GoFlex家庭網路存儲設備受XSS和MitM攻擊威脅 暴雪遊戲存在嚴重漏洞
2018.01.26 周五
安全資訊
資訊要點
安全專家發現超過3.3 萬 個希捷 GoFlex 家庭網路存儲 ( NAS ) 設備容易暴露於公網,或引來跨站腳本(XSS)和中間人(MitM)攻擊。雖然目前希捷已經修補了 Personal Cloud 和 GoFlex 產品中的 XSS 漏洞,但仍有一些問題尚未解決。GoFlex 家庭 NAS 設備在 seagateshare.com 上運行了一個可訪問的 Web 服務,允許用戶遠程管理設備及其內容,並且可以通過設備名稱和登錄憑證來訪問存儲。
谷歌黑客 Tavis Ormandy 於近期發現暴雪遊戲中存在一個嚴重漏洞,導致數百萬台電腦遭到 DNS Rebinding (DNS 重綁定)攻擊,從而允許攻擊者在遊戲玩家的電腦上遠程執行惡意代碼。目前,暴雪公司在其客戶端版本 5996 中加入了部分緩解措施,並表示後續推出的補丁會採取更多穩定的主機白名單機制。
Electron 框架是 GitHub 團隊在2013年開發的,旨在幫助開發 Atom 編輯器,自誕生以來一直備受熱捧。本周一,Electron 團隊表示已發布補丁修復了該框架中的一個遠程代碼執行漏洞。這個遠程代碼執行漏洞存在於Electron框架 app.setAsDefaultProtocolClient API中,周一在Electron 版本 1.8.2-beta.4、1.7.11和1.6.16中已予以修復。開發人員也已經為尚無法更新至最新版本的 App 開發人員提供了一個快速緩解措施,提供了臨時修復方案,阻止攻擊者利用該漏洞,不過安全專家認為攻擊者很快就會找到相應的攻擊對策。
Windows 10 將向用戶提供一個應用,跟蹤微軟從設備上收集的數據。被稱為 Diagnostic Data Viewer 的應用已經提供預覽版測試者,用戶可以從應用里一覽 Windows 10 收集的所有診斷數據。它能顯示各種不同類型的診斷數據,包括 Common Data (操作系統版本,設備 ID/類型等), Device Connectivity and Configuration data (設備功能、用戶設置、外圍設備和網路信息), Product and Service Performance (設備健康、性能、可靠性數據),,Product and Service Usage (設備、應用和操作系統使用數據),Software Setup and Inventory (更新信息),它還提供了搜索功能可以搜索特定項目信息。
國際要聞
希捷 GoFlex 家庭存儲設備的 SaaS web 服務受 XSS 和 MitM(中間人)攻擊威脅
http://hackernews.cc/archives/20160
暴雪遊戲一客戶端嚴重漏洞或遭 DNS Rebinding 攻擊,可遠程執行任意代碼
http://hackernews.cc/archives/20149
Electron JS框架存在嚴重RCE漏洞 Github等App受影響
http://www.360zhijia.com/360anquanke/343757.html
Windows 10 將讓用戶跟蹤微軟收集的數據
https://www.solidot.org/story?sid=55336
信息安全 · 選擇安恆
www.dbappsecurity.com.cn
![](https://pic.pimg.tw/zzuyanan/1488615166-1259157397.png)
![](https://pic.pimg.tw/zzuyanan/1482887990-2595557020.jpg)
TAG:安恆信息每日資訊 |