GoFlex家庭網路存儲設備受XSS和MitM攻擊威脅 暴雪遊戲存在嚴重漏洞

2018.01.26 周五

安全資訊

資訊要點

安全專家發現超過3.3 萬 個希捷 GoFlex 家庭網路存儲 ( NAS ) 設備容易暴露於公網，或引來跨站腳本（XSS）和中間人（MitM）攻擊。雖然目前希捷已經修補了 Personal Cloud 和 GoFlex 產品中的 XSS 漏洞，但仍有一些問題尚未解決。GoFlex 家庭 NAS 設備在 seagateshare.com 上運行了一個可訪問的 Web 服務，允許用戶遠程管理設備及其內容，並且可以通過設備名稱和登錄憑證來訪問存儲。

谷歌黑客 Tavis Ormandy 於近期發現暴雪遊戲中存在一個嚴重漏洞，導致數百萬台電腦遭到 DNS Rebinding （DNS 重綁定）攻擊，從而允許攻擊者在遊戲玩家的電腦上遠程執行惡意代碼。目前，暴雪公司在其客戶端版本 5996 中加入了部分緩解措施，並表示後續推出的補丁會採取更多穩定的主機白名單機制。

Electron 框架是 GitHub 團隊在2013年開發的，旨在幫助開發 Atom 編輯器，自誕生以來一直備受熱捧。本周一，Electron 團隊表示已發布補丁修復了該框架中的一個遠程代碼執行漏洞。這個遠程代碼執行漏洞存在於Electron框架 app.setAsDefaultProtocolClient API中，周一在Electron 版本 1.8.2-beta.4、1.7.11和1.6.16中已予以修復。開發人員也已經為尚無法更新至最新版本的 App 開發人員提供了一個快速緩解措施，提供了臨時修復方案，阻止攻擊者利用該漏洞，不過安全專家認為攻擊者很快就會找到相應的攻擊對策。

Windows 10 將向用戶提供一個應用，跟蹤微軟從設備上收集的數據。被稱為 Diagnostic Data Viewer 的應用已經提供預覽版測試者，用戶可以從應用里一覽 Windows 10 收集的所有診斷數據。它能顯示各種不同類型的診斷數據，包括 Common Data (操作系統版本，設備 ID/類型等）, Device Connectivity and Configuration data (設備功能、用戶設置、外圍設備和網路信息), Product and Service Performance (設備健康、性能、可靠性數據),，Product and Service Usage (設備、應用和操作系統使用數據)，Software Setup and Inventory (更新信息)，它還提供了搜索功能可以搜索特定項目信息。

國際要聞

希捷 GoFlex 家庭存儲設備的 SaaS web 服務受 XSS 和 MitM（中間人）攻擊威脅

http://hackernews.cc/archives/20160

暴雪遊戲一客戶端嚴重漏洞或遭 DNS Rebinding 攻擊，可遠程執行任意代碼

http://hackernews.cc/archives/20149

Electron JS框架存在嚴重RCE漏洞 Github等App受影響

http://www.360zhijia.com/360anquanke/343757.html

Windows 10 將讓用戶跟蹤微軟收集的數據

https://www.solidot.org/story?sid=55336

信息安全 · 選擇安恆

www.dbappsecurity.com.cn

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！