作者归档

英特尔修复了Windows图形驱动程序中的高严重性漏洞

英特尔修复了英特尔图形驱动程序for Windows中的20个安全漏洞,如果攻击者利用本地访问受攻击系统的话,这些漏洞将导致拒绝服务或信息泄露。

根据发布于2天前的QSR咨询报告,英特尔为其Windows图形驱动程序发布了多项更新,旨在减轻内部和外部安全研究人员发现的漏洞。

在英特尔图形驱动程序for Windows中发现的20个漏洞中,有两个被评为高风险,CVSS基础分数为7.3和8.2,允许本地攻击者在升级其权限后执行任意代码。

攻击者需要本地访问才能利用英特尔图形驱动程序漏洞

更准确地说,CVE-2018-12214CVE-2018-12216的安全问题,可能导致内核模式驱动程序中潜在的内存损坏和内核模式驱动程序中的输入验证不足导致本地用户的权限升级。

英特尔修补的18个漏洞中的其余漏洞被评为中低风险,所有这些漏洞都可通过本地攻击媒介进行攻击,攻击复杂度低,无需用户交互 – 只需要用户注意的是CVE-2018- 18090CVE-2018-18091将触发DoS状态。

咨询中所述,“英特尔建议用户将Windows的英特尔图形驱动程序更新到版本。

受影响的产品:

适用于Windows的英特尔图形驱动程序,版本为10.18.x.5059(15.33.x.5059),10.18.x.5057(15.36.x.5057),20.19.x.5063(15.40.x.5063)21.20.x.5064(15.45.x.5064)和24.20.100.6373。

所有英特尔图形驱动程序for Windows安全更新均可从英特尔驱动程序和软件下载中心下载

Intel还在其Intel Matrix Storage Manager和Intel Accelerated Storage Manager的RSTE软件中披露了两个高风险漏洞(CVE-2019-0135和CVE-2019-0121),允许权限提升。

此外,还发现另外两个中等严重程度的软件缺陷(CVE-2019-0122和CVE-2019-0129)会影响Intel Software Guard Extensions(SGX)SDK和Intel USB3.0Creator实用程序,可能分别导致拒绝服务、信息泄漏和权限提升。

 

原文链接

admin

WordPress管理员受到最新的漏洞的威胁

WordPress管理员要求确保运行的是最新版本(5.1.1),因为研究人员发现了一个漏洞,使得攻击者能够完全控制目标站点。RIPS Tech的安全研究人员在今天早些时候的一篇技术博客文章中介绍了他们的发现,使得未经身份验证的第三方能够在任何WordPress5.1.1之前的版本进行远程代码执行(RCE)。

RIPS技术安全研究员西蒙·斯坎内尔说:“攻击者可以通过诱使目标博客的管理员访问攻击者建立的网站来接管任何一个支持评论的WordPress网站。一旦受害者管理员访问恶意网站,就会在后台对目标WordPress网站运行跨站点请求伪造(CSRF)攻击,而受害者不会察觉。

 

恶意评论” 

根据scannell的说法,当用户发布新评论时,WordPress 5.1.0及更早版本不执行CSRF验证。尽管世界上最流行的CMS试图通过注释清理来缓解潜在的安全问题,但RIPS技术发现了这个过程中的一个缺陷。这使得攻击者可以创建注释,这些注释包含的HTML标记和属性比注释通常允许包含的要多得多。”“我们可以注入额外的HTML标记和属性……这一事实导致WordPress核心中存在存储的XSS漏洞。

Scannell说,在将存储的跨站点脚本(XSS)有效载荷注入目标网站之后,攻击者获得RCE的下一个阶段是强制站点管理员执行注入的JavaScript。

利用<iframe>标签,评论可以隐藏在攻击者的网站上。由于注入的属性是OnMouseOver事件处理程序,攻击者可以使iframe跟随受害者的鼠标触发XSS载荷。

这允许攻击者在触发目标网站上CSRF漏洞的管理员会话中执行任意javascript代码。所有的javascript执行都是在后台进行的,受害者管理员无法注意到。

RIPS Technology提供了缓解建议,并表示说这个问题已经在最新的wordpress版本中得到了解决。 如果已关闭自动更新,scannell建议在安装安全补丁之前禁用注释。他说:“最重要的是,在访问其他网站之前,请确保注销管理员会话。”

