BUF早餐鋪丨羅技Options被曝漏洞可招致按鍵注入攻擊;SQLite被曝存在漏洞,所有Chromium瀏覽器受影...
各位Buffer早上好,今天是2018年12月18日星期二。今天的早餐鋪內容有: 羅技Options被曝漏洞可招致按鍵注入攻擊,官方發新版軟體修復;SQLite被曝存在漏洞,所有Chromium瀏覽器受影響;德國監管機構稱沒有華為裝置後門證據;”早起簽到”小程式暗藏詐騙陷阱,交保證金瓜分挑戰金;高通贏得中國法院初步禁令,多款iPhone被禁止銷售;利用網銀APP漏洞非法獲利超2800萬,6人被刑拘。
羅技Options被曝漏洞可招致按鍵注入攻擊,官方發新版軟體修復
Logitech Options是羅技官方推出的一款軟體,使用者可以使用它對羅技滑鼠、鍵盤和觸控板進行自定義。
今年9月,谷歌Project Zero的安全研究員Tavis Ormandy發現了這款軟體上的一個漏洞,可以招致按鍵注入攻擊。通過此漏洞,應用程式可以開啟一個WebSocket伺服器。通過這一方式,外部來源可以用最小限度的身份驗證,從任意網站訪問應用程式。
攻擊者可以通過流氓網站向Options應用程式傳送一系列命令,更改使用者的設定。此外,還可以通過更改一些簡單的配置設定,來發送任意擊鍵命令,從而獲得訪問所有資訊的方式,甚至接管目標裝置。也就是說,只要使用者的電腦處於開啟狀態,同時這一應用保持在後臺執行,理論上攻擊者幾乎能發起連續訪問。
由於羅技沒有照慣例在三個月內對此漏洞進行修復,谷歌Project Zero團隊在12月11日公開披露了此漏洞。兩天後,羅技官方在一則推文中對此事進行了回覆,表示新發布的7.00版軟體已經對相關漏洞進行了修復。[ ofollow,noindex">ithome ]
SQLite被曝存在漏洞,所有Chromium瀏覽器受影響
SQLite被曝存在一個影響數千應用的漏洞,受害應用包括所有基於 Chromium 的瀏覽器。該漏洞由騰訊 Blade 安全團隊發現,允許攻擊者在受害者的計算機上執行惡意程式碼,並在危險較小的情況下洩漏程式記憶體或導致程式崩潰。
由於SQLite嵌入在數千個應用程式中,因此該漏洞會影響各種軟體,包括物聯網裝置、桌面軟體、Web瀏覽器、Android與iOS應用。如果底層瀏覽器支援 SQLite 和 Web SQL API,那麼將漏洞利用程式碼轉換為常規 SQL 語法也可以通過訪問網頁等操作遠端利用此漏洞。
Chromium瀏覽器引擎支援此API,這意味著像Chrome、Vivaldi、Opera和Brave等瀏覽器都會受到影響,而Firefox和Edge由於不支援此 API,因此不受影響。騰訊Blade 研究人員表示,他們在今年秋季早些時候向SQLite團隊報告了此問題,對方針對SQLite 3.26.0進行了修復。Chrome 71已經解決了該問題,但是Opera的Chromium版本還沒有更新,可能仍舊會受到影響。另一方面,雖然Firefox不支援Web SQL API,不會受到遠端利用攻擊,但是其自帶了一個本地可訪問的SQLite ,這意味著本地攻擊者可能利用此漏洞來執行程式碼。[ thehackernews ]
德國監管機構稱沒有華為裝置後門證據
德國聯邦資訊安全域性(BSI)對於各國要求抵制中國華為技術公司表達懷疑,BSI局長Arne Schoenbohm表示,對於像禁令這樣的重大決定,需要提供證據。他還說,BSI沒有掌握這樣的證據。
