*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
各位Buffer早上好,今天是2019年1月18日星期五。今天的早餐铺内容有:Amadeus航班预订系统存在严重漏洞,141家航空公司受到影响;Voipo 发生严重的数据泄露事件;人脸识别解锁能用照片绕过?华为、三星、小米、HTC等均上榜;价值数十亿美元的客户资料被曝光;以太坊“君士坦丁堡升级”因严重漏洞被推迟;微软和VirusTotal达成合作协议,共同侦测包含恶意签名的MSI文件;《网络空间安全工程技术人才培养体系指南(1.0版)》现可下载。
Amadeus航班预订系统存在严重漏洞,141家航空公司受到影响
以色列安全研究员Noam Rotem在预定以色列航空公司的航班时发现了Amadeus在线机票预订系统中的一个严重漏洞,该漏洞使得攻击者能够远程访问和修改用户的行程细节并获得他们的飞行常客里程。攻击者只要知道受害者的PNR(乘客姓名记录)号码即可利用此漏洞。
据专家估计,该漏洞可能影响全球范围内141家航空公司,包括美国联合航空公司、汉莎航空公司和加拿大航空公司等国际知名航企。Rotem已经向相关部门通报了这个问题,Amadeus很快修复了这个漏洞。[来源:securityaffairs]
人脸识别解锁能用照片绕过?华为、三星、小米、HTC等均上榜
荷兰消协表示,在过去的一年里,他们对上百款智能手机配备的人脸识别功能的安全性进行了测试。事实证明,在用来测试的110部智能手机中,有42部可以通过用户的照片来解锁。其中,来自三星的Galaxy A7和Galaxy A8、华为的P20、P20 Lite和P20 Pro、诺基亚的model 3.1和7.1,以及索尼的Experia XZ2和Z2 Compact都存在这样的问题。
当然,这并不是说来自这些品牌的所有型号的手机都存在这样的问题。比如,三星的Galaxy S9、S9+和Note 9,以及华为的Mate 20和Mate 20 Pro就不受影响。另外,iPhone XS Max和iPhone XR的人脸识别也无法通过照片来绕过。[来源:黑客视界]
Voipo 发生严重的数据泄露事件:价值数十亿美元的客户资料被曝光
去年 11 月,一家名为 Voxox 的电信企业不慎泄露了一个包含数百万条短信的数据库,其中包括了密码重置和双因素认证代码。在安全研究人员曝光之前,其安全漏洞已向攻击者敞开数月。由于服务器未受保护,本次事件导致数百万份呼叫日志和文本消息被泄露。令人惊恐的是,时隔两月,另一家名叫 Voipo 通信提供商,又泄露了价值数十亿美元的客户数据。
Voipo 是一家总部位于加利福尼亚州 Lake Forest 的互联网语音服务提供商,提供面向住宅和商用的电话服务,并且支持云端控制。在一封电子邮件中,Voipo 首席执行官 Timothy Dick 证实了本次数据泄露,但补充道:“这只是一台服务器,并不是我们生产网络的一部分”。[来源:hackernews]
以太坊“君士坦丁堡升级”因严重漏洞被推迟
以太坊(Ethereum)团队1月15日推迟了对以太坊区块链的重大升级,原因是一家安全公司发现了一个帮助黑客窃取用户资金的漏洞。以太坊网络代号为“君士坦丁堡升级”的活动计划1月16日启动,随后将在周五(1月18日)决定新版本的发布日期。
该漏洞是区块链安全专家称之为“重入攻击”的漏洞,它被ChainSecurity发现,其研究人员在博客文章中作出了详细叙述。漏洞的“杀伤力”在于,它允许恶意威胁行动者从与攻击者签署以太坊智能合约的用户那里窃取资金。[来源:ccn]
微软和VirusTotal达成合作协议,共同侦测包含恶意签名的MSI文件
微软和VirusTotal已经达成合作,共同在检测恶意签名MSI文件加大力量。 当开发人员创建一个软件时,他们通常使用数字代码签名证书对其进行签名,以证明该程序的创建者。同时,对签名的Windows PE(.exe)的任何修改都会导致签名失效,这为程序未被篡改提供了额外的保证。
微软更新了签名校验,可检测签名的MSI是否被篡改。这种新的检测方式已在Sigcheck 2.70版中开放,并且VirusTotal正在使用它来检测已修改的签名MSI文件,只要文件上传到他们的服务器就不会被漏掉。[来源:bleepingcomputer]
《网络空间安全工程技术人才培养体系指南(1.0版)》现可下载
中国网络空间安全人才教育联盟作为一个全国性、行业性、非营利性的创新组织,响应党和国家号召,组织和动员全国网安领域高校、企业、事业单位和社会团体,针对人才教育、培训、认证以及就业等环节,探索科学可行的新模式。《网络空间安全工程技术人才培养体系指南(1.0版)》就是一次研究探索和实践尝试。
“指南”首先提出了网安人才培养框架,并针对院校培养体系这一主要人才渠道,阐述了补充强化实践教学和实战能力培养环节;其次,梳理并提出了网安人才“标签化”知识技能体系,突出以“人”为核心、以“知识技能”为业务内容,为工程技术人才培养和考核认证提供参考;最后,在分析国外发达国家网安人才认证体系建设的基础上,结合我国实情和人才渠道现实,提出我国网安人才认证体系建设思路。[来源:安全内参]