風河修復了 VxWorks 實時作業系統的 11 個重大安全漏洞

平時人們總能聽到有關 Windows 和 Android 作業系統的漏洞報告，iOS 和 Linux 則要少一些。不過本文要為大家介紹的，則是 VxWorks 實時作業系統（RTOS）曝出的 11 個嚴重的零日漏洞。RTOS 被廣泛應用於行業內的關鍵計算機系統上，此次曝出的大型安全漏洞，很可能引發災難性的後果。

報導稱，過去 13 年裡，這些裝置已存在不少於 11 個零日漏洞。遺憾的是，由於 RTOS 裝置屬於電子裝置領域的沉默工作者，媒體並沒有對其加以廣泛的關注。

舉個例子，RTOS 軟體驅動著從調變解調器、電梯、乃至核磁共振（MRI）掃描器等在內的各種機器。而 VxWorks 的客戶名單，涵蓋了 Xerox、NEC、三星、理光等知名企業。

物聯網安全研究機構 Armis 將這些漏洞統稱為 URGENT / 11，以敦促行業儘快更新機器的 RTOS 系統。其中六個比較嚴重的漏洞，或賦予攻擊者遠端程式碼執行的許可權。

另外五個漏洞沒有這樣致命，但也可以在沒有使用者互動的情況下，授予攻擊者相應的訪問許可權。諷刺的是，它們甚至可以繞過 VxWorks 自帶的防火牆和 NAT 等安全裝置。

儘管 GRGENT / 11 的名字看起來有些平淡，但 Armis 還是希望業界能打起 12 分精神。研究人員提出了三種潛在的攻擊方式，稱威脅可來自內部或外部網路，另一項甚至威脅到了網路本身的安全措施。

Armis 表示，URGENT / 11 對工業和醫療保健行業造成了最大的風險，因其廣泛使用執行 VxWorks 的裝置。

好訊息是，風河公司已在 7 月 19 日釋出的補丁中進行了修復。壞訊息是，使用 RTOS 的裝置，並不能簡單地執行應用軟體更新。

來源：cnBeta.COM

更多資訊

谷歌 Titan 安全金鑰套件在加拿大、法國、日本和英國市場推出

谷歌今天宣佈旗下的 Titan 安全金鑰套件已經在加拿大、法國、日本和英國市場推出，而此前這款帶有藍芽按鍵和標準 USB-A 插口的安全金鑰僅在美國地區上市發售。售價方面，在美國，Titan 套裝的售價為 50 美元；在加拿大價格為 65 加元；在法國為 55 歐元；英國為 50 英鎊；日本為 6000 日元，均包郵送貨。

來源： cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/article/4833.html 

iOS 12.2 封堵的幾個漏洞由谷歌 Project Zero 團隊提交

上週蘋果推出了 iOS 12.4 正式版，這一版本除了帶來新的 iPhone 遷移功能和為 Apple Card 做準備之外，還封堵了一些系統漏洞。按照慣例，每個系統版本更新都會順帶修復一些 BUG，這是十分正常的行為。但有趣的是，蘋果在剛剛釋出的 iOS 12.4 中封堵的個別漏洞卻是由來自谷歌的 Project Zero 團隊成員發現的，而且“價值不菲”。

來源： 威鋒網
詳情連結： https://www.dbsec.cn/blog/article/4835.html 

外媒：第一投資資料洩露事件比它看起來更復雜

當地時間週一晚上，第一投資及其客戶得到了一些非常糟糕的訊息。該公司遭遇大規模資料洩露事件，大約1億美國和加拿大使用者的社會安全號碼和帳戶詳細資訊遭洩露。紐約州司法部長已經宣佈對第一投資的洩露事件展開調查，但更廣泛的故事是熟悉的：一家大公司讓許多敏感資料丟失，客戶承擔了大部分風險。

來源： cnBeta.COM
詳情連結： https://www.dbsec.cn/blog/article/4836.html 

2/3 機構不設網路安全部門，澳洲已成國際黑客實驗樂園

澳大利亞網路安全智庫“Security In Depth”釋出 2019 年度報告，指出了該國網路安全面臨的嚴重問題。資料顯示，自去年2月以來澳大利亞資料洩露事件激增 700%，預計在 2019 年會造成 70 億澳元的損失。

來源： 介面
詳情連結： https://www.dbsec.cn/blog/article/4837.html 

（資訊來源於網路，安華金和蒐集整理）

訂閱“Linux 中國”官方小程式來檢視