写点什么

安全半月谈:潜伏了 7 年的 Xen 漏洞与中国地下网络犯罪报告

  • 2015-12-02
  • 本文字数:2377 字

    阅读完需:约 8 分钟

安全要闻

“破天”——Xen 虚拟化平台虚拟机逃逸漏洞

这是一个存在了7 年之久的严重漏洞。10 月,阿里云安全团队发现并提交了一处Xen 平台下的虚拟机逃逸漏洞,Xen 3.4~4.6 版本都受影响,漏洞编号为XSA-148/ CVE-2015-7835 。攻击者可以利用一台以 PV 模式运行的虚拟机轻易实现虚拟机逃逸,从而可以进一步控制 Xen Hypervisor、Dom0 以及当前物理机器上运行的其他所有虚拟机。目前漏洞补丁已公布,Xen 平台用户可以从官方下载并安装。

双 11 狂欢背后电商安全的那些事

一年一度的电商狂欢节“双 11”总算过去了,但是“双 12”马上就来了。笔者忍不住要扒一扒平日里大众所不知道安全问题。据不完全统计,乌云网自成立以来,已收集到的国内电商平台漏洞总数达 1169 个,其中 2015 年电商平台漏洞数为 414 个,相比于 2014 年,漏洞总数上涨了 68.98% 。但这只不过是电商平台目前存在的安全问题的冰山一角。从乌云平台上可以看到,大如阿里系的电商平台,拥有专业的安全团队,依然可能存在可被获取服务器权限的漏洞。其他电商网站有的刚配上专业的安全团队,有的可能对安全的重视程度还未达到需要配专业安全团队的地步。总的来说,电商网站的安全道路任重而道远

国产KK 病毒一天感染80 万用户

来自中国的一家海外移动分发平台——深圳市卓越创想科技有限公司,被发现是 KK 插件病毒的制造者。KK 插件可以在手机操作系统中弹出恶意广告,其在 Google Play 中的变种已有至少 185 个之多,感染了全球 30 多个国家的超过 700 万用户。东南亚国家的 KK 插件感染最为严重。又是一个明目张胆的移动安全恶性案例。

戴尔电脑的后门

今年,联想两度因笔记本产品中预装恶意软件而被暴光。前不久,戴尔电脑也被发现预装类似Superfish 的自签名根证书 eDellRoot ,自签名根证书可用于发动中间人攻击,除了 Firefox 之外的浏览器将会接受 eDellRoot 签名的 HTTPS 连接,并偷偷解密用户的加密网络流量。删除 eDellRoot 后重启电脑又会被重新安装。戴尔起初对这一事件进行了否认,但随后变为道歉并表示发布移除工具

除此之外,戴尔电脑的服务标签被发现可以作为指纹跟踪用户。造成这一攻击的根源在于戴尔官方技术支持应用Dell Foundation Services 使用了自签名根证书eDellRoot。安全研究人员称,只有卸载Dell Foundation Services 才能避免被跟踪,卸载eDellRoot 没有用。

远程入侵原装乘用车

自从特斯拉汽车被黑客们成功入侵后,关于汽车破解的话题在国内安全界引爆,如2014 年的 GeekPwn 、SyScan360 等都有该项目。随着越来越多的新技术被引入到汽车上,新型的攻击方式也成为可能。近日,国外一个安全团队发布了一份报告,详细讲述了远程攻击一台原装的 2014 年款吉普切诺和类似的车辆的过程。唐朝实验室翻译组的朱于涛、刘家志翻译了这份报告()。文章证明,大量的菲亚特- 克莱斯勒汽车都可以被远程攻击。存在漏洞的车辆成千上万。

安全报告

趋势科技发布2015 年版中国地下网络犯罪报告

报告发现针对已泄漏数据而开发的搜索引擎和新型银行卡信息盗取设备正帮助地下网络犯罪分子更加容易地实施犯罪。比如犯罪分子可以更方便地在“社工大师”(Social Engineering Master)这样的泄漏数据搜索引擎中找到他们想要的数据。

新型银行卡信息盗取设备也帮助网络犯罪分子通过更多渠道窃取持卡人信息。报告提到当前有三种主要的“窃卡器”。一种是在刷卡机上动手脚,另一种是在自动取款机上安装窃卡设备,还有一种是口袋窃卡器。这种小到让人不易察觉的磁性读卡器可以存储多达2048 张银行卡的信息。这种读卡器不用连接电脑和电源就能工作。

阿里移动发布2015 年第三季度安全报告

近日,阿里无线安全团队发布了2015 年第三季安全报告。报告对移动应用的病毒、漏洞、仿冒三大类安全问题进行了分析,从数据来看,应用安全问题仍然严峻。报告还指出,随着智能设备和万物互联的发展,安全问题将面临巨大的挑战。更多请查看完整版报告

爱加密发布国内首份《P2P 平台移动端安全白皮书》

近日,移动信息安全体系服务商爱加密发布了国内首份《 P2P 平台移动端安全白皮书》,对 P2P 平台移动端安全 2015 年上半年整体发展状况进行总览。报告显示,国内排名前 300 家的 P2P 平台移动客户端 100% 存在安全风险。其中,有 56% 的 P2P 平台 APP 存在高危风险;9% 存在中危风险,35% 存在低危风险。常见风险主要集中在业务安全、组件安全、发布规范、应用管理以及数据安全等五个方面。

安全开发

AWS Java SDK 存在 DDoS 漏洞

AWS 的 SDK 常被开发者用于整合一系列的 AWS 服务,包括像 Amazon S3 中整合 Amazon APIs 用于存储和索引文件等。近日, AWS Java SDK 被确认一处安全漏洞。其中已确认包括 1.8.0~1.10.34 在内的官方版本都受此漏洞的影响。最新 1.10.36 版 SDK 则修复了这个漏洞。

