主题 : 处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 391853
威望: 337725 点
无痕币: 1019 WHB
贡献值: 0 点
在线时间: 37537(时)
注册时间: 2008-12-25
最后登录: 2018-07-18

0 处理器芯片漏洞可致隐私泄露和凭证窃取等次生灾害

国家信息安全漏洞共享平台上周共收集、整理信息安全漏洞219个,互联网上出现“Western Digital My CloudNAS设备命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞(CNVD-2018-00078)”等零日代码攻击漏洞,上周信息安全漏洞威胁整体评价级别为高。中国电子银行网为您梳理过去一周的信息安全行业要闻,告警重要漏洞并推出技术观澜,深入探讨信息安全知识。
一周行业要闻速览
1.1秒即可完成充电!中国石墨烯技术实现重大突破!

这种新型电池,在零下四五十度的情况下,也能正常工作;即便是被你弯折一万次,其容量也完全保持;而且,就算你把电芯暴露于火焰中也不会起火或爆炸。>>详细
西部数据My Cloud 私有云被曝存在远程访问后门

近日,外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们,可以借此获得联网设备的无限制根访问。>>详细
中美人工智能人才现状与建议

上至国家政府,下至科技巨头和AI创业公司,无不将AI人才视为提升自身的核心竞争力的根本性战略。AI人才在哪里?这就成了战略成败的重中之重。>>详细
技术观澜
处理器A级漏洞Meltdown(熔毁)和Spectre(幽灵)分析报告

该漏洞是一个足以动摇全球云计算基础设施根基的漏洞,其意味着任何虚拟机的租户或者入侵了成功一个虚拟机的攻击者,都可以通过相关攻击机制去获取完整的物理机的CPU缓存数据,而这种攻击对现有虚拟化节点的防御机制是无法感知的。>>详细
全方位解析越狱原理

关于iOS最严重的秘密之一就是它的root密码“alpine”。每个人都知道,苹果也不打算改变它。使用root密码给用户访问设备的核心功能,如果落入不法之徒,这可能是灾难性的。>>详细
PoS端恶意软件LockPoS携新型代码注入技术强势回归

