1、火狐又實現了一個取自Tor瀏覽器的隱私保護功能

Catalin Cimpanu

2017年10月30日 07:20

Mozilla的工程師們從Tor瀏覽器借鑑了一個新功能，開始使用58版的Firefox使用者不被允許使用HTML5 canvas元素。

禁止該元素是火狐又一個重要的保護使用者隱私的措施，比如廣告業已經使用了很長一段時間的帆布指紋識別技術，來跟蹤使用者。

帆布指紋識別近些年來被廣泛使用

自從歐盟迫使網站顯示cookie 的彈出視窗後，該方法近年來普遍使用。由於帆布指紋並不需要在使用者瀏覽器中儲存任何東西，它帶來的法律問題也很少，這種使用者跟蹤/指紋識別的技術已經成為網上廣告最喜歡使用的方式。

帆布指紋識別通過載入一個隱藏的在iframe標籤中的html Canvas 元素而工作。畫布使得使用者的瀏覽器可以繪製一系列元素和文字。所得到的影像被轉換成一個檔案的雜湊值。

因為每一個計算機和瀏覽器都並非完全相同地解析這些元素，所以當訪問網際網路各種網站上的廣告時，網路可以跟蹤到使用者的瀏覽器。帆布指紋識別的更多細節，參見2012研究論文。

借鑑於Tor瀏覽器的特徵

Tor瀏覽器已經從預設地阻止任何網站訪問 Canvas 資料，從而修復了這個問題。每當網站要使用canvas元素時，Tor瀏覽器就會彈出下面這個彈窗。

Tor瀏覽器的阻止Canvas識別系統

當網站想要從 <canvas> 元素中提取資料時，工程師計劃彈出彈窗，讓使用者選擇是否允許網站這樣做，這是基於Mozilla的bug跟蹤系統裡的一個條目。類似於當網站要訪問使用者的攝像頭或麥克風的許可權時的做法。

58版本的火狐計劃於2018年1月16日釋出。

第二個借鑑Firefox的Tor瀏覽器的特徵

阻止帆布指紋識別是Mozilla的工程師們從Tor專案借鑑來的第二個特徵。此前，Mozilla已經在52版本的火狐中新增了一個機制，阻止網站從通過系統字來指紋識別使用者。

Mozilla努力使火狐作為Tor Uplift 專案的一部分--一項倡議從Tor瀏覽器向火狐引入更多的以隱私性為重點的功能。Tor瀏覽器是基於Firefox的ESR，通常功能都是Firefox先有,Tor後有的，而非相反。

在2016年八月，Mozilla還封鎖了一批已知具有指紋識別指令碼的網址。火狐以往也努力去保護使用者的隱私，包括除去電池狀態的API。

原文連結：https://www.bleepingcomputer.com/news/software/firefox-implements-another-privacy-preserving-feature-taken-from-the-tor-browser/
本文由看雪翻譯小組fyb波編譯

---

2、Google Issue Tracker 缺陷導致洩露未修復漏洞的報告

Google 的 Issue Tracker，在其內部也稱為 “Buganizer”，被曝出存在新的漏洞，能允許外部人員訪問資料庫中儲存的任意未修復 bug 的描述資訊。

作為軟體開發人員和漏洞挖掘愛好者的 Alex Birsan 通過 Issue Tracker 中發現的此漏洞和另外兩處漏洞共獲得了超過 15000 美元的獎金，在這三個漏洞的配合下能允許他傳送 POST 請求來提升許可權，進而訪問特定漏洞的具體細節。

“Issue Tracker 系統對於擁有 Google 帳號的使用者都是開放的，但是，絕大多數託管的問題單隻允許 Google 的員工進行檢視，” Birsan 說到。“並且其中一些甚至只能由特定的團隊來檢視，而我發現的這個 bug 能讓我檢視到任意的問題單。”

Birsan 在今天釋出的一篇文章中寫道，和 Google 內部處理問題單的人員相比，Issue Tracker 對外部訪問者是有許可權限制的。但他發現藉助 JavaScript 方法的特定 POST 請求能允許個人將自己從受限制列表中刪除，此方法可被攻擊者用於獲取問題單的全部細節，即能夠訪問整個 Issue Tracker 系統。

“我不知道此漏洞是否還能用於幹些別的什麼，因為我在測試中還是挺慎重的，”他說。 “我只是保證能有足夠的資訊來證實自己確實擁有了特殊的許可權。”

Birsan 表示，測試過程中他通過向系統請求幾個連續的問題單來確認這個問題。

“是的，我可以看到有關漏洞的詳細報告，以及 Buganizer 上託管的其它內容，”他補充到，“在觸發監控機制後 Google 安全小組禁用了他正訪問的伺服器長達一小時之久。 “不過更糟糕的是，我可以在單次請求中獲取多個問題單的資料，因此就算有實時監控的安全機制可能也不會被觸發。”

