BUF早餐铺 | Mirai 变种 Satori 活跃;邮件地址解析存Mailsploit漏洞,影响33个邮件客户端;虚拟键盘 AI.type 收集并泄露 3100 万用户信息

2017-12-07 69052人围观 ,发现 2 个不明物体 资讯

暮冬时烤雪,迟夏写长信。大雪节气已至,绿蚁新醅酒,饮一杯何如?

各位 Buffer 早上好,今天是 2017 年 12 月 7 日星期四。今天份的 BUF 早餐有:谷歌 12 月修复安卓中的 47 个漏洞;Mirai 变种 Satori 觉醒,12小时内超过 28 万 IP 活跃;邮件地址解析存在Mailsploit漏洞,影响33个邮件客户端;流行虚拟键盘 APP AI.type 收集并泄露 3100 万用户信息;WAGO 的 PLC 工控产品存在严重级别的漏洞; ParseDroid 漏洞影响安卓应用开发工具甚至安卓应用本身;北京警方破获非法获取个人信息大案:百万手机号泄露。

早餐.jpeg

以下请看详细内容:

【国际时事】

谷歌 12 月修复安卓中的 47 个漏洞

 本周,谷歌修复了安卓中 47 个漏洞,其中 10 个级别为严重,这些漏洞影响多个平台组件,补丁分两批发放,其中一批修复了 19 个,包括 framework 中的 3 个高危提权漏洞;Media framework 中的5个严重远程代码执行漏洞、2个高危提权漏洞、4个高危DOS漏洞;以及系统组件中的1个严重远程代码执行漏洞、一个高危提权漏洞、3个高危信息披露漏洞。

Google Android

另一批修复了 28 个漏洞,包括 Kernel components 中的 4 个高危提权漏洞;MediaTek 组件中的 3 个高危提权漏洞;NVIDIA 组件中的 3 个高危提权漏洞;Qualcomm 组件中的 3 个严重远程代码执行漏洞;Qualcomm 闭源组件中未知类型的 1个严重和8 个高危漏洞。[来源:SecurityWeek]

Mirai 变种 Satori 觉醒,12小时内超过 28 万 IP 活跃

日前,360 的安全研究人员发现 Mirai 僵尸网络的变种 Satori 活动频繁,在 12 小时内激活了超过 28 万个 IP。这个变中发两大显著特点是:

bot 不再完全依赖以往的 loader/scanner 机制进行恶意代码的远程植入,而是自身有了扫描能力。这是一个类似蠕虫的传播行为,值得引起注意;

bot 中增加了两个新的漏洞利用,分别工作在端口 37215 和52869 上( CVE-2014-8361.)。

Satori.png

据称,这些僵尸网络可能利用了华为家庭网关路由器路中由 Check Point 发现的 0-day 远程代码执行漏洞。关于 Satori 的详情可以关注 FreeBuf 主站的文章报道。    [来源:bleepingcomputer]

邮件地址解析存在 MailSploit 漏洞,影响 33 个邮件客户端

近日,德国安全研究员 Sabri Haddouche 发现了存在于 33 个邮件客户端中的多个漏洞,可以让任意用户伪造身份发送欺诈邮件并绕过反欺诈保护机制(如 DMARC 等)和多种垃圾邮件过滤器。Sabri 把这些漏洞统称为 MailSploit 漏洞,主要影响 Apple Mail(macOS, iOS, and watchOS)、Mozilla Thunderbird、 部分 Microsoft 客户端、Yahoo Mail、ProtonMail 等。

MailSploit.png

通过 MailSploit 漏洞,黑客可以利用邮件客户端和 web 交互页面对“From”头的字符编码方式进行恶意攻击。大量邮件客户端会采用 RFC-1342 编码字符串,并解码为非 ASCII 字符,但随后不会清洁检查是否存在恶意代码。“DMARC并没有遭受直接攻击,而是利用客户端展示邮件发送人的名称被绕过了。服务器仍然会正确验证原始域名而非欺骗性域名的DKIM签名。这就导致在目前情况下欺骗性邮件实际上是无法阻止的。”此外,利用 MailSploit,攻击者甚至还能在计算机上执行代码。

感兴趣的读者可以点击此处,查看受影响的邮件客户端清单。[来源:TheHackerNews]

流行虚拟键盘 APP AI.type 收集并泄露 3100 万用户信息

Kromtech Security Center 的研究人员发现,流行虚拟键盘 APP AI.type 泄露了其 3100 万用户的信息,无需输入密码,任何人都可访问下载。

