【阿里聚安全·安全週刊】Intel晶片級安全漏洞事件|macOS存在漏洞
關鍵詞:Intel漏洞丨mac OS漏洞丨三星漏洞丨安卓安全丨CPU漏洞丨phpMyAdmin漏洞丨iOS裝置|安卓惡意軟體檢測|Burpsuite
本週資訊top3
【Intel漏洞】晶片級安全漏洞後續:谷歌表示不止Intel,每個1995年後的處理器都可能受影響
1月3日,不少外媒報導了 Intel 晶片級安全漏洞出現,可能導致 Linux 和 Windows 核心關鍵部分需要重新設計。這個漏洞會導致攻擊者可以從資料庫或者瀏覽器的 JavaScript 程式獲取你的記憶體資訊。
1月4日,谷歌則釋出了另一則訊息,他們的 Project Zero 研究員發現這個底層漏洞不止影響的是Intel 晶片的裝置,每一個1995 年後的處理器都會受到這個漏洞影響。
現在這種漏洞方法被命名為“崩潰 Meltdown”以及“幽靈Spectre”。
http://jaq.alibaba.com/community/art/show?articleid=1304
【mac OS漏洞】專家披露mac OS中存在漏洞影響mac OS的所有版本
據外媒1月1日報導,研究蘋果 iOS 作業系統的安全人員 Siguza 公佈了 macOS 中一個未被修復的 0day 的 POC 細節:攻擊者可以利用該漏洞訪問系統、執行任意程式碼以及獲得 root 許可權。
該漏洞會影響 macOS 的所有版本,可能導致核心中出現任意讀/寫的問題,同時也使得黑客能夠禁用系統完整性保護(SIP)和 Apple 移動檔案完整性(AMFI)安全功能。
http://jaq.alibaba.com/community/art/show?articleid=1299
【三星漏洞】三星 Android 瀏覽器爆嚴重漏洞,或影響數億移動裝置
12月29日訊息,網路安全研究人員Dhiraj Mishra披露了三星 Android瀏覽器一處關鍵 “同源策略”( SOP )漏洞(CVE-2017-17692),該漏洞存在於三星網際網路瀏覽器 5.4.02.3 版本或更早版本之中,可允許攻擊者在使用者訪問惡意網站後竊取密碼或 cookie 會話等重要資訊。
http://jaq.alibaba.com/community/art/show?articleid=1297
資訊篇
【惡意軟體】真相撲朔迷離?Lurk 黑客自稱 WannaCry 實為俄羅斯開發
據外媒 12月30日報導,Lurk 網路犯罪團伙的黑客 Konstantin Kozlovsky 承認在 FSB( 俄羅斯聯邦安全域性資訊保安中心) 的要求下開發了 WannaCry 勒索軟體和 DNC 黑客軟體,併為其破解了美國民主黨的伺服器以及希拉蕊·克林頓的電子郵件伺服器。
而美國之前認為朝鮮是今年 5 月利用 WannaCry 進行網路攻擊的幕後黑手。
http://jaq.alibaba.com/community/art/show?articleid=1300
【安卓安全】谷歌為Pixel和Nexus裝置推送一月份安卓安全更新補丁
谷歌釋出了2018年一月份最新的Android 安全公告,並且為Pixel和Nexus裝置推送了最新的安卓安全更新補丁,所有裝置在2018-1-05(或之後)的補丁程式級別中將解決共計38個安全問題。
目前,補丁已經面向Nexus 5X, Nexus 6P, Pixel, Pixel XL, Pixel 2, Pixel 2 XL和 Pixel C使用者推送。
http://jaq.alibaba.com/community/art/show?articleid=1301
【安全漏洞】phpMyAdmin現CSRF漏洞,使用者點選連結就會刪除資料庫表
在phpMyAdmin中,攻擊者利用CSRF可以誘使資料庫管理員和開發者執行DROP TABLE這樣的資料庫操作。
該漏洞使攻擊者傳送一個偽造的URL給受害者,如果認證的使用者(受害者)點選了該URL,使用者就可能在資料庫中執行DROP TABLE這樣危險的操作。
http://jaq.alibaba.com/community/art/show?articleid=1302
【處理器漏洞】英特爾處理器硬體設計漏洞
英特爾處理器曝出了一個嚴重的硬體設計漏洞,迫使主要作業系統和雲端計算服務商都忙著打補丁。因為漏洞資訊沒有解密,所以目前只能通過已釋出的補丁反推這個漏洞。
http://jaq.alibaba.com/community/art/show?articleid=1303
