翻摄自Donncha O'Cearbhaill示範影片
安全研究人员Donncha O'Cearbhaill本周揭露了Ubuntu平台上一个允许远端程式攻击的安全漏洞,该漏洞存在于Ubuntu内的当机报告机制Apport中,影响Ubuntu桌面版12.10 (Quantal)及以后的版本,该漏洞上周已被修补。
O'Cearbhaill说明,Apport通常会读取当机档案中的子集,以提出一个可提醒使用者提交当机报告的图形使用者介面,此一CrashDB栏位会在使用者同意提交当机报告时才进行解析与执行,但当中存在的臭虫使得即使缺乏使用者互动也会被解析及执行。
该漏洞编号为CVE-2016-9949,可将python程式码注入当机文件中,意味着可嵌入任何的python执行程式。CVE-2016-9949非常容易开採,骇客只要引诱使用者开启一个恶意的apport .crash文件即可,且O'Cearbhaill已打造出攻击程式并透过GitHub公开。
O'Cearbhaill还发现了另一个编号为CVE-2016-9950的造访路径(Path Traversal)漏洞。提供相关漏洞的细节予Canonical替O'Cearbhaill赢得了1万美元的奖金。
O'Cearbhaill认为,抓漏奖励对研究人员来说是个很好的鼓励,此一措施只会让软体愈来愈安全,让漏洞愈来愈难被发现,有营利的业者不应期待安全研究人员免费奉上研究成果。
I 相关 / Other
王力宏演唱会遭台下观众丢矿泉水瓶攻击视频实拍歌手王力宏昨日赴南京商演,在演唱招牌曲《唯一》時突然遭台下觀眾丟礦泉水瓶攻擊,令王力宏不禁摀住腹部,表情痛苦,但仍不忘展現高EQ向台下喊:「謝謝,不要扔東西,
土耳其电视报道,土耳其中部城市凯色里(Kayseri)今天(17日)发生爆炸案,1辆公共汽车附近发生爆炸,造成多人受伤。医院方面证实,有人员伤亡,但目前无法提供确切讯息。土耳其NTV电视报道说,爆炸发生时,这辆公车正搭
中华电信提供DDoS多层次纵深防护,可以防堵从外部线路DDoS攻击进来的攻击流量,透过Border网路的境外阻绝和边境管制,将攻击封包阻挡在中华电信线路外面。如果攻击已经进入台湾的网路骨干,在Backbone网路进行控管,
资安厂趋势科技发现,假银行应用程序“SmsSecurity”变种来袭,除了窃取简讯发送的密码,还可利用手机的辅助功能来进行隐蔽行动,进一步控制使用者的行动设备。在2016年1月,趋势科技发现许多假的银行应用程序“SmsS
美国商务部旗下的国家电信暨资讯管理局(National Telecommunications and Information Administration,NTIA)本周公布《漏洞揭露的态度与行为》(Vulnerability Disclosure Attitudes and Actions)研究报告,指称