BUF早餐铺 | 安全漏洞可以让攻击者可以从高通芯片中恢复私钥;Facebook可能因数据滥用而面临50亿美...

栏目: Java · 发布时间: 5年前

内容简介:各位Buffer早上好,今天是 2019年4月26日星期五。今天的早餐铺内容主要有:安全漏洞可以让攻击者可以从高通芯片中恢复私钥;Facebook可能因数据滥用而面临50亿美元的FTC罚款;Oracle WebLogic爆出零日漏洞;攻击者滥用GitHub服务来托管网络钓鱼工具包;美日联合声明,网络攻击将被视为武装攻击。该漏洞影响高通芯片(用于数亿台Android设备)QSEE模块处理内部数据的方式。QSEE是一个可信执行环境(TEE),类似于英特尔的SGX。去年3月,NCC集团的安全研究员Keegan R

各位Buffer早上好,今天是 2019年4月26日星期五。今天的早餐铺内容主要有:安全漏洞可以让攻击者可以从高通芯片中恢复私钥;Facebook可能因数据滥用而面临50亿美元的FTC罚款;Oracle WebLogic爆出零日漏洞;攻击者滥用GitHub服务来托管网络钓鱼 工具 包;美日联合声明,网络攻击将被视为武装攻击。

BUF早餐铺 | 安全漏洞可以让攻击者可以从高通芯片中恢复私钥;Facebook可能因数据滥用而面临50亿美...

安全漏洞可以让攻击者可以从高通芯片中恢复私钥

该漏洞影响高通芯片(用于数亿台Android设备)QSEE模块处理内部数据的方式。QSEE是一个可信执行环境(TEE),类似于英特尔的SGX。去年3月,NCC集团的安全研究员Keegan Ryan发现,Qualcomm实施的ECDSA加密签名算法允许检索在高通处理器的QSEE安全区域内处理的数据。攻击者只要在目标Android设备上获得Root权限即可获取QSEE空间中的数据。

Ryan表示去年就通知高通关于这个严重漏洞的详细信息,高通于本月早些时候发布了固件补丁,这些补丁已经包含在Google的Android 2019年4月安全更新中。但是鉴于很多Android设备厂商在推送补丁时动作十分缓慢,大量的手机用户仍处于巨大的安全风险之中。[来源: zdnet ]

Facebook可能因数据滥用而面临50亿美元的FTC罚款

联邦贸易委员会(FTC)对Facebook发起的长达一年的数据安全调查已接近尾声,Facebook可能面临高达50亿美元的罚款。这家社交媒体巨头在周三发布的2019年第一季度财报中表示,它正拨出30亿至50亿美元作为应急费用。

此前,美国参议员罗恩·怀登(Ron Wyden)在一封写给美国联邦贸易委员会(FTC)的信中表示,希望让Facebook首席执行官马克·扎克伯格对该社交网络在隐私问题上所犯的错误“承担个人责任” 。这位民主党立法者写道: “考虑到扎克伯格先生的欺骗性陈述,他对Facebook的个人控制,以及他在批准与共享用户数据相关的关键决策中的作用,FTC可以而且必须让扎克伯格亲自对这些持续的违规行为负责。” 怀登在周二致FTC的一封信中表示。“FTC还必须明确表明,如果发生任何未来的违规行为,将适用于Facebook公司和扎克伯格先生的重大处罚。”[来源: zdnet ]

Oracle WebLogic爆出零日漏洞

该零日漏洞会影响所有启用wls9_async_response.war和wls-wsat.war组件的Weblogic版本,包括最新版本。攻击者可以利用此漏洞通过发送特制的HTTP请求,在未经授权的情况下远程执行命令。根据CNCERT/CC发布的 CNTA-2019-0015 公告,该漏洞会影响WebLogic 10.x和WebLogic 12.1.3版本。甲骨文尚未解决这一关键漏洞。安全专家建议禁用易受攻击的模块“wls9_async_response.war”和“wls-wsat.war”,或禁止在Oracle WebLogic安装中访问URL“/ _async / *”和“/ wls-wsat / *”。KnownSec 404团队的专家通过使用ZoomEye搜索引擎在线搜索易受攻击的实例,发现36,173次攻击尝试,其中大部分在美国和中国。[来源: securityaffairs ]

攻击者滥用GitHub服务来托管网络钓鱼工具包

攻击者利用GitHub Pages服务绕过白名单和网络防御,就像“使用大型消费者云存储站点、社交网络和商务服务,如Dropbox、Google Drive、Paypal、Ebay和Facebook“,可以将他们的恶意活动融入合法的网络流量中。研究人员表示,自2019年4月19日起,GitHub封禁了所有被发现参与恶意活动的账户。

正如Proofpoint的研究团队所发现的那样,多个恶意攻击者使用github.io域作为各种恶意活动的一个环节,包括网络钓鱼攻击,这些攻击将受害者引导到GitHub服务上托管的登陆页面。[来源: securityaffairs ]

美日联合声明,网络攻击将被视为武装攻击

据外媒报道,日本和美国一致认为,针对日本的网络攻击可以被视为两国安全条约中提及的武装攻击。日本外相河野太郎和防卫大臣岩屋毅在东京于美日联合安全咨询委员会上会见了美国国务卿迈克·蓬佩奥和代理国防部长帕特里克·沙纳罕。后发布的联合声明中提到,将会根据具体情况,通过磋商决定一次网络攻击能否被归为武装袭击。有专家指出,很难界定网络攻击的目标是为了找出电脑安全系统漏洞的反间谍活动,还是攻击整个电脑系统,使其陷入瘫痪状态。

网络攻击包括侵入个人或企业电脑以及更严重的对基础设施的攻击,例如电力公司和金融机构。会议还发布了以在太空和网络空间等防卫新领域强化合作为主要内容的联合文件。文件对太空、网络和有阻碍通信之虞的电磁波这些新领域迅速的技术进步表示关切,将三者定位为有必要采取应对的优先领域。双方还就恶意网络活动构成“进一步威胁”达成共识。[来源: E安全 ]


以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

计算机科学导论

计算机科学导论

Behrouz A.Forouzan / 刘艺 / 机械工业出版社 / 2009-1 / 30.00元

本书是大学计算机相关专业的基础课教材,涉及到计算机科学的各个方面。本书着重讲解基本概念而不是数学模型和技术细节,通过大量的图表和演示范例讲解计算机科学的基础知识;每章后面的关键术语、小结和练习有助于读者掌握和复习知识要点。 本书既适合当作大专院校的计算机基础课教材,也可作为一般的计算机基础入门读物。一起来看看 《计算机科学导论》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

UNIX 时间戳转换
UNIX 时间戳转换

UNIX 时间戳转换

正则表达式在线测试
正则表达式在线测试

正则表达式在线测试