Cisco△Talos
Cisco△Talos研究人员在上周揭露ProtonVPN及NordVPN两个VPN客户端软件含有权限扩张漏洞,将允许骇客取得管理员权限并执行任意程式,相关漏洞曾经被修补,只是修补不完全。
不管是ProtonVPN或NordVPN都是利用开源的OpenVPN来建立安全通道,但在设定OpenVPN配置档案若使用特定的参数即可通过管理员权限执行任意程式。
另一资安业者VerSprite在今年4月就曾公布此一代号为CVE-2018-10169的安全漏洞,ProtonVPN与NordVPN当时都借由控制OpenVPN配置档的内容进行修补,检查配置档中是否含有plugin、script-security、up或down等可用来执行命令的参数。
然而,Cisco△Talos的研究人员却发现,倘若在这些参数上加上引号,包括”plugin”、”script-security”、”up”及”down”,那么这些指令依然有效,但却可通过VPN客户端的检查。
ProtonVPN与NordVPN在收到研究人员的通知之后只好重新修补,ProtonVPN决定直接把OpenVPN配置档放到安装目录中,NordVPN则是采用XML模型来产生OpenVPN配置档,双方的作法都是避免使用者变更配置档内容。虽然是重新修补,它们还是取得了CVE-2018-4010及CVE-2018-3952的漏洞编号。
I 相关 / Other
图片来源: Google Google于本周二(9/4)释出Chrome△69,除了新增各式功能之外,也修补了40个安全漏洞,总计发出了31,500美元(台币约97.8万元)的抓漏奖金。这40个安全漏洞有些是由Chrome团队自行发现,有些则是来
共享单车现在在我们生活中是很常见的了,不同的共享单车品牌受欢迎程度不同,ofo小黄车应该是大家都熟知的品牌之一了,自从上市到现在也在不断地改进、不断地规范使用,当然对骑行共享单的用户来说,有缴纳押金的用户
Google 员工发现门锁漏洞 总部中门大开 | 香港 UNWIRE.HK 玩生活.乐科技
对科技公司来说,资讯安全可谓是最重要的一环。而在去年 7 月, Google Sunnyvale 总部的一位员工,成功找到方法入侵公司的物联网,并绕过 RFID 门锁,让他可以在不使用匙卡的情况下打开办公室的大门。(图片来源:F
一周大事:Intel处理器漏洞连环爆,Windows紧急修补。新式旁路攻击只靠控制电流噪音就能“听”出荧幕内容
微软针对Windows△10 1803、Windows△Server△1803版本,释出包含修补多项漏洞的Intel△CPU微程式码的安全更新 英特尔处理器漏洞连环爆,Windows紧急释出修补近期英特尔CPU接二连三爆出Spectre、Foreshadow等重大安
图片来源: Packagist 安全研究人员Max△Justicz本周披露,Packagist官方网站(packagist.org)存在一远端程式执行漏洞,将允许骇客挟持该站服务。Packagist为PHP生态体系中规模最大的套件储存库,PHP开发者借由热门的