安全帮®每日资讯
苹果设备被曝存在PEAP认证漏洞,研究人员对官方修复方案存疑
研究人员发现苹果设备在PEAP认证上存在缺陷,攻击者可强迫苹果设备接入恶意热点。研究人员称,即使身份验证服务器(RADIUS)也不能证明密码的真实性,该错误依然允许攻击者强制任何Apple设备(iOS,macOS或tvOS)与恶意接入点关联。该缺陷影响2019年3月25前的iOS、macOS、tvOS版本,包含MacBook、iPhone、iPad、Apple TV等多种苹果设备。
参考来源:
雷锋网
https://www.leiphone.com/news/201905/foTVJ9Wh4ppZHiQP.html
Facebook未来20年将受美国政府隐私保护监督
路透社援引消息人士的说法称,社交媒体巨头Facebook即将与美国政府就隐私保护政策和行为达成协议,从而在未来20年的时间里受到监督。此前,Facebook由于涉嫌违反2011年达成的类似协议而受到调查,新协议将解决这项调查。Facebook已经拨出30亿美元用于支付该公司预计中的30亿到50亿美元罚款,随后外界就猜测Facebook将与美国政府达成协议。不过两名消息人士周一表示,协议还不会在本周内达成。
参考来源:
https://www.freebuf.com/news/203756.html
旧金山禁止政府使用面部识别技术
科技革命的心脏旧金山成为美国第一个禁止政府和警察使用面部识别监控技术的城市。市议会以 9 比 1 通过了相关提案。提出这项法案的议员 Aaron Peskin 称旧金山有责任去监管技术的过度使用,因为开发这些技术的公司总部就在这里。但批评者认为,旧金山不应该过于专注于禁止,而应该制定法规承认面部识别技术的可用性。乔治华盛顿大学宪法学专家 Jonathan Turley 称,否定面部识别在确保机场和边境设施安全方面的价值是荒诞的,很难否认这项技术在公共安全上的价值。美国公民自由联盟(ACLU)的律师 Matt Cagle 则指出,面部识别技术为政府提供了前所未有的权力去跟踪公民的日常生活,这与健康的民主制度是不相容的。
参考来源:
https://www.solidot.org/story?sid=60622
2万余台联网Linksys智能路由器存在信息泄露漏洞
目前超过2.5万台 Linksys 智能 WiFi 路由器受一个信息泄露漏洞影响,可导致大量敏感设备信息遭远程且未经认证的访问权限访问。该问题和2014年发现的 Linksys 智能 WiFi 固件安全问题 CVE-2014-8244 非常相似,后者可导致“远程攻击者经由 JNAP/HTTP 请求中的 JNAP 动作获取敏感信息或修改数据。”然而,Bad Packets 公司的安全研究员 Troy Mursch 发现,尽管该缺陷本应该在5年前修复,但仍然存在。更糟糕的是,Mursch 表示,Linksys 安全团队将该漏洞报告标记为“不适用/将不会修复”就完结。研究人员发现,易受攻击的25,617 台Linksys 智能 WiFi 路由器使用了 BinaryEdge
参考来源:
https://www.secrss.com/articles/10642
美国公共部门2019年勒索软件袭击事件已超20起
近日,美国安全研究人员发现,美国当地政府实体、城市、警察局和学校的勒索软件袭击已远远超过2018年同期记录。截止目前,2019年已发生了22次已知的公共部门攻击。美国网络安全公司Recorded Future统计数据显示,自2013年以来美国至少有170个县、市或州政府系统遭到网络攻击,其中包括至少45个警察局和治安官办公室。该公司汇编了所有已知的地方政府系统勒索软件感染事件,总结出美国城市遭到的是一种加密计算机文件的网络攻击,攻击者以勒索为目的,通常指定以比特币形式支付赎金。近年来,美国政府已向黑客支付了数百万美元,以恢复瘫痪的系统。
参考来源:
https://www.secrss.com/articles/10648
WordPress插件WP Live Chat Support曝出XSS漏洞,影响数万用户
在对Sucuri防火墙进行例行研究审核的时候,突然发现WordPress插件WP Live Chat Support中存在一个无需身份验证的持久型跨站脚本漏洞(XSS),影响了60000多个用户。尽管此安全漏洞已在8.0.27版本中得到修复,但攻击者还是可以利用此漏洞直接攻击那些尚未修复漏洞的网站,而且无需任何身份验证。值得注意的是,可以绕过身份验证的攻击是非常严重的,因为这样就可以使用脚本实现自动化攻击,使黑客轻松地对存在漏洞的网站进行批量攻击。为了防御此漏洞,我们强烈建议使用了WP Live Chat插件的用户尽快将其更新到8.0.27版本。无法立即更新的用户可以利用Sucuri防火墙或其他安全软件进行漏洞防护。
参考来源:
https://nosec.org/home/detail/2647.html
苹果无法为部分 Mac 电脑提供 “ZombieLoad” 漏洞补丁
2011年之前的几款Mac仍然可能容易遭受类似“ZombieLoad”的安全攻击,而苹果无法解决这个问题,因为英特尔不会发布必要的微代码更新。虽然“ZombieLand”漏洞本身不会影响这些机器,但由于特定的攻击媒介,如果没有英特尔的帮助,苹果无法完全修补其他此类的“推测执行漏洞”。“ZombieLand”漏洞影响了自2011年以来所有英特尔处理器,苹果最新支持文档仅列出了早期易受类似问题影响的Mac型号。它们依然获得苹果技术支持,或者或者能够运行最新的Mac Mojave操作系统。
参考来源:
http://hackernews.cc/archives/25570
快到碗里来吧!扫码或者点击阅读原文了解详情↓↓↓。
本文资讯内容来源于互联网,版权归作者所有,如有侵权,请留言告知,我们将尽快处理。
关于安全帮
安全帮,是中国电信网络与信息安全研究院旗下安全团队,致力于成为“SaaS安全服务领导者”和“SDS软件定义安全先行者”。聚焦云安全领域,持续发力云平台安全和SaaS安全服务两大方向。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。
声明:该文观点仅代表作者本人,加国头条 属于信息发布平台,加国头条 仅提供信息存储空间服务。
0 Comments
Leave A Reply