比特幣錢包JSONRPC介面漏洞緊急修復智能手機應用可被利用讓工廠爆炸

最新 01-16

2018.01.13 周六

安全資訊

資訊要點

消滅CPU漏洞！AMD：Ryzen和EPYC平台的BIOS更新本周放出：AMD首席技術官Mark Papermaster更新了《AMD處理器安全性說明》（中文頁面尚未上線）。對於Spectre漏洞中的V1（繞過邊界檢查），AMD依然認為可以通過操作系統和軟體層面的更新解決掉。

美國眾議院將於當地時間2018年1月9日討論了一項法案，要求美國國土安全部（DHS）提交網路漏洞披露報告，描述網路漏洞披露的政策和程序，即美國政府如何決定是否利用新發現的計算機軟體漏洞攻擊美國對手或向製造商披露漏洞。這項名為「網路漏洞披露報告法案」於2017年9月通過美國國土委員會的投票表決，它將為特朗普政府計劃發布的「漏洞公平裁決程序（Vulnerabilities Equities Process，VEP）」年度報告提供法律保障。目前這項法案已經獲得通過，下一步將提交美國參議院審議。

美國司法部向俄亥俄州黑客菲利浦·杜蘭琴斯基提起指控，稱其編寫Fruitfly惡意軟體監視Mac用戶。據稱，現年28歲的俄亥俄州男子杜蘭琴斯基正是十年前出現的Mac惡意軟體的始作俑者，這名黑客早在14歲時就編寫出這個Fruitfly後門，該後門可用來遠程監視成千上萬毫無察覺Mac用戶。Fruitfy是一款具備高度侵入能力的Perl惡意軟體，允許攻擊者悄悄控制被感染的計算機——包括其攝像頭與麥克風，進而查看屏幕中的顯示內容、控制鍵盤與滑鼠並以遠程方式下載文件。

大量比特幣錢包暴露，開發商 Electrum 緊急修復 JSONRPC 介面漏洞：知名錢包開發商 Electrum 近期針對其比特幣錢包的 JSONRPC 介面漏洞發布了安全補丁。據悉，該漏洞允許託管 Electrum 錢包的惡意網站通過 Web 瀏覽器竊取用戶的加密貨幣，研究人員猜測這可能與 JSONRPC 介面中的密碼暴露有關。此外，攻擊者還可以利用該漏洞獲得私人數據，例如比特幣地址、交易標籤、地址標籤、錢包聯繫人等信息。目前該漏洞影響了幾乎所有平台上的 Electrum 2.6 – 3.0.4 版本。研究人員建議用戶應升級其 Electrum 軟體，並停止使用舊版本。

黑客或能利用智能手機應用讓工廠爆炸：兩名安全研究人員 Alexander Bolshev 和 Ivan Yushkevich 去年從 Google Play 里隨機選擇了 34 款企業應用進行研究，應用的開發商包括工業控制系統供應商西門子和施耐德電氣。他們從應用里發現了 147 個安全漏洞。研究人員沒有披露哪家公司的情況最嚴重，也沒有披露存在漏洞的具體應用。研究人員表示只有兩個應用沒有發現漏洞。他們發現的一些漏洞允許黑客干擾應用與機器或關聯進程之間的數據流。舉例來說，通過干擾數據，工程師可能會誤以為實際已過熱的機器仍然運行在安全溫度閾值內。另一個漏洞允許攻擊者在移動設備上植入惡意代碼，向控制機器的伺服器發出惡意指令。嚴重的話可能會造成流水線的混亂或導致煉油廠發生爆炸。這只是極端的假設。研究人員表示他們已經聯繫了相關企業，其中一些已經修復漏洞，另一些則沒有回應。

國際要聞

消滅CPU漏洞！AMD：Ryzen和EPYC平台的BIOS更新本周放出

https://www.easyaq.com/news/2031551732.shtml

美國「0Day漏洞披露法案」已獲得眾議院通過

https://www.easyaq.com/news/951590875.shtml

14歲黑客開發Fruitfly後門監視Mac用戶13年

https://www.easyaq.com/news/866913479.shtml

大量比特幣錢包暴露，開發商 Electrum 緊急修復 JSONRPC 介面漏洞

http://hackernews.cc/archives/19583

黑客或能利用智能手機應用讓工廠爆炸

https://www.solidot.org/story?sid=55201

信息安全 · 選擇安恆