華為被指控與中國情報機構有關聯,因此受到各國日益嚴格的審查,美國、澳洲、日本等國政府禁止使用華為裝置建設5G網路。美國已經施壓德國,希望他們也加入抵制行列。Schoenbohm指出,BSI專家已經檢查來自世界各地的華為產品和零件。[ spiegel ]
“早起簽到”小程式暗藏詐騙陷阱,交保證金瓜分挑戰金
最近,一個叫做“早起挑戰團”的微信公眾號卻讓一些平時不願早起的人打破了常規,並在部分人群中迅速流行。
所謂的挑戰就是“早起簽到”——每名使用者只要交一點保證金,每天早上按時用手機簽到,就可以瓜分沒有簽到的人的保證金。保證金門檻不高,10元起步。不僅能督促自己早起,還能賺錢,表面上看,這是個兩全其美的,但事實是,嫌疑人卻通過修改後臺數據和簽到規則,在保證金上做手腳,進行詐騙。 沙坪壩公安分局刑偵支隊二大隊隊長楊兵表示:“他設定一個黑名單,讓你到那個時間段打不了卡,你的這個錢就被扣了。”
據警方查明,此案的涉案資金三千多萬元,加盟商達到了上百家,涉及全國20個省市。公開資料顯示,運營這個“早起挑戰團”的公司去年年底在重慶沙坪壩區註冊成立,重慶警方七月底在沙坪壩控制主要嫌疑人和伺服器,後臺資料顯示有超過38萬用戶,包括學生、職員、家庭主婦等等。目前,全國各地涉案的57名嫌疑人被刑事拘留,部分移送起訴。[ 中國之聲 ]
高通贏得中國法院初步禁令,多款iPhone被禁止銷售
高通公司宣佈,中國一家法院已初步裁定,禁止蘋果公司在中國市場進口和銷售包括iPhone X在內的部分型號手機。
這項禁令是由福州市中級人民法院做出的,案件是由高通於去年年底提出的。
今年早些時候,福州市中級人民法院還曾釋出初步禁令,禁止美光(Micron Technology)在中國市場銷售包括DRAM晶片在內的26種產品。對於高通這起案件,福州市中級人民法院認為,蘋果侵犯了高通的兩項軟體專利,主要關於在觸控式螢幕上調整照片大小和管理應用程式。
有分析人士稱,由於是軟體侵權,蘋果可能對其軟體做出調整,以確保將來可以繼續銷售受影響的iPhone手機。據悉,受該禁令影響的iPhone機型包括iPhone 6S、iPhone 6S Plus、iPhone 7、iPhone 7 Plus、iPhone 8、iPhone 8 Plus和iPhone X。[ cnbeta ]
利用網銀APP漏洞非法獲利超2800萬,6人被刑拘
近日,上海警方成功搗毀一個利用網上銀行漏洞非法獲利的犯罪團伙。
2018年11月26日,松江區某銀行工作人員向警方報案稱,該行所屬的一個賬戶發生多筆異常交易,造成銀行鉅額經濟損失。
12月6日,經周密部署,警方在多地同步撒網,成功將涉案的主要犯罪嫌疑人馬某以及另3名犯罪嫌疑人一舉抓獲,並當場查獲了5套作案工具、現金200餘萬元,以及大量豪車、名錶、奢侈品。
據警方初步查證,馬某利用“黑客”技術,長期在網上尋找全國各家銀行、金融機構的安全漏洞。今年5月,他發現某銀行APP軟體中的質押貸款業務存在安全漏洞,遂使用非法手段獲取了5套該行的儲戶賬戶資訊,在賬戶中存入少量金額後辦理定期存款,後通過技術軟體成倍放大存款金額,藉此獲得質押貸款,累計非法獲利2800餘萬元。為了在套現過程中躲避偵查和監管,馬某將非法獲利的賬戶存款餘額,在某網路直播平臺上全部購成點數卡,再折價賣給其他使用者。
經進一步偵查,警方還循線抓獲了非法出售個人身份資訊和銀行儲戶資訊的方某某以及倒賣此類資訊的鄧某某,並對其他倒賣個人資訊的犯罪嫌疑人進行布控。目前,警方已將馬某、方某某、鄧某某等6名犯罪嫌疑人依法刑事拘留,並敦促涉案銀行完成了安全漏洞的修復,案件正在進一步偵查中。[ 網易新聞 ]