各位早上好,今天是 2018 年 5 月 7 日星期一,农历三月廿二。今天的 BUF 早餐内容主要有:推特不慎以纯文本形式发送用户密码,正督促超过3.3亿用户修改密码;微软为 Hyper-V 赏金计划发布 Hyper-V 符号;英特尔处理器中再现8个新漏洞,4个有严重威胁;Glitch 利用 GPU 翻转针对 Android 手机发起 Rowhammer 攻击;微软发布针对 Windows 容器的紧急补丁 ;快递新规正式实施,泄露用户信息可罚十万元。
以下请看详细内容:
【国际时事】
推特不慎以纯文本形式发送用户密码,正督促超过3.3亿用户修改密码
本周三,推特发布声明承认其存储密码的机制存在问题,不慎将用户的密码以纯文本形式存储并公开在公司内网服务器中。目前,推特已经就此向相关监管部门通报,并呼吁将近 3.3 亿用户更改密码。
Twitter 表示,它通常利用科技巨头公司常用的标准——bcrypt 散列函数传递密码并屏蔽密码。但是,由于传递过程中存在一个 bug,在完成哈希处理之前密码被写入了内部日志。Twitter 表示他们自己发现了这个错误,已经删除了密码,并且正在实施计划来防止这个错误再次发生。目前,调查结果表明密码并被不正当的使用。[来源:bleepingcomputer]
微软为 Hyper-V 赏金计划发布 Hyper-V 符号
微软为 Hyper-V 的许多核心组件发布了调试符号。安全研究人员可以分析这些调试符号,找出漏洞,并通过 Hyper-V 漏洞奖励计划提交漏洞。
Hyper-V 漏洞奖励计划奖金从 5,000 美元到 250,000 美元不等,其中(使客户虚拟机能够逃脱或危害主机或其他访客虚拟机的)远程代码执行漏洞的奖金最高。
微软的公告显示,此次发布的 Hyper-V 符号并非全部,与管理程序相关的符号并未发布,因为微软希望客户不要过于依赖未记录的超级调用实例。
读者可以点击此处获取微软发布的 Hyper-V 调试符号完整列表,并通过连接到 Microsoft 的 Symbol Server 或使用 symchk.exe 下载这些符号,然后研究分析找出漏洞。[来源:bleepingcomputer]
【漏洞攻击】
英特尔处理器中再现8个新漏洞,4个有严重威胁
根据外媒 itnews 报道称,有研究人员在英特尔处理器中发现并报告了 8 个新的 Spectre 式硬件漏洞,其中有 4 个可能造成严重威胁,其他的属于中等威胁。目前,英特尔也证实了这些漏洞的存在,表示已经将其列入“通用漏洞披露”(Common Vulnerabilties and Exposures)中,并正在开发补丁。
新的漏洞被命名为“Spectre New Generation”,其中一个漏洞可能比 Spectre 造成的影响更严重。这个漏洞可被攻击者绕过虚拟机隔离,丛云主机系统中窃取密码和数字密钥等敏感数据。不管英特尔的软件保护扩展(SGX)是否启用,这一系列的漏洞都可以被利用。
这些漏洞源于硬件的设计缺陷,并允许攻击者在内存中读取数据。成千上万的新旧处理器都容易受到漏洞影响。英特尔已承诺重新架构其处理器,以防止再次出现Spectre和Meltdown漏洞。[来源:itnews]
Glitch 利用 GPU 翻转针对 Android 手机发起 Rowhammer 攻击
来自阿姆斯特丹自由大学的研究人员演示了最新的 Rowhammer 攻击,可以利用 GPU 翻转比特入侵 Android 手机。 Rowhammer 攻击是指利用临近内存单元之间电子的互相影响,在足够多的访问次数后让某个单元的值从 1 变成 0,反之亦然。这是一种边信道攻击,可被攻击者利用获取更高的权限。
最新的漏洞利用被称为 GLitch(PDF),首次演示了 GPU 能翻转个别储存在 DRAM 中的比特。 GLitch 也是第一个利用标准 JavaScript 入侵智能手机的 Rowhammer 攻击,意味着只需要用户访问一个恶意网站之后就能利用漏洞远程执行代码。GLitch 入侵手机平均不到 2 分钟,比之前的 Rowhammer 攻击高效得多。[来源:bleepingcomputer]
微软发布针对 Windows 容器的紧急补丁
在每月日常更新之前,微软针对Windows 主机计算服务 Shim(hcsshim)库中的一个严重漏洞发布了紧急补丁。瑞士开发人员和安全研究人员 Michael Hanselmann 之前发现了这个漏洞(CVE-2018-8115),这由于 hcsshim 库在导入 Docker 容器映像时未正确验证输入而导致的。远程攻击者可能利用这个漏洞,在 Windows 计算机上运行恶意代码,最终创建、删除和替换文件。
Hanselmann 今年 2 月向微软报告了这个问题,而微软在本月修复日之前紧急发布了 hcsshim 的更新版本,修复了这个漏洞。虽然这个漏洞的评级为严重,但微软表示不太可能出现在野利用。这个漏洞的详细信息尚未发布,但 Hanselmann 承诺在与微软安全响应中心达成协议之后,于 5 月 9 日发布深入的技术细节和 PoC 。[来源:TheHackerNews]
【国内新闻】
快递新规正式实施,泄露用户信息可罚十万元
5月1日,《快递暂行条例》(以下称《条例》)正式开始实施,其中规定彻底落实实名收寄制度、泄露或者非法提供快递服务过程中知悉的用户信息,最高处10万元罚款以及细化无法投递、无法退回快件的处理规则和快件损失赔偿规则等,保障快递安全,保护用户合法权益。
《条例》规定除有关部门依照法律对快件进行检查外,任何单位或者个人不得非法检查他人快件,冒领、私自开拆、隐匿、毁弃、倒卖或者非法检查他人快件,尚不构成犯罪的,依法给予治安管理处罚。《条例》要求经营快递业务的企业应当建立快递运单及电子数据管理制度,妥善保管用户信息等电子数据,定期销毁快递运单,采取有效技术手段保证用户信息安全。
《条例》还规定经营快递业务的企业有出售、泄露或者非法提供快递服务过程中知悉的用户信息的,由邮政管理部门责令改正,没收违法所得,并处1万元以上5万元以下的罚款;情节严重的,并处5万元以上10万元以下的罚款,并可以责令停业整顿直至吊销其快递业务经营许可证。[来源:广西新闻网]
*AngelaY 编译整理,转载请注明来自 FreeBuf.COM。
关注我们:请关注一下我们的微信公众号: NiudunX
温馨提示:文章内容系作者个人观点,不代表牛盾网络Newdun.com®对观点赞同或支持。
版权声明:本文为转载文章,来源于 小牛 ,版权归原作者所有,欢迎分享本文,转载请保留出处!