网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】安全专家称: 苹果的USB限制模式基本没用, 黑客已经破解

2018-07-12 05:20 推荐: 浏览: 12 views 字号:

摘要: 安全专家称: 苹果的USB限制模式基本没用, 黑客已经破解安全研究人员说,他们已经找到了一种方法,可以绕过苹果iOS 12测试版和最新发布的iOS 11.4.1系统的防黑客功能:USB限制模式。该功能阻止人们使用诸如GrayKey工具之类的小工具来访问手机的信...

安全专家称: 苹果的USB限制模式基本没用, 黑客已经破解安全研究人员说,他们已经找到了一种方法,可以绕过苹果iOS 12测试版和最新发布的iOS 11.4.1系统的防黑客功能:USB限制模式。该功能阻止人们使用诸如GrayKey工具之类的小工具来访问手机的信息。这个时间允许是很方便的,但另一方面是有人可以在一小时内访问iPhone上的数据。

一位了解苹果公司想法的人士说,苹果公司设计了一个长达一小时的窗口,作为安全和便利之间的妥协,因为它不希望用户每次插入充电电缆或其他设备时都必须输入密码。但苹果并不认为这是一个缺陷。

参考来源:

http://mini.eastday.com/a/180711215440727.html

军工巨头BAE Systems构建“全球情报网”全球三大军工企业之一的英国 BAE 系统公司(BAE Systems)2018年7月9日宣布建立“情报网”(The Intelligence Network),该公司以倡议的形式呼吁全球的安全专业人士和行业有影响力的人士团结起来打击网络犯罪。

CyLon 联合创始人乔纳森•卢夫表示: “网络犯罪分子利用创造力和协作性操纵前沿技术。从网络防御的角度来看,我们也需要这样做。我们需要重新思考合作模式,大小型必须携手合作,必须更加重视信息共享。随着情报网的建立,我们应该开始着眼于开放的文化,挑战并改变思维方式、行为模式、政策和立法。”

参考来源:

https://www.easyaq.com/news/1482682711.shtml

幽灵安全漏洞 Spectre1.1 新变种曝光 源于投机执行与缓冲区溢出来自麻省理工的 Vladimir Kiriansky 和咨询公司 Carl Waldspurger 的两位安全研究人员,刚刚发布了一篇揭露臭名昭著的“幽灵”(Spectre)安全漏洞新变种的论文,因其会产生投机性的缓冲区溢出。论文中,两人解释了他们新发现的这个变种(Spectre 1.1 / CVE-2018-3693)可以如何攻击和防御。对于处理器厂商来说,年初被曝光的该漏洞、以及后续陆续出现的多个其它变种,着实令业界感到头疼。而最新的 Spectre 1.1 漏洞,则利用了投机性的缓冲区溢出。

参考来源:

http://hackernews.cc/archives/23533

黑客入侵 Hola VPN 扩展将以太坊钱包用户定向到钓鱼网站

一位黑客入侵了流行 VPN 扩展 Hola VPN 的开发者账号,在扩展中植入代码,将以太坊钱包 MyEtherWallet (MEW)的用户定向到黑客控制的钓鱼网站。MyEtherWallet (MEW) 团队称,攻击只持续 5 个小时。Hola VPN 承认遭到了入侵,称已经通知了 MEW 和 Google,遭到修改的 Chrome 版本也已经替换到了干净版本。Hola 没有解释它的 Chrome Web 开发者账号是如何遭到入侵的。其他 Chrome 扩展开发者发生过类似的事件,多数是因为针对性的钓鱼攻击导致账号失窃。

参考来源:

https://www.solidot.org/story?sid=57159

挪威程序员发现托马斯库克航空公司系统漏洞,可轻易获取乘客数据托马斯库克航空公司(Thomas Cook Airlines Scandinavia)是英国的一家包机航空公司,以曼彻斯特为主要运营地,主要经营飞往欧洲和地中海度假胜地的旅游包机服务以及长途服务。

Solberg发现,当乘客通过旅行社Ving(其母公司是托马斯库克航空公司)预订旅程时,会收到一些额外的预订参考号。这意味着,只需要将这些号码逐一添加到网址中,就可以访问对应乘客的详细信息。

参考来源:

https://www.hackeye.net/securityevent/15087.aspx

Bancor产生“安全漏洞”,价值1350万美元的加密货币失窃代币创建平台Bancor在周一早上发生的“安全漏洞”后脱机,该平台损失了数百万美元的加密货币。Bancor公司在Twitter上发帖称,在安全事件发生后,该公司将其平台下线,称“没有用户钱包被泄露”。“为了完成调查,我们已经进行了维护,并将很快发布一份更详细的报告。我们期待着尽快回到网上。当记者通过电子邮件联系到Bancor的发言人时,他证实了这一事件。根据后续声明,该公司总共损失了约1350万美元。

参考来源:

https://www.xuehua.us

CredSSP 缺陷导致Pepperl+Fuchs公司的人机界面设备易遭攻击凭证安全支持提供商 (CredSSP) 认证协议中被指存在一个漏洞,影响德国工业自动化公司 Pepperl+Fuchs 的多款人机界面 (HMI) 产品。该缺陷的编号是 CVE-2018-0886,影响所有的 Windows 受支持版本,微软已在2018年3月的补丁星期二更新中修复。安全公司 Preempt 发现了这个漏洞并将其评为“严重”程度,但微软仅将其列为“重要”等级。CredSSP 进程处理多款应用如远程桌面协议 (RDP) 和Windows 远程管理 (WinRM) 的认证请求。中间攻击者能利用这个漏洞远程执行任意代码并在目标组织机构的网络内横向移动。微软表示,使用 CredSSP 进行认证的任何应用都易受此类攻击。

参考来源:

http://codesafe.cn/index.php?r=news/detail&id=4299

关于安全帮

安全帮,是中国电信北京研究院旗下安全团队,致力于成为“SaaS安全服务领导者”。目前拥有“1+4”产品体系:一个SaaS电商(www.anquanbang.vip) 、四个平台(SDS软件定义安全平台、安全能力开放平台、安全大数据平台、安全态势感知平台)。

 

 

 

联系站长租广告位!

中国首席信息安全官


关闭


关闭