 

原文链接

admin

微软三月份补丁中修复了两个Windows零日漏洞

微软在2019年3月补丁修补了64个漏洞,其中17个漏洞被评为严重。

本月,微软总公司修复了64个漏洞,其中17个被评为严重漏洞,包括其主要产品Windows操作系统中的两个零日漏洞。

第一个windows零日漏洞

第一个零日是谷歌上周公布的。 谷歌表示,这漏洞被滥用于攻击Windows7 32位操作系统的用户。

微软不仅发布了Windows7的补丁程序,而且发布了Windows Server2008系统的补丁程序,这些补丁程序也受到了这个问题的影响——名称为CVE-2019-0808。

根据谷歌上周发布的安全警报,攻击者利用Windows Zero-Day和Chrome Zero-Day逃离Chrome浏览器沙箱,在目标系统上执行恶意代码。

CVE-2019-0808在漏洞攻击链中的作用是,一旦Chrome Zero Day帮助攻击者逃离Chrome安全安全沙箱后,,攻击者就可以使用提升的管理权限执行恶意代码。谷歌也在同一时间发布了新的版本修复了此安全问题。

windows零日漏洞

此外,微软还修补了卡巴斯基研究人员发现的第二个零日,并追踪为CVE-2019-0797。 就像第一个零日漏洞相同,这个零日漏洞是一个特权提升(EoP)漏洞,可以让攻击者以管理员权限运行代码。

“当Win32K组件无法正确处理内存中的对象时,Windows中存在权限提升漏洞,”微软在一份安全公告中表示。 “成功利用此漏洞的攻击者可以在内核模式下运行任意代码。然后,攻击者可以安装程序、查看、更改或删除数据,或创建具有完全用户权限的新帐户。”

这个零日影响所有Windows版本,包括Windows 10操作系统,微软或卡巴斯基都没有透露有关利用这个零日攻击的任何细节。

其他修正 
除了两个零日之外,微软还修复了Windows DHCP客户端中的三个主要漏洞,这些漏洞可能允许远程攻击者接管易受攻击的计算机(CVE-2019-0697,CVE-2019-0698,CVE-2019-0726)。
操作系统制造商最近修补了很多DHCP安全漏洞,在过去的几个月里,几乎每个星期二发布的修补程序中都至少有一个漏洞。

最后但并非最不重要的是,微软还修正了一个补丁,为Windows部署服务(WDS)的错误,它最初修复去年。 此漏洞与Check Point报告的类似WDS漏洞不同。