【CPU漏洞】中招了嗎?CPU漏洞影響這些iOS裝置、Apple TV
英特爾處理器安全漏洞事件仍在繼續,英特爾 CEO 已經表示「手機等所有產品」都將受到影響。
ARM 釋出的最新安全更新表示部分 iPhone、iPad、iPod 和 Apple TV 可能會受影響。
ARM 處理器安全更新羅列了容易受影響的處理器列表,其中包括 Cortex-A8、Cortex-A9 和 Cortex-A15。
http://jaq.alibaba.com/community/art/show?articleid=1306
技術篇
【技術分享】安卓惡意軟體檢測:系統呼叫日誌+機器學習演算法
基於簽名的靜態檢測技術廣泛應用於安卓平臺的惡意應用檢測。該方法主要是提取簽名資料並與病毒等惡意軟體樣本的簽名進行比對,這種方法不能檢測出未知的惡意應用。
研究人員提出一種新的基於系統呼叫日誌+機器學習演算法的方法進行安卓惡意軟體檢測。
http://jaq.alibaba.com/community/art/show?articleid=1298
【技術分享】用Burp suite測試移動應用程式
保護移動應用程式是當今最重要的問題之一, 因此,對移動應用程式的測試已成為一種必要性,不僅向客戶提供足夠的安全性,而且向公司提供足夠的安全性。
本文將介紹如何使用Burp Suite來測試移動應用程式。
http://jaq.alibaba.com/community/art/show?articleid=1305
——————————————————-
以上是本週的安全週刊,想了解更多內容,請訪問阿里聚安全官方部落格
相關文章
- Intel CPU 爆出安全漏洞:Windows / macOS / Linux 皆中招IntelWindowsMacLinux
- 呼叫System.exit()存在安全漏洞
- window.open()和target= blank存在安全漏洞
- 靜態加密:存在代理混淆的安全漏洞加密
- 【阿里聚安全•安全週刊】蘋果證實 iOS 原始碼洩露|英國黑客贏下官司阿里蘋果iOS原始碼黑客
- 【阿里聚安全·安全週刊】戰鬥民族黑客入侵德國政府|“貓臉識別”門禁阿里黑客
- 【阿里聚安全·安全週刊】Google“手槍”替換|伊朗中央銀行禁止加密貨幣阿里Go加密
- 【阿里聚安全·安全週刊】IPv6安全防護準備好了嗎?|蘋果的iOS安全性已經今非昔比阿里蘋果iOS
- 銳龍處理器不存在Spoiler安全漏洞
- Sun公司釋出警告 Java中存在安全漏洞 (轉)Java
- FastJson引入存在DDos攻擊安全漏洞案例分析ASTJSON
- 初級安全入門——安全漏洞的檢測與利用
- 程式碼安全測試第十八期:呼叫System.exit()存在安全漏洞
- 系統裡存在安全漏洞的九大高危區域
- 【阿里聚安全·安全週刊】操心的遊戲破解者為開發商提高銷量|加密貨幣必崩盤?阿里遊戲加密
- Web安全漏洞之CSRFWeb
- CVE安全漏洞的理解
- 網站的安全漏洞網站
- Spring Framework 安全漏洞SpringFramework
- 魔獸爭霸自定義地圖直譯器存在安全漏洞地圖
- 黑帽大會:HTTPS和SSL協議存在安全漏洞HTTP協議
- Android被曝存在重大安全漏洞:可創造假IDAndroid
- 詳訊:微軟承認Outlook中存在嚴重安全漏洞 (轉)微軟
- 容器映象安全:安全漏洞掃描神器Trivy
- Web 安全漏洞之 SQL 注入WebSQL
- Spring框架爆安全漏洞Spring框架
- CPU又曝極危安全漏洞!Intel二四六代酷睿中招Intel
- 【阿里聚安全·安全週刊】全美警局已普遍擁有破解iPhone的能力|女黑客破解任天堂Switch,稱硬體漏洞無法修復阿里iPhone黑客
- 全球37%智慧手機可遭竊聽,聯發科晶片爆安全漏洞晶片
- 每個 node 應用可能存在的 timing-attack 安全漏洞
- 數億WIFI晶片存在資料竊取和流量操縱風險;因存在安全漏洞,沃爾沃研發資料被盜WiFi晶片
- Magento新的ZEND FRAMEWORK安全漏洞Framework
- iOS 7曝鎖屏安全漏洞iOS
- 資料庫安全漏洞淺析資料庫
- 報告指出34,000份以太坊智慧合約存在安全漏洞
- 【阿里聚安全·安全週刊】阿里雙11技術十二講直播預約|AWS S3配置錯誤曝光NSA陸軍機密檔案阿里S3
- 2019 年最可怕的黑客事件與安全漏洞(上)黑客事件
- 2019 年最可怕的黑客事件與安全漏洞(下)黑客事件