零日

4 文章

Danti和Co:当心那些已经被遗忘的漏洞!

有一种较老的漏洞就非常受网络罪犯和网络间谍攻击者的青睐,即CVE-2015-2545。这是一种MSOffice漏洞,允许通过使用特殊的Encapsulated PostScript (EPS)图形文件任意执行代码。这段时间内,这种漏洞为黑客提供了绝佳的攻击机会。

一周要闻:eBay遭黑客入侵,Internet Explorer再爆漏洞

本周的安全新闻并不太多。但是,最近爆出最大的零售与拍卖网站eBay被黑客入侵,危及其存储用户密码的服务器,这成为本周最大的新闻。重要性方面紧随其后的是非常流行的微软Internet Explorer浏览器发现另一个零日漏洞。但除了这些坏消息外,还有好消息,三星超越指纹识别,率先探索生物特征认证新方法。此外,如以往一样,我们还将顺便谈谈一些补丁(只是顺便)。 eBay遭黑客入侵 eBay昨天通过公司官网(eBay Inc.)宣布公司的数据库遭黑客入侵,大量用户数据可能被窃,包括客户姓名、加密密码、电子邮件地址、住址、联系地址、电话号码和出生日期。加密密码就存储在被入侵的服务器内,所以未来几天或几周,eBay将强制用户更改密码。更改eBay密码时,请确保直接导航至eBay网站,而不要通过电子邮件或社交媒体链接进行更改。 不建议用户通过电子邮件或社交媒体链接访问网站的原因在于,服务器上存储的敏感信息足够被黑客用来执行网络钓鱼攻击。黑客常常利用这类信息来设计网络钓鱼电子邮件,邮件中声称是来自eBay(或其他合法网络服务)。这些电子邮件通常会向用户提供链接,以转至貌似合法的恶意网站,这些网站的目的是欺骗用户提供登录凭证。 如果您将eBay帐户的密码用于其他帐户,则需按惯常做法,更改使用了该密码的所有网上帐户的密码。 但有意思的是,本周早些时候,零售商们受Target公司数据泄露事件的刺激,刚刚决定建立威胁数据共享伙伴关系,随后就发生了eBay数据泄露。换句话说,零售商们打算就所面临的攻击彼此交流,以便能共同抗衡黑客,更好地保护自身。本周晚些时候,发布了一项研究结果,其中称公司在防止数据泄露方面已取得相当成效。eBay数据泄露的范围取决于被盗的部分eBay员工的登陆证书,但最终结果是与此研究中的观点相符还是相矛盾,让我们拭目以待。 IE零日漏洞 关于IE零日漏洞,好消息是此漏洞只影响IE浏览器的旧版本IE 8。但坏消息是微软未就何时发布相应更新来解决此漏洞给出具体时间。微软承认次漏洞相当严重,正在努力开发相应补丁。 黑客通过Internet Explorer 8零日漏洞,能利用一种名叫”路过式下载”的攻击方式,对有漏洞的计算机运行恶意代码,或者通过在电子邮件中植入恶意附件来实现攻击。”路过式下载”本质上是一种入侵攻击行为:黑客在网站上嵌入恶意软件,当用户碰巧使用有漏洞的浏览器浏览该网站时,用户的计算机就会被该恶意软件感染。 除了升级到较新的Internet Explorer V10外,正常计算机的用户还能做些什么呢?用户能做的并不多,实际上要注意以下三点:当心浏览的网站;当心电子邮件附件;确保尽快安装微软下一次发布的安全补丁(如果是自动获取更新,那么对最后一点无需担心)。事实上,所有用户都应该遵循这些建议。 虹膜识别 每周的新闻并不会总是阴云笼罩。三星本周宣布计划未来在更多产品中集成生物识别传感器,例如虹膜扫描仪。三星称这些功能甚至会部署在较低端产品中。此举将提升三星设备的安全性,而且据报告称,到时候总是让人提心吊胆的三星安全系统Knox中最终也将部署生物识别技术。 看看相对于指纹认证,虹膜扫描在应对潜在攻击的灵活适应能力方面究竟是更强还是不如,这实在是一件很有趣的事。 突发新闻 在写本文时,有报道称安卓Outlook应用含有加密问题,会泄露用户的电子邮件及附件。在此可阅读更多内容,我们在每月一次的新闻播客中必定会讨论此问题。 补丁通知 照常,我们将列出用户应该留意的补丁。本周应注意的补丁来自Google,Google发布了23个Chrome浏览器安全漏洞补丁,其中包括三个高危漏洞。所以,如果使用的是Chrome浏览器,不要等着浏览器自动安装更新,而应该尽快下载这些更新。