网络安全公司Cyberbit的研究人员表示,PoS端恶意软件LockPoS已经开始利用新的代码注入技术来危害系统安全。>>详细
安全威胁播报
上周漏洞基本情况
上周(2018年01月01日-2018年01月07日)信息安全漏洞威胁整体评价级别为高。
国家信息安全漏洞共享平台(以下简称CNVD)上周共收集、整理信息安全漏洞219个,其中高危漏洞63个、中危漏洞144个、低危漏洞12个。漏洞平均分值为6.02。上周收录的漏洞中,涉及0day漏洞51个(占23%),其中互联网上出现“Western Digital My CloudNAS设备命令注入漏洞、PHP Scripts Mall PHPMultivendor Ecommerce SQL注入漏洞(CNVD-2018-00078)”等零日代码攻击漏洞。
上周重要漏洞安全告警
CPU处理器内核存在Meltdown和Spectre漏洞
CPU hardware是一套运行在CPU(中央处理器)中用于管理和控制CPU的固件。上周,CPU处理器内核被披露存在Meltdown和Spectre漏洞,攻击者可以绕过内存访问的安全隔离机制,使用恶意程序来获取操作系统和其他程序的被保护数据,造成内存敏感信息泄露。
CNVD收录的相关漏洞包括:CPU处理器内核存在Spectre漏洞、CPU处理器内核存在Meltdown漏洞、CPU处理器内核存在Meltdown漏洞(CNVD-2018-00304)。目前,厂商尚未发布漏洞修补程序。
Western Digital产品安全漏洞
Western Digital MyCloudNAS是一款网络连接存储设备。上周,该产品被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、上传任意文件或发起拒绝服务攻击等。
CNVD收录的相关漏洞包括:WesternDigital My Cloud NAS设备拒绝服务漏洞、Western Digital My CloudNAS设备跨站请求伪造漏洞、Western Digital My Cloud NAS设备命令注入漏洞、WesternDigital My Cloud NAS设备无限制文件上传漏洞、Western Digital My CloudNAS设备信息泄露漏洞、Western Digital My Cloud NAS设备硬编码后门漏洞。上述漏洞的综合评级为“高危”。目前,厂商尚未发布漏洞修补程序。
Microsoft产品安全漏洞
Microsoft Windows 10是一套供个人电脑使用的操作系统,Windows Server2016是一套服务器操作系统。Edge是其中的一个系统附带的默认浏览器。上周,上述产品被披露存在远程代码执行漏洞,攻击者可利用漏洞执行任意代码。
CNVD收录的相关漏洞包括:MicrosoftWindows Edge和Microsoft ChakraCore远程代码执行漏洞、MicrosoftWindows Edge和Microsoft ChakraCore远程代码执行漏洞(CNVD-2018-00324、CNVD-2018-00325、CNVD-2018-00326、CNVD-2018-00327、CNVD-2018-00328、CNVD-2018-00330、CNVD-2018-00331)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
Apple产品安全漏洞
Apple macOS High Sierra是美国苹果(Apple)公司为Mac计算机所开发的一套专用操作系统,tvOS是一套智能电视操作系统。watchOS是一套智能手表操作系统,iOS是一套为移动设备所开发的操作系统,上周,上述产品被披露存在内存破坏、越界读取或输入验证漏洞,攻击者可利用漏洞执行任意代等。
CNVD收录的相关漏洞包括:Apple iOS和macOS HighSierra IOKit组件内存破坏漏洞、Apple macOS High Sierra Intel Graphics Driver内存破坏漏洞、Apple macOSHigh Sierra Intel Graphics Driver越界读取漏洞、Apple macOSHigh Sierra IOKit组件输入验证漏洞、Apple macOS High SierraIOKit组件输入验证漏洞(CNVD-2018-00184)、多款Apple产品Kernel内存破坏漏洞(CNVD-2018-00180、CNVD-2018-00182、CNVD-2018-00183)。上述漏洞的综合评级为“高危”。目前,厂商已经发布了上述漏洞的修补程序。
K7 AntiVirus空指针解引用漏洞
K7 Antivirus是印度K7 Computing公司的一套反病毒软件。上周,K7 Computing被披露存在空指针解引用漏洞,攻击者可通过发送0x95002570 DeviceIoControl请求利用该漏洞造成拒绝服务(空指针逆向引用)。目前,厂商尚未发布漏洞修补程序。
小结
上周,WesternDigital被披露存在多个漏洞,攻击者可利用漏洞获取敏感信息、上传任意文件或发起拒绝服务攻击等。此外,Microsoft、Apple、ImageMagick等多款产品被披露存在多个漏洞,攻击者可利用漏洞上传任意文件、执行任意代码或发起拒绝服务攻击等。另外,K7 Computing被披露存在空指针解引用漏洞,攻击者可通过发送0x95002570 DeviceIoControl请求利用该漏洞造成拒绝服务(空指针逆向引用)。建议相关用户随时关注上述厂商主页,及时获取修复补丁或解决方案。
中国电子银行网综合CNVD、cnBeta、今日互联网头条、中国支付清算协会、FreebuF、嘶吼RoarTalk报道
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 391853
威望: 337725 点
无痕币: 1019 WHB
贡献值: 0 点
在线时间: 37537(时)
注册时间: 2008-12-25
最后登录: 2018-07-18

这个可以看看,了解一下。
级别: 九滴秋露

UID: 88
精华: 0
发帖: 56500
威望: 104683 点
无痕币: 1116 WHB
贡献值: 0 点
在线时间: 14299(时)
注册时间: 2008-03-18
最后登录: 2018-07-18

谢谢分享了。
Total 4.338622(s) query 4, Time now is:07-18 08:56, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