Birsan 表示，應該設計這麼一種限制，即使攻擊者擁有類似的訪問許可權也不能將其轉變成有效的漏洞利用。

“這完全取決於具體的漏洞利用過程，”Birsan 說到。“一般來說，紮實的技術基礎和編寫利用指令碼的能力在這種情況下是很有幫助的，在漏洞修復前的這段 deadline 內，攻擊都是很緊迫的。”

此前微軟的內部 bug 跟蹤系統也被曝出存在類似的問題，Birsan 在今天公開該漏洞可以說是緊隨其後。

來自 Tripwire 的安全研究員 Craig Young 表示：“入侵 bug 跟蹤系統可以讓攻擊者在安全機構有所作為前獲得更多的時間來開發漏洞利用程式。一個聰明的攻擊者也可以利用其對 bug 跟蹤系統的未授權訪問來操控相關的資料，從而延遲補丁版本的釋出。（例如，更改相關的報告細節，以便錯誤不會引起重現，甚至直接關閉問題單等）。

原文連結：https://threatpost.com/flaw-in-google-bug-tracker-exposed-reports-about-unpatched-vulnerabilities/128687/

本文由看雪翻譯小組BDomne編譯

---

3、甲骨文公司終於修好了“預設賬戶”的問題！

Catalin Cimpanu

Oracle（甲骨文）近期發出了影響身份管理器的漏洞的補丁。這個漏洞等級達到了CVSSv3的滿分十級...

CVSS，全稱Common Vulnerability Scoring System，即“通用漏洞評分系統”，是一個“行業公開標準，其被設計用來評測漏洞的嚴重程度，並幫助確定所需反應的緊急度和重要度

甲骨文公司，全稱甲骨文股份有限公司(甲骨文軟體系統有限公司)，是全球最大的企業級軟體公司，總部位於美國加利福尼亞州的紅木灘。1989年正式進入中國市場。2013年，甲骨文已超越 IBM ，成為繼 Microsoft 後全球第二大軟體公司。

這個大型軟體開發公司對這件事閉口不談，一直都沒有對這件事做出合理的解釋，也沒有試圖去阻止黑客去利用這個漏洞，以給使用者更多時間去打補丁。

在OIM 中介軟體中發現了不需要密碼即可登入的預設賬戶

什麼是中介軟體？

由於業務、機構和技術是不斷變化的，因此為其服務的軟體系統必須適應這樣的變化。在合併、新增服務或擴充套件可用服務之後，公司可能無力負擔重新建立資訊系統所需的成本。正是在這個關鍵時刻，才需要整合新元件或者儘可能高效地擴充套件現有元件。要整合異類元件，最方便的方法不是將它們重新建立為同類元素，而是提供一個允許它們進行通訊（不考慮它們之間的差異）的層。該層被稱作中介軟體，它允許獨立開發且執行於不同網路平臺上的軟體元件（應用程式、Enterprise Java Bean、Servlet 和其他元件）彼此互動。當能夠進行這樣的互動時，網路才成為計算機。

受此影響的產品是OIM（Oracle Identity Manager），企業可以用來自動管理員工對企業IT資源的訪問許可權。OIM是甲骨文公司非常最受歡迎的Fusion 中介軟體產品之一，同時也是使用最多的零件之一。

oracle 認為這是一個“預設賬戶”的漏洞——這個名稱通常是用來形容沒有密碼或者硬編碼證照的賬戶。這個漏洞曾被命名為CVE-2017-10151。

Oracle在一個安全預警中提到：這個漏洞可被遠端利用，且不需要認證。例如，通過網路不需要輸入使用者密碼即可利用。

雖然很多其他的公司也有預設賬戶的問題，但是大多數都只能在本地利用而且至少還需要輸入一個密碼。擁有一個不需要密碼的預設賬戶，而且可以通過網路遠端控制，這是一個巨大的疏漏。

Oracle 釋出了補丁

Oracle於上週五發布補丁。 OIM版本11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 和12.2.1.3.0 均受到影響。但是Oracle說先前的版本也可能受到影響。

10月16號，Oracle釋出了2017 10月關鍵補丁更新（CPU）每三月一次的更新訓練。並修復了252個漏洞，而CVE-2017-10151並不是其中的一個。使用Oracle中間軟體的使用者，建議閱讀Oracle最近釋出的OIM補丁指南安全警告，並趁它還在的時候，儘快下載Octorber 2017 CPU。

來源：點此連結))
本文由看雪翻譯小組哆啦咪編譯v