产生这个漏洞的原因存在于 SDK 的 SdkDigestInputStream类的skip 方法。标准中规定其应该返回略过的字节数,但在一些特殊情况下其会返回-1。漏洞可以通过AWS Java SDK 操纵存储在Amazon S3 上的文件来实现对Web 服务的攻击。攻击者可以上传文件到S3 存储中让Web 服务使用SDK 执行,执行时可能会出现死循环从而导致拒绝服务。

Python 安全编码指南

现在一般的 Web 开发框架的安全性已经做的比较好,但是一些不规范的开发方式还是会导致一些常用的安全问题,在两年的安全代码审查工作中,安全研究人员 Enrico Branca 针对这些常见的问题做一些总结。最后他总结道,永远不要以为那些第三方类库会一直按你期望的那样运作,也绝对不要以为在使用它的时候是安全的。当然,Python 是一门伟大的语言,Enrico Branca 会继续使用下去。


给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015-12-02 16:131945
用户头像

发布了 64 篇内容, 共 23.9 次阅读, 收获喜欢 11 次。

关注

评论

发布
暂无评论
发现更多内容

代码随想录Day25 - 回溯(二)

jjn0703

全国独家线下面授 | 上海大规模敏捷LeSS认证9月7-9日

ShineScrum

less 大规模敏捷 大规模敏捷LeSS CLP

AIGC技术展望和机会 | 社区征文

AIWeker

AIGC Stable Diffusion MidJourney 年中技术盘点

新一轮智能制造相关产业政策猜想

华为云开发者联盟

云计算 后端 华为云 华为云开发者联盟 企业号 7 月 PK 榜

成都站丨阿里云 Serverless 技术实战营邀你来玩!

阿里巴巴云原生

阿里云 Serverless 云原生

统一观测丨使用 Prometheus 监控 Cassandra 数据库最佳实践

阿里巴巴云原生

阿里云 云原生 Prometheus

关于云平台虚拟机核心组件 libvirt 热迁移流程及关键参数介绍 | 龙蜥技术

OpenAnolis小助手

开源 虚拟机 龙蜥大讲堂 浪潮数据 热迁移

云原生网关部署新范式丨 Higress 发布 1.1 版本,支持脱离 K8s 部署

阿里巴巴云原生

阿里云 云原生 Higress

如何评价一种框架技术的好坏?

canonical

低代码 架构设计 软件设计原则 ORM框架 开源框架

Ceph社区上游正式合入openEuler原生支持,并通过CI持续验证

openEuler

Linux 分布式 操作系统 Ceph openEuler

《Spring6核心源码解析》已完结,涵盖IOC容器、AOP切面、AOT预编译、SpringMVC,面试杠杠的!

冰河

Java spring 程序员 架构师 源码解析

防范直播网站源码搭建多重问题的背后重要功能_山东布谷科技创作

山东布谷科技

软件开发 直播 源码搭建 直播源码 直播网站源码

《让花掉的钱自己流回来》

石云升

读书笔记 财富管理

从互联网到云时代,Apache RocketMQ 是如何演进的?

阿里巴巴云原生

Apache 阿里云 RocketMQ 云原生

2023 云原生编程挑战赛火热报名中!导师解析 Serverless 冷启动赛题

阿里巴巴云原生

阿里云 Serverless 云原生

技术速览|Meta Llama 2 下一代开源大型语言模型

SEAL安全

meta openai backstage mata llama

Dxitco德西科跟单社区首创CHATGPT人工+AI双重大数据分析机制

科技热闻

对比 5 个开源网关项目,这家 SaaS 企业如何统一网关架构

阿里巴巴云原生

阿里云 微服务 云原生 SaaS

Dubbo Triple 协议重磅升级:支持通过 HTTP 连通 Web 与后端微服务

阿里巴巴云原生

阿里云 云原生 dubbo

docker简介与背景知识

timerring

Docker

用NineData三分钟搭建企业数据库平台,告别数据泄露与删库跑路

NineData

安全 敏感数据 AIGC 玖章算术 NineData

Nautilus Chain 主网上线,Zepoch 持有者将获第三轮 POSE 空投

西柚子

Nautilus Chain 主网上线,Zepoch 持有者将获第三轮 POSE 空投

BlockChain先知

Excel 高阶使用(含 ChatGPT)与数据可视化

Data 探险实验室

数据分析 Excel 数据可视化 可视化工具 ChatGPT

上海科技大学智能生活组齐聚合合信息,“沉浸式”体验人工智能产品

合合技术团队

人工智能 人才发展 合合信息 校企合作 上海科技大学

不止工具:音视频开发「利器」的新机遇

阿里云CloudImagine

云计算 音视频 视频云

Spring 中一个少见的引介增强 IntroductionAdvisor

江南一点雨

Java spring

在 Go 语言单元测试中如何解决 HTTP 网络依赖问题

江湖十年

单元测试 HTTP Go 语言

功能更新|Leangoo领歌敏捷工具支持SAFe大规模敏捷框架

顿顿顿

敏捷开发 敏捷项目管理 scrum敏捷工具 SAFe框架 SAFe大规模敏捷

火山引擎DataLeap如何解决SLA治理难题(三): 平台架构与未来展望

字节跳动数据平台

大数据 数据中台 数据治理 数据安全 企业号 7 月 PK 榜

IoT 场景下 InfluxDB 与 TDengine 的性能对比测试报告出炉!点击查看

爱倒腾的程序员

数据库

安全半月谈:潜伏了7年的Xen漏洞与中国地下网络犯罪报告_安全_魏星_InfoQ精选文章