一周要闻:IE零日漏洞

OpenSSL Heartbleed bug终于不再是本周的头条新闻。我在撰写本文时已近下午3点,但到目前为止我一整天都没看到过一篇关于Heartbleed bug的文章,真让人惊奇。但别担心,不谈Heartbleed,我们还有很多其他内容要讨论: 零日漏洞 本周早些时候,卡巴斯基实验室宣布发现Adobe Flash Player中存在零日漏洞。说来也奇怪,卡巴斯基发现这种漏洞的工具正是用于发现新恶意程序样本的工具。零日漏洞被发现时,已经通过一种叫做”水坑攻击”的威胁肆虐于叙利亚地区。水坑作为一种有针对性的攻击,攻击者侵入攻击对象可能会访问的合法网站,在其中植入恶意程序,当用户访问这些网站时,就会被恶意程序感染。Adobe已经针对这种漏洞提供相应的补丁,所以请尽快安装Adobe公司发布的所有更新。 微软的Internet Explorer浏览器也同样存在零日漏洞问题。在此我不打算深究此漏洞的技术细节。但我想说的是零日漏洞被广泛利用,能针对各种目标发起攻击;显而易见,确保安装微软称之为”Out of Band”的紧急安全补丁十分重要。此类补丁是指微软在每月固定的周二补丁日以外的时间发布的补丁。如果漏洞收到out-of-band补丁,这通常表明这是一个严重漏洞。 微软Internet Explorer浏览器和Adobe Flash Player零日漏洞取代OpenSSL Heartbleed登上本周安全要闻头条,成为主要讨论话题。 本已封刀退隐,无奈重陷江湖 关于周二补丁日:还记得本月早些时候我们曾讨论过不再向Windows XP发送安全补丁吗?但我们错了(至少从技术角度来说是这样)。因为上述Internet Explorer零日漏洞主动有针对性攻击的目标主要是Windows XP系统,微软心一软,也发送了针对XP用户的Internet Explorer发送out-of-band补丁。 又见AOL! 最近,大量AOL电子邮件用户遇到了麻烦,他们发现自己的帐户被用于向自己联系人列表中的用户发送垃圾邮件。我们曾在上周的新闻回顾中讨论过这个问题。对此AOL声称,这完全属于”电子欺骗”攻击的内容。他们表示,此问题没有任何危害,只是看起来好像电子邮件是来自AOL用户电子邮件帐户。实际上,该公司在最初的声明中就表示过,电子邮件发件人只是使其看上去仿佛电子邮件是来自AOL用户电子邮件帐户。 如果我没记错,上周我们曾谈到AOL对事件的解释让人匪夷所思,因为事实上电子欺骗行为可能仍在继续,这没法解释攻击者是怎么搞到所有这些联系人列表的。可以肯定的是,本周AOL承认,已向用户发送通知,敦促用户更改密码。所以,如果您使用的是AOL帐户,那么最好更改密码。 Facebook和隐私 Facebook宣布推出一款全新的功能,名叫匿名登录。Facebook创始人马克•扎克伯格昨天在公司的F8会议上对开发人员说,”匿名登录”将允许用户使用Facebook帐户登录到第三方应用,而无需使用自己的Facebook凭证,也不必与第三方共享个人信息。 “这一功能的理念是,你不希望应用获知你的身份,但又想感受简化的登录体验,那么利用此功能可免去繁琐的表格填写工作,”扎克伯格说。”它能让你放心大胆地试用应用。” “匿名登录”目前为Beta测试版,只适用于某些应用;例如,Flipboard就是首批适用的应用之一。登录时,Facebook用户可以选择使用自己的Facebook凭证登录应用,也可以选择使用”匿名登录”来试用应用。”匿名登录”本身采用黑色屏幕,而不是Facebook惯常的蓝色,通过”匿名登录”,用户能够避免与外部应用共享已经与Facebook共享的任何数据。