有关本月修补程序修补的其他漏洞的更多信息,请参见下表:
标签 CVE ID CVE标题
服务堆栈更新 ADV990001 最新的服务堆栈更新
Adobe Flash Player ADV190008 2019年3月Adobe Flash安全更新
微软Windows ADV190009 SHA-2代码签名支持咨询
微软Windows ADV190010 关于跨多个用户共享单个用户帐户的最佳实践
活动目录 CVE-2019-0683 Active Directory特权提升漏洞
天蓝 CVE-2019-0816 Azure SSH密钥对安全功能绕过漏洞
IE浏览器 CVE-2019-0768 Internet Explorer安全功能绕过漏洞
IE浏览器 CVE-2019-0761 Internet Explorer安全功能绕过漏洞
IE浏览器 CVE-2019-0763 Internet Explorer内存损坏漏洞
Microsoft浏览器 CVE-2019-0780 Microsoft浏览器内存损坏漏洞
Microsoft浏览器 CVE-2019-0762 Microsoft浏览器安全功能绕过漏洞
Microsoft Edge CVE-2019-0612 Microsoft Edge Security功能绕过漏洞
Microsoft Edge CVE-2019-0678 Microsoft Edge特权提升漏洞
Microsoft Edge CVE-2019-0779 Microsoft Edge内存损坏漏洞
Microsoft图形组件 CVE-2019-0808 Win32k特权提升漏洞
Microsoft图形组件 CVE-2019-0774 Windows GDI信息泄露漏洞
Microsoft图形组件 CVE-2019-0797 Win32k特权提升漏洞
Microsoft图形组件 CVE-2019-0614 Windows GDI信息泄露漏洞
Microsoft JET数据库引擎 CVE-2019-0617 Jet数据库引擎远程执行代码漏洞
微软办公软件 CVE-2019-0748 Microsoft Office Access连接引擎远程执行代码漏洞
Microsoft Office SharePoint CVE-2019-0778 Microsoft Office SharePoint XSS漏洞
Microsoft脚本引擎 CVE-2019-0592 Chakra Scripting Engine内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0746 Chakra Scripting Engine内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0639 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0783 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0609 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0611 Chakra Scripting Engine内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0666 Windows VBScript引擎远程执行代码漏洞
Microsoft脚本引擎 CVE-2019-0769 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0665 Windows VBScript引擎远程执行代码漏洞
Microsoft脚本引擎 CVE-2019-0667 Windows VBScript引擎远程执行代码漏洞
Microsoft脚本引擎 CVE-2019-0680 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0773 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0770 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0771 脚本引擎内存损坏漏洞
Microsoft脚本引擎 CVE-2019-0772 Windows VBScript引擎远程执行代码漏洞
微软Windows CVE-2019-0603 Windows部署服务TFTP服务器远程执行代码漏洞
微软Windows CVE-2019-0754 Windows拒绝服务漏洞
微软Windows CVE-2019-0765 Comctl32远程执行代码漏洞
微软Windows CVE-2019-0766 Microsoft Windows特权提升漏洞
微软Windows CVE-2019-0784 Windows ActiveX远程执行代码漏洞
Microsoft XML CVE-2019-0756 MS XML远程执行代码漏洞
的NuGet CVE-2019-0757 NuGet包管理器篡改漏洞
Skype for Business CVE-2019-0798 Skype for Business和Lync欺骗漏洞
Team Foundation Server CVE-2019-0777 Team Foundation Server跨站点脚本编制漏洞
视觉工作室 CVE-2019-0809 Visual Studio远程执行代码漏洞
Windows DHCP客户端 CVE-2019-0726 Windows DHCP客户端远程执行代码漏洞
Windows DHCP客户端 CVE-2019-0697 Windows DHCP客户端远程执行代码漏洞
Windows DHCP客户端 CVE-2019-0698 Windows DHCP客户端远程执行代码漏洞
Windows Hyper-V CVE-2019-0695 Windows Hyper-V拒绝服务漏洞
Windows Hyper-V CVE-2019-0690 Windows Hyper-V拒绝服务漏洞
Windows Hyper-V CVE-2019-0701 Windows Hyper-V拒绝服务漏洞
Windows内核 CVE-2019-0702 Windows内核信息泄露漏洞
Windows内核 CVE-2019-0696 Windows内核特权提升漏洞
Windows内核 CVE-2019-0775 Windows内核信息泄露漏洞
Windows内核 CVE-2019-0755 Windows内核信息泄露漏洞
Windows内核 CVE-2019-0767 Windows内核信息泄露漏洞
Windows内核 CVE-2019-0782 Windows内核信息泄露漏洞
Windows内核模式驱动程序 CVE-2019-0776 Win32k信息泄露漏洞
Windows打印后台处理程序组件 CVE-2019-0759 Windows Print Spooler信息泄露漏洞
Windows SMB服务器 CVE-2019-0704 Windows SMB信息泄露漏洞
Windows SMB服务器 CVE-2019-0703 Windows SMB信息泄露漏洞
Windows SMB服务器 CVE-2019-0821 Windows SMB信息泄露漏洞
适用于Linux的Windows子系统 CVE-2019-0689 用于Linux特权提升漏洞的Windows子系统
适用于Linux的Windows子系统 CVE-2019-0682 用于Linux特权提升漏洞的Windows子系统
适用于Linux的Windows子系统 CVE-2019-0694 用于Linux特权提升漏洞的Windows子系统
适用于Linux的Windows子系统 CVE-2019-0693 用于Linux特权提升漏洞的Windows子系统
适用于Linux的Windows子系统 CVE-2019-0692 用于Linux特权提升漏洞的Wind

Microsoft的官方安全更新网站还提供了其他信息,用户可以根据需求查找产品的所需的更新和修补程序。

 

原文链接

admin

AWVS12-Scan-Agent 开源

作者:dacAIniao&重明安全

1、 项目地址

2、使用方式

配置config.py,替换apikey.

