BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

2017-12-29 166337人围观 资讯

今天是12月29日星期五,今天早餐的主要内容有:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Mozilla在Thunderbird中修复了五个安全问题,包括一个严重漏洞;网页追踪人员漏洞利用浏览器中的登录管理器窃取用户名;国家网络安全产业园区落户北京。

BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

【漏洞攻击】

Github上出现PS4 4.05固件的内核利用,越狱指日可待

BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

圣诞节已经过了,但圣诞老人没闲着,他为全体PlayStation用户带来了一份特殊的礼物。

开发者SpecterDev今天终于发布了PlayStation 4(固件4.05)的内核漏洞。两个月前,Team Fail0verflow公布了技术细节。

这个内核的exp大家可以在GitHub上找到,名叫“namedobj”,这个exp能让用户在游戏控制台上运行任意代码,从而越狱或者进行内核级的修改。

尽管PS4内核漏洞利用不包括越狱代码,但其他开发者可以在此基础上开发一个完整的越狱工具。

通过越狱,用户可以运行自定义代码,或者安装mods,作弊插件、第三方程序和游戏,这些东西由于索尼PlayStation的反盗版机制原来都是不可能的。

SpecterDev说:“不过这个版本并没有绕过反盗版机制或运行自制软件相关的任何代码。

“这个漏洞的确包括一个payload,用于监听9020端口的有效载荷,并接收命令。”

不过exp的稳定性值得注意。

“在我的测试中,这个漏洞的成功率实际上稳定在95%左右,WebKit很少崩溃,内核也是如此,我创建的补丁程序只会让内核漏洞在系统上运行一次。“SpecterDev警告说。

运行固件版本低于4.05的PS4游戏玩家可以使用相关的exp。

[THN]

加密货币交易所EtherDelta遭到DNS攻击

BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

加密货币交易所EtherDelta遭到黑客攻击,攻击者使用了DNS攻击,窃取了至少308 ETH(价值266,789美元)。

加密货币价值的飙升吸引了大量黑客,最新受害者是加密货币交易所EtherDelta。

由于这次袭击,交易所暂停服务,公司发布公告确认服务器被黑客入侵。

攻击者修改了EtherDelta的域名指向来诱骗用户发送钱款。

“至少308个ETH(价值266,789美元)被盗,以及大量价值数十万美元的代币”,Mashable报道。

EtherDelta发布了推文警告用户,提醒用户假冒的应用程序没有导航栏上的聊天按钮,也没有右下角的官方Twitter。 EtherDelta提醒所有用户不要访问假冒网站。

[SecurityAffairs]

Mozilla在Thunderbird中修复了五个安全问题,包括一个严重漏洞

BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

Mozilla发布了重要安全更新,修复了Thunderbird电子邮件客户端中的五个漏洞。

最新版本的Thunderbird 52.5.2版本修复多个漏洞,包括两个高危,一个中等和另一个低危漏洞。

修复的最严重漏洞是Windows操作系统上运行的Thunderbird的严重缓冲区溢出漏洞(CVE-2017-7845)。

另外两个安全漏洞分别为CVE-2017-7846和CVE-2017-7847。第一个(CVE-2017-7846)影响Thunderbird的RSS阅读器。

跟踪为CVE-2017-7847的第二个高严重性问题也会影响RSS阅读器。

漏洞编号为CVE-2017-7848的中危漏洞也会影响RSS,而低危漏洞CVE-2017-7829影响的是电子邮件。

“漏洞可以欺骗发件人的电子邮件地址,并向电子邮件收件人显示任意的发件人地址。如果在显示字符串中以空字符开头,真正的发件人地址就不会显示。“Mozilla的公告提到。

[SecurityAffairs]

网页追踪人员漏洞利用浏览器中的登录管理器窃取用户名

BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

普林斯顿隐私专家警告说,广告和分析公司可以使用隐藏的登录字段从浏览器中秘密提取网站用户名,然后把访客与他们的邮箱、用户名绑定在一起。

所有浏览器中包含的登录管理器中存在设计缺陷,登录管理器让浏览器记住用户的特定站点的用户名和密码,并在用户访问该站点时自动将其插入到登录字段中。

专家说,网页追踪人员可以在网站上嵌入隐藏的登录表单。利用登录管理器的工作方式让浏览器会在这些字段中填入用户的登录信息,例如用户名和密码。

普林斯顿大学的研究人员说,他们最近发现了两个利用隐藏登录表单收集登录信息的网络跟踪服务,分别是Adthink(audienceinsights.net)和OnAudience(behavioraorangine.com)。

