
谷歌的安全团队近日发现存在于Windows10May(Version)功能更新中的某个BUG,能够破坏所有基于Chromium浏览器的沙盒。想要利用这个漏洞发起攻击比较复杂,主要是更改操作系统代码中与安全令牌分配有关的代码。将“NewToken-ParentTokenId=OldToken-TokenId”更改为了“NewToken-ParentTokenId=OldToken-ParentTokenId;”。谷歌的ProjectZero安全团队发现了这个漏洞,如果被黑客利用能够绕过Chromium沙盒,运行任意代码。幸运的是,在本月补丁星期二活动日发布的累积更新(KB)中,已经修复了这个漏洞。
名开发者每月产生个漏洞微软是如何用AI排查的
目前微软共有多名开发人员,每月会产生将近个漏洞,而这些漏洞会存储在多个AzureDevOps和GitHub仓库中,以便于在被黑客利用之前快速发现关键的漏洞。微软构建的机器学习模型中,旨在帮助开发者准确识别和优先处理需要修复的关键安全问题,并对其进行优先级排序。Christiansen表示:“我们的目标是建立一个机器学习系统,以尽可能接近安全专家的准确度将BUG分为安全/非安全和关键/非关键”。为了实现这个目标,微软对学习模型进行了诸多培训,提供了很多标记为安全的BUG以及其他标记为不安全的BUG。该模型经过训练之后,能够基于掌握的信息来给没有被预先分类的数据打上标签。
FPGA爆出严重漏洞,唯一解决方法是更换芯片
现场可编程门阵列,简称FPGA,是一种灵活可编程的计算机芯片,在计算终端中广泛应用,被认为是非常安全的组件。在一项联合研究项目中,科学家发现FPGA芯片中隐藏着一个严重漏洞——Starbleed。攻击者可以通过该漏洞完全控制芯片及其功能。由于漏洞已集成到硬件中,因此只能通过更换芯片来消除安全风险。FPGA的制造商已经被研究人员告知,并且已经做出了反应。
黑客入侵Uniswap和Lendf.me交易所,窃取价值万美元加密货币
近日,黑客从Uniswap交易所和Lendf.me借贷平台上窃取了超过万美元的加密货币。据调查人员称,黑客们把不同区块链技术漏洞和合法功能串连在一起,精心策划了一场复杂的“重入攻击”,“重入攻击”允许黑客在最初的交易被批准或拒绝之前,循环重复地提取资金。德国科技新闻网站Heise本周表示,在关闭该网站之前,北威州警察局就已收到起有关该骗局的欺诈报告。根据粗略估计,北威州政府目前至少造成万欧元的损失,这笔钱错误地向虚假账户进行了付款。
苹果、谷歌就接触者追踪隐私问题与德国和法国“对峙”
据外媒AppleInsider报道,目前,苹果和谷歌正在与德国和法国官员就iOS系统的安全技术问题以及如何存储接触者追踪数据的问题展开“对峙”。这两家科技巨头在4月10日宣布了一项联合倡议,将开发一个跨平台、系统级的接触者追踪框架–这种方法可以追踪并可能缓解COVID-19的传播。全球各国都在探索类似的技术,但欧洲的几个国家正在与苹果和谷歌就如何去做这件事产生分歧。苹果和谷歌周五宣布了有关其接触者追踪努力的细化技术细节,实际上,该计划将于4月28日提前推出。
零时科技区块链本周安全情报
TrailofBits首席执行官:曾警告相关漏洞,但遭Hegic无视
据Decrypt消息,TrailofBits(负责审计Hegic协议的安全公司)的首席执行官DanGuido表示,Hegic的漏洞并不是所谓的“函数命名错误”,这就是一个BUG。TrailofBits在四月初对Hegic代码进行审查时,发现了“10个关键缺陷”,但Hegic无视了关于漏洞和其他关键缺陷的警告,而是迅速推出了其“婴儿”代码。注:此前,Hegic表示其代码中出现bug,.2ETH(约美元)被永久锁定在未行使的看跌/看涨期权的合约池中。涉及用户将获得%的退款。Hegic称这并不是安全问题,而是由代码中一个函数命名错误导致的。
大庆破获一起油田偷电挖矿案收缴非法BTC矿机54台
据东北网4月26日消息,日前,黑龙江大庆油田公安分局破获一起油田偷电挖矿案,共收缴非法BTC矿机54台。据悉,该窝点自今年2月份开始,盗用周边油井电力。因比特币矿机生产比特币用电量极高,据民警初步估算,该窝点盗窃油田电力约5万余元。
HEX再现万美元大额转账而此前主要存款地址已被清空
WhaleAlert数据显示,北京时间11:36-12:11,超过59.3亿枚HEX(价值超过万美元)在未知钱包地址之间发生转移。据此前1月份消息,HEX主要存款地址被清空,近万美元的ETH被分散取走,当时社区怀疑其为HEX演变为全面骗局的明显标志。
Kraken的加密货币托管提供商Etana报告数据安全漏洞
据TheBlock4月24日消息,Kraken交易所的加密货币托管服务提供商EtanaCustody报告了数据安全漏洞。该公司称,该漏洞发生在4月18日,导致未经授权的外部用户访问其客户端用户界面。客户资金没有受到影响,但是入侵者可能已经获取了一些信息。
扫码