3、批量脚本界面及使用方式

支持的功能:

(1)批量提交任务

(2)批量导出任务结果为xslx

(3)批量删除任务

admin

所有英特尔处理器面临新的 Spoiler 攻击

去年全球多个行业都被名为幽灵和熔断的高危安全漏洞困扰,然而到现在为止幽灵和熔断漏洞还没有被修复。没修复的同时安全研究人员还在英特尔处理器中发现SPOILER新漏洞,这个漏洞与此前的幽灵熔断漏洞不同。值得注意的是幽灵和熔断漏洞除影响英特尔系列处理器外, ARM和AMD处理器也同样会受到这类漏洞影响。但这次被发现的新漏洞经验证后并不会影响ARM和AMD处理器, 也就是只有英特尔系列处理器才存在问题。

还是推测执行存在的问题:

现代处理器为提高效率都会使用推测执行自动预测和执行命令,但设计层面的漏洞则会让推测执行暴露隐患。SPOILER与去年被曝光的幽灵系列漏洞类似都是推测执行,不同的是这两类漏洞在工作方式上是完全不同的。因为幽灵和熔断漏洞都是现代处理器设计层面出现的缺陷,而SPOILER漏洞则纯粹是英特尔自身存在的弱点。SPOILER发生的根本原因是英特尔专有的内存子系统实现的地址推测存在弱点,这也是只影响英特尔的原因。

现有幽灵熔断缓解措施无法缓解SPOILER漏洞:

幽灵和熔断漏洞是处理器设计层面的问题因此无法通过软件解决,目前厂商提供的解决方案也只能进行缓解。缓解漏洞的措施会影响到处理器性能去年还引发不少争议,不过这类缓解措施也无法缓解SPOILER安全漏洞。研究人员表示这个漏洞涉及新颖的微架构泄露,通过干扰存储缓冲区后采用推测执行不需要任何特殊的权限。

英特尔将继续通过补丁进行缓解:

去年年底英特尔已确认这枚漏洞并向研究人员表示将发布补丁进行修复,但英特尔强调「应该能缓解」漏洞。至少到现在为止英特尔还未发布公开声明因此不确定该漏洞是否可以确定修复,否则也只能打补丁逐渐缓解。研究人员在接受采访时则是表示英特尔的答复非常狡猾,因为涉及内存子系统不能轻易通过微代码进行修复。显然如果通过微代码修复的话对处理器性能又会造成影响,到时候用户和云数据中心厂商估计又是哀嚎一片。

利用上相对来说也不是很容易:

据研究人员表示这枚漏洞想要利用的话需要先进行本地操作,也就是无法直接通过远程的方式直接进行触发。但攻击者可以通过恶意网页的JavaScript 脚本或者预先向用户植入恶意软件,然后再利用SPOILER安全漏洞。成功利用此漏洞可以从内存中窃取机密信息造成用户信息泄露,例如寄存在内存中的密码或者其他敏感信息。

 

原文链接

admin

深入分析MicrosoftOutlook漏洞

Microsoft Outlook是Microsoft Office套件的组件之一,广泛用于发送和接收电子邮件,管理联系人,记录和跟踪日程安排以及执行其他任务。在Windows上运行的多个版本的Outlook中发现了堆崩溃漏洞,涵盖了从Outlook 2010到最新的Outlook 2019以及Office 365 ProPlus的所有32/64位版本的软件。该漏洞可能由格式错误的RWZ文件来触发。当Outlook收到恶意的RWZ文件内容时,它会分配太少的堆内存,并且缺少适当的边界检查,导致堆内存越界写入。

为重现此漏洞,我们需要运行Microsoft Outlook,然后单击“规则=>管理规则和警报=>选项=>导入规则”选择可触发Outlook崩溃的PoC文件。

以下是发生崩溃时,调用堆栈情况:

 

分析漏洞

正如我们从调用堆栈中看到的那样,当堆内存被释放时就发生程序崩溃了。由于我们现在无法确认堆释放时有什么问题,我们可以打开完整的堆内存页表来跟踪堆内存的数据变化。命令如下:

YOUR_WINDBG_INSATALL_LOCATION \ gfl​​ags.exe / p /enable outlook.exe / full

您可以看到以下返回的结果,表明它已成功执行。

完成此操作后,我们可以再次打开Outlook并选择PoC文件以在发生崩溃时监视新堆栈:

