文章目录

思干豆

存档: 2018 年 10 月 (6)

intel:我只是留了个后门,被你们发现,只能当致命漏洞了! 有更新!

事件起因 从2008年开始,英特尔芯片组添加了 “Management Engine” (ME),中文名称英特尔管理引擎。ME在启动时率先启动,级别高于操作系统 ,可以完全访问内存,屏幕,键盘和网络。ME代码由英特尔完全控制。而这其中的一个Active Management (AMT) module主动管理模块,跟后门完全无异。AMT虽然可以关闭,更糟糕的是,我们不知道这个闭源程序里还有多少个类似AMT的程序。很长的时间里,ME并没有引起什么波澜。 发酵 2013年,一个AMT功能再次被拉出来,因为他关机运行的特性,但并没有直接证据证实是后门。 Intel Core vPro大家并不陌生,它依靠Intel的主动管理技术(AMT)来实现,当开启该功能之后,即使在关机的情况下也能对电脑进行远程管理,可查看状态、安装、更新软件或系统、浏览磁盘文件等。如此强大而方便的管理技术也同时留下了巨大的安全威胁。 Intel Core vPro处理器包含一个的远程访问功能,即使在电脑关机的情况下,也可准确地访问该电脑。Core vPro 包含一个独立的物理处理单元ME并嵌入在CPU中,ME拥有独立的操作….

谷歌暴露Google+用户数据并选择不披露

至少50万用户数据可能已暴露给了数百名外部开发人员.

支付宝检测到部分苹果用户ID被盗,建议调低免密支付额度

昨晚,支付宝官方微博发布关于苹果手机的安全提示,支付宝称检测到部分苹果用户ID被盗,由此带来ID绑定支付工具遭到资金损失,目前苹果公司已回复正在积极解决,支付宝建议苹果用户调低免密支付额度以最大限度保护资产安全。

Adobe Flash的“中国特供版”,特供的就是用户隐私? 有更新!

虽然 Flash 已经有些过气,越来越多的视频网站开始采用 HTML5,但是对于一些网页广告和页游来说,Flash 还是必不可少的技术。其提供商是大名鼎鼎的 Adobe,最近,Adobe 推出了一款“中国特供版”的 Flash,然而用户发现,这个中国特供版会收集用户隐私,更夸张的是,Adobe 和合作方将其堂而皇之地写在了用户协议里,而中国用户只能用这个特供版,其他版本无法安装。Adobe 作为软件业的明星公司,希望能尽到明星公司的责任吧。这样区别对待的“猫腻”,只会败坏名声。

微软再次暴露安全漏洞 加密文件依然会暴露 有更新!

最近哥伦比亚网络安全专家Sebastian Castro近期分享的一份报告中,披露了Windows系统中的“关键”级别漏洞,允许黑客将管理员权限转移给其他账户。该漏洞自Windows XP系统就已经存在,在报告中Castro自己编写了Metasploit模块来测试和演示这个漏洞。 在模块部署完成之后,Castro在Windows XP、Windows Server 2003、Windows 8.1和Windows 10系统上成功进行了测试。此外在报告中他还详细解释了这个漏洞的工作原理,允许黑客将隶属于管理员账号的所有管理员权限附加给来宾账号。 自Windows XP系统以来,Windows系统使用Security Account Manager (SAM)来存储本地用户和内置帐户的安全描述符。正如How Security Principals Work所提及的,每个账号都有一个用于标识它的已分配RID。与域控制器不同,Windows工作站和服务器会将此数据的大部分存储在HKLM \ SAM \ SAM \ Domains \ Account \ Users项中,这需要访问SYSTEM….

UWP API 曝严重漏洞,可绕过用户许可窃取任意数据 有更新!

据 cnbeta 报导,相关证据表明 Windows 10 系统中的 UWP API 存在严重的安全漏洞,允许恶意开发人员远程自由遍历用户的磁盘信息,并窃取任意数据。 UWP 是 Win10 通用应用平台(Universal Windows Platform),在 Win10 中,所有设备将会运行在一个统一的 Windows 10 系统核心之上,这样的设计使得一款应用可以在所有 Win10 设备上运行,Win10 手机、平板电脑、笔记本电脑、PC、Xbox,甚至是 3D 全息眼镜 HoloLens、巨屏触控 Surface Hub 和物联网设备例如 Raspberry Pi 2 等都不再有界限。 UWP 由于使用沙盒机制,并且限定在自身路径和特殊文件夹内,因此具备较高的安全系数。不过近期外媒发现 broadFileSystemAccess API 允许开发者访问整个硬盘,而该 API 存在的 BUG 可以在不经用户允许的情况下获得访问磁盘的权限,并且默认授予完整的文件系统访问权限。 不过,在 Windows 10 October 2018 更新中微软已经修复了该问题。