设为首页

 找回密码
 注册创意安天
创意安天»论坛 社区服务 傲气安天 IT综合信息区 每日安全简讯(20181229)
返回列表 发新帖

每日安全简讯(20181229)

[复制链接]
发表于 2018-12-28 19:54 | 显示全部楼层 |阅读模式
1 数字隐写技术将被恶意代码广泛采用

本月初在伦敦黑帽欧洲会议(Black Hat Europe conference)上,从研究人员Dominic Sc​​haub发布一款新工具表明,隐写术在未来将变得更加难以发现与识别。隐写术是一种将消息或信息隐藏在可见范围内的其它数据或图像中的做法。目前隐写技术已被攻击者在恶意活动中使用,而隐写技术也可以用来保证安全传输。Sc​​haub使用工具集构建了一种新的隐写方法,该工具套件可在磁盘上创建一个隐藏的加密分区,同时没有留下任何数字取证痕迹,从而使“俄罗斯套娃”式的隐写术将数据进行更好的隐藏。该隐写工具以自我递归的方式隐藏自己,使得在法律上无法被检测到。其它研究人员表示如果该数字隐写技术被用于传播恶意代码等非法目的,将会成为巨大的安全隐患,并给相关机构的执法造成巨大的困难。
 schaub-steganography-concealingw1000.jpg

https://www.govinfosecurity.com/ ... eganography-a-11902

2 攻击者对Netflix用户开展网络钓鱼活动

美国联邦贸易委员会(FTC)确定了针对Netflix客户的新网络钓鱼诈骗案。此次用于窃取个人信息的网络钓鱼活动由俄亥俄州警方捕获,电子邮件声称收件人的Netflix帐户处于暂停状态,因为在当前的账单信息上遇到了问题,敦促用户点击一个链接来更新的支付细节,邮件中还包含一个国家电话号码。FTC警告用户应该仔细检查可疑的电子邮件,在该活动中,存在错误拼写,并且为非实名通报。FTC建议用户直接访问Netflix站点或直接,不随意点击可疑链接,如果收到可疑邮件可以与直接与相关公司进行联系。
 FTC-Netflix-phishing-scam.jpg

https://variety.com/2018/digital ... cam-ftc-1203095712/

3 微软修复Web浏览器中的内存损坏漏洞

研究人员报告了Microsoft Edge Web浏览器中的内存损坏漏洞,并发布概念验证代码(PoC)。该漏洞影响支持Edge的JavaScript引擎Chakra,可能允许攻击者以与登录用户相同的权限在计算机上运行任意代码。该PoC代码演示了导致越界(OOB)内存读取泄漏的情况,Chakra未能值补偿,导致headSegmentsym被重新加载但不是headSegmentLength sym,因此能够访问带有错误长度的新缓冲区。攻击者可以通过该漏洞实行多种攻击,包括制作恶意网站,并引诱用户查看该网站;将漏洞代码放置在网站、广告等用户可能访问的位置。研究人员表示该漏洞对微软大多数的操作系统都有重大影响,微软已在12月的安全更新中修复了该漏洞,建议用户及时更新从而受到保护。
 MicrosoftEdge_headpic2.png

https://www.bleepingcomputer.com ... via-microsoft-edge/

4 Guardzilla摄像机凭证漏洞导致数据泄露

研究人员在Guardzilla物联网摄像机GZ521W型号中发现了一个漏洞。该漏洞ID为CVE-2018-5560,具体存在于Guardzilla安全摄像头固件内的Amazon简单存储服务(S3)凭据中。使用嵌入式S3凭据可以无限制的查看和下载关联存储桶中的任何存储文件和视频,一旦获取了密码,任何未经身份验证的攻击者可以通过网络从任何受影响的系统收集数据。Guardzilla多合一视频安全系统是一个家庭安全平台,提供室内视频监控。研究人员目前仅测试了GZ501W型号,尚不清楚其它型号是否受到影响。
 photo-1516345079912-c3e011a5a848.jpg

https://www.0dayallday.org/guard ... ed-aws-credentials/

5 WordPress XSS漏洞影响数百万个网站

研究人员在WordPress网站插件中查找到一个关键的存储XSS漏洞,允许攻击者轻易劫持数千到数百万个网站。该漏洞出现在存储库中插件版本号的显示中,因此,任何拥有插件的用户都可以向WordPress.org网站注入任意的JavaScript代码。该漏洞是由于插件版本号显示在存储库中相应的插件页面上之前,清理不足造成。要利用该XSS漏洞,攻击者需要在WordPress.org插件存储库中拥有一个插件,其插件的版本字段中隐藏了任意JavaScript载荷。每当有人访问存储库中的插件页面时,此有效负载就会在WordPress.org的上下文中执行,最终造成攻击者获得完全写入、添加和删除权限,植入后门并进一步传播给其它相关网站。目前该漏洞已被相关团队修复。
 header-wporg-stored-xss.png

https://blog.ripstech.com/2018/wordpress-org-stored-xss/

6 攻击者攻击Electrum钱包以窃取比特币

攻击者于12月21日起通过攻击Electrum比特币钱包的基础设施,已窃取200多的比特币,价值大约 75 万美元。攻击者利用Electrum钱包网络可以加入服务器并提示警告消息的弱点,首先在网络加入了几十台恶意服务器,当用户进行比特币交易时如果交易通过了一个恶意服务器,他们的钱包会收到更新通知,当用户从黑客的GitHub库里下载恶意更新重新启动后会要求输入二步认证代码,黑客窃取了二步认证代码后就能转移走用户钱包里的比特币。在GitHub移除恶意库之后该攻击已停止,但由于漏洞尚未修复,类似的攻击可能会再次发生。
 bdc467d26c38445.png

https://www.cnbeta.com/articles/tech/803035.htm




回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册创意安天

本版积分规则

Archiver|手机版|小黑屋|创意安天 ( 京ICP备09068574,ICP证100468号。 )

GMT+8, 2024-11-29 05:26

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表