现在我们可以看到ECX指向的非0内存地址是不可读的,并且在将数据写入该内存地址时会发生异常。尝试将数据写入未分配(或释放)的内存地址的可能性很高。我们可以通过检查内存页面分配来验证这个预测,在那里我们可以看到内存仍然具有Reserve属性。

我们现在需要弄清楚程序为什么要将数据写入未使用的内存页面。通过静态分析,我们可以看到ECX的值来自EDI,并且EDI在调用MAPIAllocateBuffer之后被修改:

通过静态分析,我们了解到函数MAPIAllocateBuffer是RtlAllocateHeap的封装函数,它检查以确保请求的堆大小参数不大于0x7FFFFFF7。但是,在这种情况下,它不会检查0是否可以用作参数。并且因为实际分配的堆大小比请求的堆大小多8个字节,所以8个字节用0x0000000001000010填充。之后,MAPIAllocateBuffer在这8个字节后返回一个堆地址。因此,调用MAPIAllocateBuffer后的EDI值为8 +从RtlAllocateHeap接收的分配堆地址。

从上面的静态分析中,我们可以大致的预测在Reserve堆中写入数据的原因是由整型溢出引起的。结合调试,我们发现调用MAPIAllocateBuffer的堆大小参数为0.但是,由于MAPIAllocateBuffer请求分配大小为0 + 8 = 8的堆,因此RtlAllocateHeap不会返回错误并成功返回正确的堆地址。但是,MAPIAllocateBuffer使用这8个字节写入0x0000000001000010,然后向用户返回无效的内存地址。

接下来,我们需要弄清楚请求的堆大小的值变为0的原因,结合调试和静态分析,我们发现值0来自当前函数的参数:arg_4(eax = arg_4 * 4 + 4) 。但是,当调用当前函数时,arg_4的值并不是之前传入的参数值,这意味着此arg_4的值被修改了。通过分析我们可以看到值是在子函数sub_65F7DA中被修改的。

对子函数sub_65F7DA分析之后,我们发现它是另一个封装函数。函数是ReadFile ,说明arg_4的值实际上来自PoC文件。

调试显示arg_4读取的文件中的内容为0xFFFFFFFF,因此,由于整型溢出,传递的内存分配大小为0xFFFFFFFF * 4 + 4 = 0。但是,程序没有检查这一点,导致出现了越界写入行为。

检查PoC文件,可以看到0xFFFFFFFF值确实存在。

将其修改为0xAABBCCDD后执行调试,就可以验证溢出是由这4个字节造成的。

通过在Patch发布之后比较程序的汇编代码,我们可以看到现在已经添加了对所请求的分配堆大小的验证。请参见下面的截图:

因此修补程序至关重要,因为成功利用此漏洞的攻击者可以使用特制文件在当前用户的安全context中执行操作。

解决方法

建议存在漏洞的Microsoft Outlook版本的所有用户升级到最新的Outlook版本或立即更新最新的补丁。

 

 

原文链接

admin

Ring Doorbell可以被黑客攻击并显示假图像

在最近推出的补丁中,Ring Doorbell已经修复了自己产品的安全风险 – 因为黑客可以利用此漏洞发起攻击,将假图像内容注入视频源。应该注意的是,虽然Ring会定期发布修复固件,但使用旧版Ring应用程序的客户仍然会面临这种风险。

在发布的一份报告中,BullGuard的Dojo研究人员说明有关该漏洞的详细信息。通过适当的技术手段,任何有权访问传入数据包的人都可以收听实时反馈,而实时反馈并未加强加密。

问题是Ring使用的解决方案没有引用强加密。有权访问目标Wi-Fi的黑客甚至可以在数据到达App之前将虚假内容注入到消息流中。例如,攻击者可以利用此漏洞并将篡改后的图像发送给房主,诱骗他解锁门。

当然,这不是我们第一次听说Ring设备中的安全漏洞。早些时候,有报道称Ring允许客户观看他们的员工视频。对于这个问题,该公司拒绝了媒体的评论请求,声称它不会在官方网站上曝光,并会使用其他安全措施来保护用户的数据安全。

admin

NVIDIA修补了GPU显示驱动程序中的安全问题

NVIDIA发布了NVIDIA GPU显示驱动程序软件的安全更新修补可能导致代码执行,权限升级,拒绝服务或Windows和Linux计算机上的信息泄露等安全问题。

