風河修復了 VxWorks 實時作業系統的 11 個重大安全漏洞

安华金和發表於2019-08-02

風河修復了 VxWorks 實時作業系統的 11 個重大安全漏洞

平時人們總能聽到有關 Windows 和 Android 作業系統的漏洞報告,iOS 和 Linux 則要少一些。不過本文要為大家介紹的,則是 VxWorks 實時作業系統(RTOS)曝出的 11 個嚴重的零日漏洞。RTOS 被廣泛應用於行業內的關鍵計算機系統上,此次曝出的大型安全漏洞,很可能引發災難性的後果。

報導稱,過去 13 年裡,這些裝置已存在不少於 11 個零日漏洞。遺憾的是,由於 RTOS 裝置屬於電子裝置領域的沉默工作者,媒體並沒有對其加以廣泛的關注。

舉個例子,RTOS 軟體驅動著從調變解調器、電梯、乃至核磁共振(MRI)掃描器等在內的各種機器。而 VxWorks 的客戶名單,涵蓋了 Xerox、NEC、三星、理光等知名企業。

物聯網安全研究機構 Armis 將這些漏洞統稱為 URGENT / 11,以敦促行業儘快更新機器的 RTOS 系統。其中六個比較嚴重的漏洞,或賦予攻擊者遠端程式碼執行的許可權。

另外五個漏洞沒有這樣致命,但也可以在沒有使用者互動的情況下,授予攻擊者相應的訪問許可權。諷刺的是,它們甚至可以繞過 VxWorks 自帶的防火牆和 NAT 等安全裝置。

儘管 GRGENT / 11 的名字看起來有些平淡,但 Armis 還是希望業界能打起 12 分精神。研究人員提出了三種潛在的攻擊方式,稱威脅可來自內部或外部網路,另一項甚至威脅到了網路本身的安全措施。

Armis 表示,URGENT / 11 對工業和醫療保健行業造成了最大的風險,因其廣泛使用執行 VxWorks 的裝置。

好訊息是,風河公司已在 7 月 19 日釋出的補丁中進行了修復。壞訊息是,使用 RTOS 的裝置,並不能簡單地執行應用軟體更新。

來源:cnBeta.COM

更多資訊

谷歌 Titan 安全金鑰套件在加拿大、法國、日本和英國市場推出

谷歌今天宣佈旗下的 Titan 安全金鑰套件已經在加拿大、法國、日本和英國市場推出,而此前這款帶有藍芽按鍵和標準 USB-A 插口的安全金鑰僅在美國地區上市發售。售價方面,在美國,Titan 套裝的售價為 50 美元;在加拿大價格為 65 加元;在法國為 55 歐元;英國為 50 英鎊;日本為 6000 日元,均包郵送貨。

來源: cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/article/4833.html

iOS 12.2 封堵的幾個漏洞由谷歌 Project Zero 團隊提交

上週蘋果推出了 iOS 12.4 正式版,這一版本除了帶來新的 iPhone 遷移功能和為 Apple Card 做準備之外,還封堵了一些系統漏洞。按照慣例,每個系統版本更新都會順帶修復一些 BUG,這是十分正常的行為。但有趣的是,蘋果在剛剛釋出的 iOS 12.4 中封堵的個別漏洞卻是由來自谷歌的 Project Zero 團隊成員發現的,而且“價值不菲”。

來源: 威鋒網
詳情連結: https://www.dbsec.cn/blog/article/4835.html

外媒:第一投資資料洩露事件比它看起來更復雜

當地時間週一晚上,第一投資及其客戶得到了一些非常糟糕的訊息。該公司遭遇大規模資料洩露事件,大約1億美國和加拿大使用者的社會安全號碼和帳戶詳細資訊遭洩露。紐約州司法部長已經宣佈對第一投資的洩露事件展開調查,但更廣泛的故事是熟悉的:一家大公司讓許多敏感資料丟失,客戶承擔了大部分風險。

來源: cnBeta.COM
詳情連結: https://www.dbsec.cn/blog/article/4836.html

2/3 機構不設網路安全部門,澳洲已成國際駭客實驗樂園

澳大利亞網路安全智庫“Security In Depth”釋出 2019 年度報告,指出了該國網路安全面臨的嚴重問題。資料顯示,自去年2月以來澳大利亞資料洩露事件激增 700%,預計在 2019 年會造成 70 億澳元的損失。

來源: 介面
詳情連結: https://www.dbsec.cn/blog/article/4837.html

(資訊來源於網路,安華金和蒐集整理)

相關文章