每日安全資訊:安全人員在 Wi-Fi WPA3 標準中發現了降級漏洞
兩位安全研究人員近日披露了一組漏洞,這些漏洞統稱為 Dragonblood,影響了 WiFi 聯盟最近釋出的 WPA3 Wi-Fi 安全和認證標準。如果被利用,漏洞將允許在受害者網路範圍內的攻擊者獲得 Wi-Fi 密碼並滲透目標網路。
Dragonblood 漏洞組總共有五個漏洞,包括一個拒絕服務攻擊漏洞、兩個降級攻擊漏洞和兩個側通道資訊洩漏漏洞。儘管拒絕服務攻擊漏洞並不重要,因為它只會導致與 WPA3 相容的訪問點崩潰,但其他四個攻擊可以用於獲得使用者密碼。
兩個降級攻擊和兩個側通道洩漏漏洞都利用了 WPA3 標準 Dragonfly 金鑰交換中的設計缺陷,即客戶端在 WPA3 路由器或接入點上進行身份驗證的機制。
在降級攻擊中,支援 WiFi WPA3 的網路可以誘導裝置使用更舊、更不安全的密碼交換系統,從而允許攻擊者使用舊的漏洞檢索網路密碼。
在側通道資訊洩漏攻擊中,支援WiFi WPA3的網路可以欺騙裝置使用較弱的演算法,這些演算法會洩漏少量有關網路密碼的資訊。透過反覆的攻擊,最終可以恢復完整的密碼。
來源:cnBeta.COM
更多資訊
中國蟻劍被曝 XSS 漏洞,可導致遠端命令執行
4 月 12 日凌晨,有使用者在中國蟻劍 GitHub 上提交了 issue,稱發現中國蟻劍存在 XSS 漏洞,藉此可引起 RCE。據悉,該漏洞是因為在 webshell 遠端連線失敗時,中國蟻劍會返回錯誤資訊,但因為使用的是 html 解析,導致 xss 漏洞。
來源: FreeBuf.COM
歐盟向 Archive.org 發出數百份錯誤的“恐怖主義內容刪除通知”
在近日的一篇部落格文章中,該組織解釋說,在過去的一週裡,它收到了來自歐盟的 550 多封刪除通知,這些通知錯誤地將 archive.org 上的數百個網址識別為“恐怖宣傳”。
來源: cnBeta.COM
美國司法部指控阿桑奇入侵機密電腦 最多入獄五年
美國司法部剛剛宣佈,對維基解密聯合創始人朱利安·阿桑奇提起刑事訴訟,指控他密謀入侵美國政府的一臺機密電腦。美國司法部在一份宣告中稱:“這項起訴與阿桑奇被指控在美國曆史上最大規模的機密資訊洩露事件(之一)中扮演的角色有關。”
來源: 新浪網
PostgreSQL 闢謠存在任意程式碼執行漏洞:訊息不實
近期在網際網路媒體上流傳 PostgreSQL 存在任意程式碼執行的漏洞:擁有 ‘pg_read_server_files’ 許可權的攻擊者可利用此漏洞具備超級使用者許可權,執行任意系統命令。
來源:開源中國
詳情:http://t.cn/E6suSIB
(資訊來源於網路,安華金和蒐集整理)
相關文章
- WiFi WPA3標準中發現新的Dragonblood漏洞WiFiGo
- 研究人員在Quest裝置中發現了超過60個安全漏洞
- Windows中Rust標準庫發現“BatBadBut”漏洞WindowsRustBAT
- 安全研究人員發現中國網貸App漏洞洩露大量個人資訊APP
- 每日安全資訊:Mozilla 資助開發更有效的在 Firefox 中整合 TorFirefox
- 每日安全資訊:搜 Wi-Fi 熱點 Android 應用資料洩露Android
- 每日安全資訊:谷歌發現 G Suite 漏洞,部分密碼明文儲存長達十四年谷歌UI密碼
- 每日安全資訊:研究人員發現能逃避防毒軟體檢測的 Linux 後門防毒Linux
- 深度|《金融資料安全 資料安全分級指南》標準解讀
- Wi-Fi聯盟正式宣佈推出WPA3安全認證計劃
- 每日安全資訊:Weblogic 0day 漏洞正被攻擊者利用安裝勒索軟體Web
- 每日安全資訊:近百萬臺 Windows 存在高危漏洞 BlueKeep 隱患Windows
- 微軟在Linux 作業系統中發現了兩個漏洞微軟Linux作業系統
- 騰訊研究員發現寶馬多款汽車存在漏洞
- 每日安全資訊:女黑客又曝光 4 個 Windows 10 零日漏洞黑客Windows
- 每日安全資訊:開源元件漏洞影響多個 CMS 系統元件
- 最新CVSS 4.0漏洞嚴重性評級標準釋出
- 喜訊|易念科技成為中國網路空間安全人才教育聯盟成員單位
- 每日安全資訊:研究人員發現一種廣泛使用的醫療輸液泵可以被遠端劫持
- GitLab 如何降級安裝?Gitlab
- FIT 2019 | 安全人員面臨的機遇與挑戰
- 每日安全資訊:谷歌剖析Triada安卓病毒,在手機發售前感染系統映象谷歌安卓
- 發現Google Home智慧音響竊聽漏洞,安全研究員獲得107500美元漏洞賞金Go
- 每日安全資訊:SandboxEscaper 又釋出了一個微軟 0day 危急漏洞微軟
- 安全員考試每日一練
- 下一個Wi-Fi標準將用於感測,而不是通訊 - Stacey
- 記憶體安全週報第103期|發現了新的Kaspersky安全漏洞記憶體
- 應勢而生 全新IOT漏洞定級評分標準試執行!
- 安全人員披露英特爾處理器新漏洞 ZombieLoad,影響從 2011 年開始幾乎所有英特爾晶片晶片
- 記憶體安全週報第116期|在ABB Flow Computer中發現高風險漏洞記憶體
- 近期遭遇的駭客事件之一引發大量安全人員義務支援保障網路事件
- 資料庫安全-ElasticSearch漏洞復現資料庫Elasticsearch
- 時速雲正式成為中國通訊標準化協會全權會員
- 網站安全公司 滲透測試中的漏洞資訊蒐集網站
- macOS Mojave 降級安裝 MySQL 5.7MacMySql
- 評標委員會在評標期間是否有義務核實投標資訊真偽?
- 安恆資訊苗春雨:學以致用產教融合,全方位助力網路安全人才體系建設
- 問題定級標準