虽然所有这些软件缺陷都需要本地用户访问并且无法远程利用,但攻击者可以通过在运行易受攻击的NVIDIA GPU显示驱动程序的系统上通过各种方式远程植入恶意工具来利用它们。

这些问题与CVSSv3的基本分数从2.2到8.8不等有关,其中5个问题风险评估值已达到8.8(所有这些问题都会影响NVIDIA公司的Windows GPU显示驱动程序)。

通过触发导致拒绝服务状态的CVE,潜在的攻击者可以使易受攻击的计算机无法使用,同时利用未修补的代码执行漏洞,他们可以在受感染的计算机上运行命令或代码。

潜在攻击者还可以通过利用导致信息泄露的问题,收集有关运行过时版NVIDIA GPU显示驱动程序的系统的有价值信息。

下面列出了NVIDIA在其2019年2月安全更新中修复的软件缺陷,以及为每个安全更新分配的完整描述和CVSS V3基本分数。

CVE Description CVSS V3 Base Score
CVE‑2019‑5665 NVIDIA Windows GPU Display driver contains a vulnerability in the 3D vision component in which the stereo service software, when opening a file, does not check for hard links. This behavior may lead to code execution, denial of service or escalation of privileges. 8.8
CVE‑2019‑5666 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) create context command DDI DxgkDdiCreateContext in which the product uses untrusted input when calculating or using an array index, but the product does not validate or incorrectly validates the index to ensure the index references a valid position within the array, which may lead to denial of service or escalation of privileges. 8.8
CVE‑2019‑5667 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) handler for DxgkDdiSetRootPageTable in which the application dereferences a pointer that it expects to be valid, but is NULL, which may lead to code execution, denial of service or escalation of privileges. 8.8
CVE‑2019‑5668 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) handler for DxgkDdiSubmitCommandVirtual in which the application dereferences a pointer that it expects to be valid, but is NULL, which may lead to denial of service or escalation of privileges. 8.8
CVE‑2019‑5669 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer handler for DxgkDdiEscape in which the software uses a sequential operation to read from or write to a buffer, but it uses an incorrect length value that causes it to access memory that is outside of the bounds of the buffer, which may lead to denial of service or escalation of privileges. 8.8
CVE‑2019‑5670 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer handler for DxgkDdiEscape in which the software uses a sequential operation to read from or write to a buffer, but it uses an incorrect length value that causes it to access memory that is outside of the bounds of the buffer which may lead to denial of service, escalation of privileges, code execution or information disclosure. 7.8
CVE‑2019‑5671 NVIDIA Windows GPU Display Driver contains a vulnerability in the kernel mode layer (nvlddmkm.sys) handler for DxgkDdiEscape in which the software does not release a resource after its effective lifetime has ended, which may lead to denial of service. 6.5
CVE‑2018‑6260 NVIDIA graphics driver contains a vulnerability that may allow access to application data processed on the GPU through a side channel exposed by the GPU performance counters. Local user access is required. This vulnerability is not a network or remote attack vector. 2.2

 

据NVIDIA称:

NVIDIA风险评估基于各种已安装系统的平均风险,可能并不代表您本地安装的真正风险。NVIDIA建议咨询安全或IT专业人员,以评估特定配置的风险。

在  NVIDIA GPU的显示驱动程序- 2019年2月安全公告中还有关于NVIDIA在其2019年2月安全更新补丁的安全问题的软件产品的完整列表。

建议所有用户通过应用NVIDIA驱动程序下载页面上提供的安全更新尽快更新其驱动程序。

 

原文链接

admin

WinRAR 被曝严重安全漏洞 5亿用户受影响

在享誉全球成为必备装机软件的同时,过去19年以来WinRAR也深受各种严重安全漏洞的负面影响。根据安全公司Check Point研究人员的细节,在WinRAR的UNACEV2 .dll代码库中发现严重安全漏洞,而该库自2005年以来就一直没有被主动使用过。WinRAR在打开“booby-trapped”(诡雷代码)文件之后允许技术娴熟的攻击者执行“任意恶意代码”。

