官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
4G LTE网络曝安全漏洞! 用户流量易被劫持!
在 LTE 数据链路层(Data Link Layer,又被称为第二层)协议中发现漏洞,可被黑客利用实现三种攻击途径,劫持用户通信流量,获取用户“网站指纹”。政客或记者最有可能成为此类攻击的目标。
两种被动攻击:攻击者可监控 LTE 流量,并确定目标详情。研究人员表示,攻击者可利用这些攻击收集用户流量有关的元信息(“身份映射攻击”),此外,攻击者还可确定用户通过其 LTE 设备访问的网站(“网站指纹识别攻击”)。
主动攻击——“aLTEr”:攻击者可操纵发送至用户 LTE 设备的数据。
详文阅读:
https://www.easyaq.com/news/2043514904.shtml
华为部分产品曝弱加密算法漏洞,可导致信息泄露
华为在一份编号为“huawei-sa-20180703-01-algorithm”的安全通报中指出,某些华为产品存在一个弱加密算法漏洞,成功利用可能会导致信息泄露。
华为解释说,要利用此漏洞,远程未经身份验证的攻击者必须捕获客户端与受影响产品之间的TLS流量。攻击者可能会对RSA密钥交换启动Bleichenbacher攻击,以通过某些密码分析操作解密会话密钥和先前捕获的会话。当然,成功的利用便会导致在上述中提到的信息泄露。
详文阅读:
https://www.easyaq.com/news/45530704.shtml可穿戴设备品牌 Polar 旗下 App 出现漏洞:泄露用户位置
法国可穿戴智能设备公司Polar提供的App在隐私设置上存在漏洞,导致App中有一项功能会泄露用户的位置信息。目前该公司已停止相关服务。
调查发现,恶意使用者可以利用Polar地图数据确定敏感军事基地的位置,而且还可以获取用户的名字、地址信息。在Explore地图中可以看到用户的活动,甚至包括士兵的活动,这些士兵在伊拉克打击ISIS。
详文阅读:
http://hackernews.cc/archives/23498
西门子中央工厂时钟受严重漏洞影响
西门子通知消费者称,其 SICLOCK 中央工厂时钟受多个漏洞影响,其中一些被评级为“严重”漏洞。
西门子 SICLOCK 设备用于同步化工业工厂的时间。中央工厂时钟确保在主时间源出现接收故障或丢失时的稳定性。
西门子指出,SICLOCK 系统共受六个漏洞的影响。这些漏洞的 CVE 编号是 CVE-2018-4851 和 CVE-2018-4856。
高危严重漏洞
三个漏洞被评为严重漏洞,其中一个可导致能访问网络的攻击者通过发送特别构造的数据包引发目标设备达到拒绝服务条件甚至可能是处于重启状态。
西门子在安全公告中指出,“设备的核心功能可能受影响。当与 GPS 设备或其它 NTP 服务器的时间同步完成时,时间服务功能恢复。该漏洞可能影响设备的可用性并可能影响设备的时间服务功能的完整性。
详文阅读:
http://codesafe.cn/index.php?r=news/detail&id=4280
思科 ASA 缺陷已遭利用
黑客正在利用思科软件中的一个漏洞攻击设备以及/或检索受影响设备中的信息。
思科已向消费者发出警告信息。
黑客利用 CVE-2018-0296
攻击者利用的是影响思科 ASA(自适应安全设备)软件的漏洞 CVE-2018-0296。该漏洞可导致攻击者无需在 ASA 设备上认证通过目录遍历技术就能查看敏感的系统信息。这个漏洞的缺点在于会导致设备崩溃,因此思科将其说明为拒绝服务问题。
详文阅读:
- 0 文章数
- 0 关注者