Ai.type 是一款定制化、私人化的手机等移动设备屏幕键盘,在全球拥有超过 4 千万的用户。此次泄露主要是因为其公司的 MongoDB 数据库配置错误,导致公司 577 GB 的资料在线泄露。被泄露的用户信息包括:

全名、电话号码、邮箱;

设备名称、屏幕分辨率和型号;

安卓版本、 IMSI 号码、IMEI 号码;

移动网络名称、现居住国甚至用户掌使用的语言;

IP 地址(只要能获取到)、GPS 定位(经度纬度定位);

与社交文档有关的信息,包括生日、邮箱、照片等

Ai.type.png

研究人员还发现,用户安装 Ai.type 时,必须给予“完整权限”才能顺利使用。而 Ai.type 正是利用这一点收集了用户的详细信息。值得注意的是,泄露的信息表明,Ai.type 还在暗中获取用户的通讯录信息(联系人姓名、手机号等),涉及 37300 万记录。[来源:TheHackerNews]

【漏洞攻击】

WAGO 的 PLC 工控产品存在严重级别的漏洞

可编程逻辑控制器(PLC)设备是一种工控设备,可以用机器人技术进行远程自动化操作,实现制造、核能生产、石油天然气生产、交通运输等工业制造。一旦 PLC 出现漏洞,会对生产和关键设施造成严重威胁。而近日,德企 WAGO 的 17 款  PFC200 系列 PLC 都存在漏洞,可能会被远程利用造成影响。

  wago.jpeg

SEC Consult 的安全人员在固件版本为 02.07.07 的 PFC200s 上发现了 CODESYS runtime 2.4.7.0 版本的漏洞。CODESYS runtime 通常包含在PLC中,以便用户轻松编程。 针对不同的制造商有特定的版本,并不断升级和改进。攻击者可以利用这个漏洞获取认证的远程访问。此外,如果向这个端口发送特定制作的包,就能触发以下函数:任意文件读取/写入/删除(Digital Bond’s Tools )、切换当前执行的PLC程序中的功能、循环执行当前执行的PLC程序中的任何功能、删除当前执行的PLC程序的当前变量列表等。

目前,WAGO 已经确认 PFC200 的 750-88X 系列 PLC 和 PFC100 的 750-810X 系列 PLC 没有漏洞,且已经针对其他 17 款 PLC 产品发布漏洞补丁。[来源:Securityaffairs ]

ParseDroid 漏洞影响安卓应用开发工具甚至安卓应用本身

Check Point 安全研究员发现 APKTool、 IntelliJ、 Eclipse 和 Android Studio 这些工具中用于 XML 解析的库存在 XXE 漏洞,且安卓应用本身也可能会受到攻击。这个 XML 解析库在解析XML文件时,不会禁用外部实体引用,形成了一个典型的 XML 外部实体(XXE)漏洞,攻击者可以轻松利用该漏洞窃取文件并执行恶意代码。

研究人员将这个漏洞命名为 ParseDroid:

它会暴露被感染用户的整个 OS 文件系统,最终攻击者可以利用恶意的 AndroidManifest.xml 文件来去的受害者计算机上的任意文件。

ParseDroid.png

此外,APKTool 本身还会受到另一个漏洞的影响,这个漏洞可被攻击者利用执行任意代码,这就让攻击者扩大攻击范围,从盲目数据渗透扩大到在受害者电脑上传播更高级更复杂的恶意程序。

目前 CheckPoint 已经将受影响的产品告知开发团队,相应开发团队已经发布了更新、修复了 ParseDroid 漏洞。而使用这些工具的开发者应当尽快更新 IDE。[来源:bleepingcomputer]

【国内新闻】

北京警方破获非法获取个人信息大案:百万手机号泄露

近日,海淀警方破获一起涉及15省18地市的特大非法获取公民个人信息案,查获非法涉案网站26个、手机号等个人信息上百万条。目前,33人因涉嫌侵犯公民个人信息罪已被检察机关批准逮捕。

不法人员编写用于抓取手机号的代码,当用户用手机浏览被加装代码的网站时,就会被抓取手机号等信息。而网站根据用户搜索的关键词等,还可以掌握对方医疗等方面私密信息,然后通过电话精准推销。

手机号泄露.jpg

据了解,这些网站为一些“专科医院”、“美容医疗机构”网站出售抓取代码,不过这些代码只是在该网站代销,编写的另有其人。使用者购买这些代码后,还要按收到手机号的条数支付使用费。

据介绍,相关嫌疑人均已承认制作、销售、购买抓取手机号代码的犯罪事实。目前,案件仍在进一步工作中。[来源:网易科技]

*AngelaY 编译整理,转载请注明来自 FreeBuf.COM

发表评论

已有 2 条评论

取消
Loading...
css.php