BUF早餐铺 | 微软产品七成漏洞是内存安全问题;瑞士电子投票系统邀请黑客来寻找漏洞,总奖金达到15万美元

2019-02-14 43017人围观 资讯

各位 Buffer 早上好,今天是 2019 年 02 月 14 日星期四,农历正月初十。今天的早餐铺内容有:微软产品七成漏洞是内存安全问题;瑞士电子投票系统邀请黑客来寻找漏洞,总奖金达到15万美元;Facebook被发现可搜索女性朋友的照片却无法搜索男性的;小米电动滑板车有漏洞,可无需身份验证远程访问;利用RunC 漏洞获得 Docker、Kubernetes 主机的 root 权限。

plow-san-francisco-BRKFSTREST0119.jpg

微软产品七成漏洞是内存安全问题

微软工程师 Matt Miller 在以色列举行的安全会议 BlueHat 上透露,软件巨人旗下产品过去 12 年修复的所有漏洞,七成涉及的是内存安全问题。内存安全是软件和安全工程师使用的术语,描述应用程序以不会导致错误的方式访问操作系统内存。当软件无意或有意以超出其分配大小和内存地址的方式访问内存时,就会出现内存安全漏洞。缓冲区溢出、竞争条件、分页错误、空指针,堆栈耗尽,堆耗尽/损坏、释放后使用或双重释放等术语描述的都是内存安全漏洞。[来源:Solidot]

瑞士电子投票系统邀请黑客来寻找漏洞,总奖金达到15万美元

瑞士政府在本月晚些时候将测试基于互联网的电子投票系统。瑞士政府表示,在这次测试当中任何能找到系统Bug的人可以获得高达50000瑞士法郎(约合50000美元)的奖金。瑞士政府这次提供的总奖金达到150000瑞士法郎(约150000美元)。想要参与测试的白帽黑客可以注册“公共入侵测试”(PIT)项目。瑞士邮政系统将在2月24日至3月24日之间进行一次选举测试,这是一次典型的瑞士联邦选举,在此期间,任何注册的白帽黑客都可以自由发现和报告漏洞。[来源:cnBeta]

Facebook被发现可搜索女性朋友的照片却无法搜索男性的

据外媒TheNextWeb报道,一位比利时安全研究人员在Facebook的搜索功能中发现了一个不寻常的怪异现象。Facebook允许用户搜索女性朋友的照片,但却无法查看男性朋友的照片。这个现象被臭名昭著的比利时白帽黑客Inti De Ceukelaire发现。

TNW已经设法复制了几个Facebook帐户的故障。当用户在搜索栏中输入“我的女性朋友的照片”时,Facebook将出现一些看似随意的女性朋友照片。用“男性”换掉“女性”会让人感觉完全不同。而不是社交网络中的朋友的照片,而是显示来自社交网络的精选图片。这些来自用户没有关注的帐户和团体。假设用户错误输入了查询,Facebook也会询问用户是否打算输入“女性”。[来源:cnBeta]

小米电动滑板车有漏洞,可无需身份验证远程访问

据美国科技媒体CNET援引安全研究组织Zimperium周二发布的研究报道称,小米型号为M365的电动滑板车存在漏洞,可能会让黑客远程控制该滑板车,比如导致滑板车突然加速或突然刹车。

Zimperium发现的这个漏洞与2017年Segway悬浮滑板上发现的漏洞类似。IOActive发现,其可以通过向蓝牙更新手动向Segway发送命令远程方位悬浮滑板,完全无需身份验证。[来源:新浪科技]

利用RunC 漏洞获得 Docker、Kubernetes 主机的 root 权限

Runc 容器运行时中存在一个漏洞,可导致恶意容器(仅需最少用户交互)覆写主机 runc 二进制并获得主机监的 root 代码执行权限。该漏洞是由研究员 Adam Iwaniuk 和 Broys Poplawski 发现的,编号是 CVE-2019-5736,在用户名称空间正确使用的系统上遭自动拦截(不以 root 运行的容器不受影响)。然而,它影响的机器“主机 root 被映射到容器的用户名称空间中”,因为默认的 AppArmor 策略和 Fedora 的默认 SELinux 策略并不会拦截 CVE-2019-5736 触发。[来源:CodeSafe]

取消
Loading...

特别推荐

推荐关注

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php