本期情报看点
①黑客可通过行李标签代码轻松“解锁”旅客的航班和身份信息。订机票是一件很简单的事情,但你的权益保障仍取决于黑客是否要来捣乱。德国“安全研究实验室”的 Karstein Nohl 和 Nemanja Nikodejevic 指出,旅客订票系统多年来一直未得到足够的保护。实际上,全球三大处理航班预定服务的“全球分布式系统”(GDS),可通过多个方面被别有用心的人所滥用。通过几行代码, 即可访问到完整的旅客信息:包括家庭和电子邮件地址、手机/信用卡号码、常旅客编号,以及当初在线预定该机票的 IP 地址等。更糟糕的是,黑客甚至无需特定的 ID 来验证上述信息。无论 GDS 和航空公司网站,通常都不会限制代码的访问/检查次数,因此理论上只要暴力攻击就能蒙对一次。
②新漏洞!新恶作剧短信可让苹果iMessage彻底崩溃:重启也没用…据外媒报道,苹果的iOS系统存在一处缺陷,造成iMessage应用在收到一条恶意短信后崩溃。这条恶作剧短信包含一个名叫vCard的附件,它是一种虚拟名片,可让用户在手机上分享自己的联系方式。但是由于iMessage无法处理该vCard的容量和复杂性,iMessage将彻底冻结,用户即使重启手机也无法解决问题。你只能从多任务菜单关闭iMessage,但是当你重新打开该应用时,它仍将是崩溃状态。该漏洞是一个名叫vincedes3的黑客发现的,他也提供了解决方案。苹果未来可能会发布更新,修复这一问题。
友情提示:
如需阅读详细内容,请复制链接至浏览器进行阅读。
1、研究人员发现监控工具MONyog存在提权漏洞
http://securityaffairs.co/wordpress/54856/hacking/monyog-hacl.html
2、PHP7曝出三个高危0-day漏洞,还有一个仍未修复
http://www.freebuf.com/news/124159.html
1、勒索软件攻击智能电视 厂商协助用户修复
http://www.cnbeta.com/articles/572129.htm
2、如何更好地预防移动端勒索软件侵害?要从勒索软件运行机制入手
http://t.cn/RIsfiLZ
3、比特币硬件钱包KeepKey被黑客攻击和勒索
http://www.securityweek.com/hardware-bitcoin-wallet-keepkey-informs-users-breach
4、攻击者伪造ICANN邮件传播勒索软件Cerber
https://www.techdirt.com/articles/20161229/11425236368/malware-purveyor-serving-up-ransomware-via-bogus-icann-blacklist-removal-emails.shtml
5、Sundown EK新变种使用图片隐藏恶意代码
http://securityaffairs.co/wordpress/54886/cyber-crime/sundown-exploit-kit-2.html
6、黑客可通过行李标签代码轻松“解锁”旅客航班和身份信息
http://www.cnbeta.com/articles/572655.htm
7、特殊短信可使主流iOS版本信息应用无法工作
http://www.cnbeta.com/articles/571905.htm
8、新恶作剧短信可让苹果iMessage彻底崩溃:重启也没用
http://t.cn/RIeD5IC
9、研究者公开iMessage字符崩溃Bug测试方法
http://www.freebuf.com/news/124291.html
10、美国电力公司内部系统检测到俄方恶意代码
https://www.theguardian.com/technology/2016/dec/31/russian-malware-detected-in-us-electricity-grid-report
11、美国一电气公司的笔记本电脑被发现俄罗斯的黑客软件
http://www.cnbeta.com/articles/572415.htm
12、俄罗斯黑客渗透美国电网
http://www.cnbeta.com/articles/572455.htm
13、华盛顿邮报称俄入侵美国电厂报告说法有误
http://www.ibtimes.co.uk/russian-hacking-us-electricity-grid-turns-out-be-fake-news-report-1598910
14、为何NSA敢断定是俄罗斯黑客入侵了DNC?背后故事令人恐惊
http://www.cnbeta.com/articles/572125.htm
15、美国公布13页报告揭俄黑客介入美选举手法
http://t.cn/RIeDZPd
16、欧洲安全与合作组织上月遭受严重网络攻击
http://securityaffairs.co/wordpress/54860/intelligence/osce-cyber-attack.html
17、Topps网站遭到黑客入侵 用户个人信息泄露
http://www.securityweek.com/topps-customer-data-exposed-after-website-hack
18、彼尔德伯格集团网站遭受匿名黑客组织攻击
http://news.softpedia.com/news/bilderberg-website-hacked-members-given-ultimatum-to-work-for-humanity-511424.shtml
19、安全厂商发布Darkleech组织行动报告
http://researchcenter.paloaltonetworks.com/2016/12/unit42-campaign-evolution-pseudo-darkleech-2016/
20、美国公布灰色草原网络攻击报告摘要
https://www.easyaq.com/newsdetail/id/888458967.shtml
21、研究者称去年网页加密流量显著增加
https://yro.slashdot.org/story/16/12/31/0129208/2016-saw-a-massive-increase-in-encrypted-web-traffic
22、著名黑客:别等了 我不会发布iOS 10.2越狱
http://t.cn/RIsV2Nj
23、Firefox借鉴Tor引入防指纹跟踪功能
http://www.solidot.org/story?sid=50921
24、部分DNS查询服务因今年闰秒出现报错现象
https://www.easyaq.com/newsdetail/id/1228407533.shtml
1、美国称“俄制”恶意软件曝光要求多州自查
http://www.cnbeta.com/articles/572627.htm
2、美国驱俄外交官 FBI公布黑客攻击调查报告
http://www.solidot.org/story?sid=50911
3、美国对俄罗斯间谍活动实施冷战以来的最大报复
http://www.aqniu.com/news-views/22050.html
4、斯诺登再爆料:美国为啥认定俄罗斯干预大选
http://t.cn/RIeDkA7
5、美国军方着手研究未来核武器系统安全问题
https://www.easyaq.com/newsdetail/id/1000804381.shtml
6、土耳其宣布建立网军保障国家基础设施安全
https://www.bleepingcomputer.com/news/government/turkey-wants-to-build-army-of-hackers/
7、学者称黑客是美俄非军事化战争起点
http://mil.youth.cn/djbd/201701/t20170101_9001720.htm
8、特朗普:电脑通信不安全 还是写信靠谱
http://t.cn/RMhVF34
9、微软Edge、Opera、Vivaldi在Twitter上掀“口水仗”
http://t.cn/RIsVCnT
10、俄媒:中美日在超算领域争高下 美效率低于中国
http://t.cn/RIsfteI
11、信息泄露事件频发: 网络安全投资机会何在?
http://t.cn/RIeDxSz
12、媒体回顾2016年最严重黑客入侵事件
https://www.wired.com/2016/12/years-biggest-hacks-yahoo-dnc/
(信息来源于网络,梆梆安全搜集整理)
原文始发于微信公众号(梆梆安全):梆情报 | 行李标签条码“卖”你没商量!
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论