不过这两个服务中没有收集密码信息,只有用户的用户名或电子邮件地址。

[BleepingComputer]

【国内新闻】

国家网络安全产业园区落户北京

BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

在近日举行的首届中国网络安全产业高峰论坛上,工信部、北京市签署合作协议,决定共同打造国家网络安全产业园区。预计到2020年,该产业园区可拉动GDP增长超过3300亿元,打造不少于3家年收入超过100亿元的骨干企业。到2035年,北京将依托产业园区建成我国网络安全产业“五个基地”,即国家安全战略支撑基地、国际领先的网络安全研发基地、网络安全高端产业集聚示范基地、网络安全领军人才培育基地和网络安全产业制度创新基地。

去年赛门铁克等10大国际网络安全企业平均营收约合人民币83亿元,平均增长21%。我国企业的追赶脚步也在加快。2016年我国网络安全产业规模达到344.09亿元,较2015年增长21.7%,预计2017年的增长率更会高达32.85%。去年国内10家上市网络安全企业的业绩创下新高,总营收超过了146亿元,增幅约为35%。

“2016年《网络安全法》等一系列重大文件相继发布,为我国网络安全技术创新和网络安全企业做大做强提供了宝贵机遇。”中国信通院院长刘多说,我国网络安全企业实力有了较大提高,超过30家企业年度营收过亿,态势感知、监测预警、云安全服务等新技术、新服务不断涌现,以产品为主导的产业格局正向产品和服务并重转变。

[中国科技网]

女大学生遭电信诈骗自杀身亡案一审宣判:主犯被判无期

BUF 早餐铺 | 迟到的圣诞礼物:Github上出现PS4 4.05固件的内核利用,越狱指日可待;加密货币交易所EtherDelta遭到DNS攻击;Thunderbird修复五个漏洞,包含严重漏洞

12月28日上午,广东省揭阳市中级人民法院对被告人陈明慧等七人电信网络诈骗案一审公开宣判,以诈骗罪判处被告人陈明慧无期徒刑,剥夺政治权利终身,并处没收个人全部财产。以诈骗罪分别判处被告人范治杰、高学忠、叶奇锋十五年至十三年不等有期徒刑并处罚金;以诈骗罪、危险驾驶罪,数罪并罚,判处被告人熊运江有期徒刑十一年并处罚金。

以掩饰、隐瞒犯罪所得罪分别判处被告人林诗雅有期徒刑三年、被告人陈李亿有期徒刑一年四个月并处罚金;责令各被告人共同向被害人退赔诈骗款项。

法院经审理查明,2013年8月至2014年3月间,陈明慧多次雇用唐晓晖(已判刑)冒充“爸爸去哪儿”等综艺节目向手机用户发送虚假中奖诈骗信息共计73万余条。

2016年6月至8月间,陈明慧招募、纠集范治杰、高学忠、叶奇锋、熊运江等人结成犯罪团伙,通过群发“淘宝”、“奔跑吧兄弟”等虚假中奖信息,诱导接到信息的“中奖者”登录“钓鱼网站”填写个人信息领奖,并冒充客服人员以兑奖为由诱骗“中奖者”缴纳“保证金”,而后,又冒充法院工作人员、律师以“中奖者”未按要求缴纳“保证金”或领取奖品构成违约,要对“中奖者”起诉或已经起诉,继续缴纳手续费方可撤诉并获得奖品为由进行恐吓、利诱,再次对“中奖者”实施诈骗,骗取多人财物共计人民币104.1万余元。其中,即将就读大学的学生蔡淑妍被骗取学费和生活费9800元后跳海自杀死亡。

[Cnbeta]

http://www.cnbeta.com/articles/tech/684101.htm

取消
Loading...
css.php