简单来说,该漏洞允许安全专家绕过权限提升就能运行WinRAR,而且可以直接将恶意文件放进Windows系统的启动文件夹中。这就意味着当用户下次重新开机的时候,这些恶意文件就能自动运行,可以“完全控制”受害者的计算机。安全专家表示,全球有超过5亿用户受到WinRAR漏洞影响。

 

 

Check Point表示WinRAR不再支持ACE存档格式(就是该漏洞的攻击文件),而且在上个月同时也删除了UNACEV2.dll文件。目前WinRAR发布了最新的测试版5.70 Beta 1,已经修复了这个问题。

不过值得注意的是,如果现在访问WinRAR的官方,点击下载的依然是5.61版本。而该版本目前尚未修复这个漏洞。因此你经常使用这款压缩软件,推荐通过本文下方的链接下载Beta版本。

 

原文链接

admin

赛门铁克:挖矿攻击和勒索软件攻击逐渐降低,表单劫持成为2018年的顶级威胁

赛门铁克新一年的审查报告显示,表单劫持攻击是2018年发展最快的威胁,使用LotL策略的攻击者数量大大增加,以PowerShell脚本为例,使用率增长了10倍。

赛门铁克的2019年互联网安全威胁报告还显示,挖矿攻击数量增加了四倍,但随着加密货币价值的下降而进入螺旋式下降,攻击者转而采用其他方式从受损目标中获利。其他高级统计数据包括供应链攻击增加78%,恶意PowerShell脚本增加了一倍,几乎一半的恶意电子邮件附件都是Office文件。

 

表单劫持在2018年期间成为头号威胁

在2018年期间,攻击者每月能够入侵4,800多个网站,使用注入的JavaScript代码窃取电子商务网站客户的借记卡和信用卡等付款信息。

最引人注目的形式劫持攻击是针对英国航空公司和Ticketmaster的,但赛门铁克表示,使用这一技术的网络犯罪分子,通过在线门户网站接受客户付款的小型在线零售商那里获得了大量非法收入。

赛门铁克在2018年阻止了超过370万次劫持事件,仅在最后两个月就有超过100万次罢工。肇事活动始于2018年,5月活动异常激增(仅当月就有556,000次尝试),随后半年活动总体呈上升趋势。

2018年期间劫持攻击数量的增长的原因一部分原因是因为加密货币的价值不断下降,使得以前使用受到破坏的网站进行加密劫持的黑客在2018年期间转向窃取信用卡以获得数千万美元的更高利润率。

正如赛门铁克在报告中详细写的那样,鉴于每张被盗卡在地下市场出售价格高达45美元,如果黑客能够为他们设法妥协的每个网站窃取大约10张卡,他们就可以每月收入大约220万美元。

 

供应链攻击和LotL攻击也在逐步增长

在2018年期间,供应链攻击的数量也在增长,增加了大约78%。此外,”living-off-the-Land (LotL) “攻击是现在攻击者的行动方式,帮助他们在进行复杂攻击时不被注意。

Office文件作为攻击的方式也逐步增长,恶意者使用包含特制宏的Microsoft Office文档,这些宏旨在运行PowerShell脚本,这些脚本将在受害者的计算机上下载并启动恶意负载。在恶意软件活动期间,Office文件本身越来越多,恶意电子邮件从使用URL传递恶意软件转移到包含宏下载程序的Office文件的目标。更确切地说,恶意Office文档占“恶意电子邮件附件的48%。

赛门铁克每月会阻止115,000个恶意PowerShell脚本,但这个数量不到PowerShell总体使用量的百分之一。因此说明了为什么LotL技术已成为许多目标攻击者的首选策略。

 

挖矿攻击和勒索软件下降趋势为螺旋式

随着所有加密货币贬值之后,挖矿攻击的威胁在逐渐降低,虽然赛门铁克“在2018年阻止了6900万次加密劫持事件,但是,2018年1月至12月期间,挖矿攻击事件下降了52%。”

勒索软件攻击次数也有所下降,同比下降约20%,尽管与2017年相比,企业也成为攻击目标并且遭受的攻击次数增加了12%。

移动勒索软件虽然蓬勃发展,但与2017年相比,感染次数增加了约30%,尽管整体上移动恶意软件感染的数量有所减少。在移动勒索软件中有63%来自美国,13%来自中国和10%来自德国。

 

原文链接

 

 

admin