BUF早餐鋪 | Pwn2Own:Galaxy S9、iPhone X和小米Mi6成為賺取獎金的物件;Facebook再曝漏洞,可使私...
各位Buffer早上好,今天是2018年11月16日星期五,農曆十月初九。今天的早餐鋪內容有:Pwn2Own Trifecta:Galaxy S9、iPhone X和小米Mi6成為賺取獎金的物件;Facebook再曝漏洞,可使私人資訊洩露;西門子修復防火牆漏洞,確保運營商安全;IDC FutureScape:2019年全球數字化轉型預測;清查學生手機電腦,學校的手伸得太長了。
Pwn2Own Trifecta:Galaxy S9、iPhone X和小米Mi6成為賺取獎金的物件
在為期兩天的Pwn2Own Trifecta黑客大賽上,Fluoroacetate團隊通過堆疊溢位漏洞攻擊三星Galaxy S9的基帶元件獲取了遠端程式碼執行許可權,獲得50000美元的獎金。MWR實驗室綜合利用了五種不同的漏洞,拿下了小米6手機,賺了30000美元。當小米6手機連線到黑客控制的Wi-Fi伺服器時,該團隊能夠強制手機的預設網路瀏覽器導航到惡意網站。iPhone X也未能倖免,Fluoroacetate團隊通過Wi-Fi利用了瀏覽器的JIT漏洞,實現了沙箱逃逸和提權操作,贏下60000美元獎金。
Pwn2Own比賽由黑客自己報攻擊裝置。今年一共報了11項挑戰:三星S9有2項,全部破解成功;iPhoneX有4項,成功2項;小米6有5項,全部破解成功;主辦方還設定了華為P20Pro和Pixel2的破解目標,無人報名。[來源: ofollow,noindex" target="_blank">threatpost ]
Facebook再曝漏洞,可使私人資訊洩露
Facebook報告了一個安全漏洞,可允許攻擊者獲取使用者及其朋友的某部分個人資訊,使得海量使用者的隱私受到威脅。該漏洞由Imperva的網路安全研究人員發現,漏洞存在於Facebook搜尋功能顯示輸入查詢結果的方式。根據Imperva研究員Ron Masas的說法,顯示搜尋結果的頁面包含與每個結果相關聯的iFrame元素,這些iFrame的端點URL沒有任何保護機制來防止跨站點請求偽造(CSRF)攻擊。Facebook報告該漏洞已修復。[來源: thehackernews ]
西門子修復防火牆漏洞,確保運營商安全
西門子公司週二釋出了一系列解決方案,修復了其工業產品線中的八個漏洞。最嚴重的漏洞包括西門子SCALANCE防火牆產品中的跨站點指令碼漏洞。該漏洞允許攻擊者未經授權訪問工業網路,使得運營商面臨嚴峻風險。SCALANCE防火牆用於保護安全工業網路免受不受信任的網路流量影響,並允許以不同方式過濾傳入和傳出網路連線。西門子S602、S612、S623、S627-2M和V4.0.1.1之前的軟體版本的SCALANCE裝置受到影響。
發現該漏洞的Applied Risk的研究人員表示,攻擊者可以通過製作惡意連結並欺騙管理員(登入到Web伺服器)來單擊該連結來執行攻擊。管理員執行此操作後,攻擊者可以代表管理員在Web伺服器上執行命令。“如果管理員被誤導訪問惡意連結,整合的Web伺服器就會允許跨站點指令碼攻擊,”Applied Risk研究員Nelson Berg在對該漏洞的分析中表示。“漏洞利用成功的話可會導致繞過防火牆提供的關鍵安全措施。”[來源: threatpost ]
IDC FutureScape:2019年全球數字化轉型預測
全球領先的數字化轉型(DX)市場研究企業國際資料公司(IDC)於近日釋出《IDC FutureScape:2019年全球數字化轉型預測》(檔案編號US43647118)。在今年DX預測中,IDC根據具體趨勢和屬性,分析出兩類DX化轉型群體。一類是數字化轉型堅定者——正在對員工、流程和技術等成功要素實施調整;另一類是數字化轉型迷茫者——尚未制定必要的企業策略來有效調整企業實現轉型。IDC建立在對全球3000多家公司的廣泛市場研究和調研資料之上產生了市場領先的分析理解和洞察。IDC預測,到2020年,至少有55%的組織將是數字化堅定者,他們通過新的商業模式和數字化產品與服務來改變市場,重塑未來。[來源: 安全內參 ]
清查學生手機電腦,學校的手伸得太長了
這幾天,一份桂林電子科技大學下發的涉及“全面清查在校師生手機、電腦、行動硬碟”等內容的通知引發熱議,不少網友認為清查行為涉嫌侵犯隱私。桂林電子科技大學保衛處工作人員介紹,目前該檔案中的內容還沒有具體落實。廣西壯族自治區教育廳高教處一名工作人員表示,教育廳正在關注事件進展,已與涉事學校對接,目前還沒有具體處理結果。
據報道,桂林電子科大下發的《關於開展清理涉暴、涉恐、反動、淫穢等違禁、違法音視訊工作的通知》第一條明確,此項清查、清理工作的範圍及內容為“各單位、學院要對全體教職員工、在校學生的手機、電腦、行動硬碟、U盤等儲存介質進行全面清查”。有人據此認為,清查師生的手機、電腦也有一定合理性,諸如不讓學生受淫穢違禁內容影響,但是,任何清查必須以遵守法律法規為前提,如果違反了法律法規,所謂“合理性”也就無從談起。[來源: ithome ]
*Freddy編譯整理,轉載請註明來自FreeBuf.COM