链闻 ChainNews 诚邀读者共同监督,坚决杜绝各类代币发行、投资推荐及虚拟货币炒作信息。举报

漏洞

漏洞新闻快讯文章, 漏洞深度文章, 漏洞快讯, 区块链漏洞, 漏洞是什么, 漏洞介绍, 漏洞解读, 漏洞项目, 三分钟了解漏洞, 秒懂漏洞, 如何评价漏洞, 漏洞怎么样, 漏洞创始人, 漏洞招聘, 漏洞融资, 漏洞价格, 漏洞技术, 漏洞社区, 漏洞论坛, 漏洞浏览器, 漏洞排名, 漏洞白皮书, 漏洞本质, 漏洞意义, 漏洞代码, 漏洞游戏, 漏洞什么意思, 漏洞学习, 漏洞培训, 漏洞教程, 漏洞投资, 漏洞赚钱, 漏洞安全, 漏洞漏洞

Fastjson 全版本远程代码执行漏洞曝光,降维发布预警

据降维安全实验室(johnwick.io) 报道,Fastjson <=1.2.68 全版本存在反序列化漏洞,利用该漏洞,黑客可远程在服务器上执行任意代码直接获取服务器权限。此漏洞异常危险,降维安全实验室建议使用了该 java 库的相关交易所及企业及时将 Fastjson 升级至 1.2.68 版本、打开 SafeMode、并持续关注 fastjson 官网等待 1.2.69 版本的更新并立即升级以防止被攻击。

慢雾再次红色提醒:发现 ETH 新型假充值的新攻击手法

昨日慢雾安全团队首发了 ETH 新型假充值攻击 revert 的手法,慢雾安全团队持续进行深入地研究,发现了利用 Out of gas 的攻击手法。慢雾安全团队建议:如没有把握成功修复可先临时暂停来自合约地址的充值请求。针对使用合约进行 ETH 假充值时,除了 revert 和 Out of gas 的手法外,不排除未来有新的手法,慢雾安全团队会持续保持关注和研究。同时需要注意,类以太坊的公链币种也可能存在类似的风险,请警惕。

UMA 管理员投票将延期进行,因出现漏洞导致了投票失效

链闻消息,去中心化金融合约基础设施 UMA 在推特表示,UMA 管理员投票可能会失效,并将延期至周一或者周二举行,因为无法达到最低参与门槛,在 UMA Voter DApp 中发现了一个漏洞,导致 2 键的投票提交无效。目前已经部署了一项修复工作,但是由于已经发送的提交构造不正确,即使在修复了这个漏洞之后,这些投票仍然无效。

路印已完成因前端安全漏洞造成的交易所维护升级

链闻消息,路印发布公告称,Loopring Exchange 维护升级已完成,目前已重新部署了个新的版本,用户只要重置密码就可以使用。路印同时在公告中报告了此次前端代码的安全漏洞,此次漏洞是由 StarkWare 产品负责人 Avihu Levy 和其产品经理 Louis Guthmann 报告的一个路印交易所前端生成 EdDSA 密钥对的逻辑漏洞,该漏洞由于用户的 EdDSA 密钥对实际被限制在了一个 32 位整数空间,导致黑客可以通过穷举,找出所有用户的 EdDSA 密钥对。

黑客组织利用开源框架 Salt 漏洞部署恶意挖矿软件

链闻消息,根据博客平台 Ghost 消息,一个黑客组织利用基础设施工具 Salt 的漏洞将加密挖矿恶意软件安装到一家公司的服务器中。挖矿导致 CPU 使用激增,并迅速使该公司的大多数系统超载。目前开发人员已从其服务器中删除了该挖矿恶意软件,并添加了全新的防火墙配置。Salt 是 SaltStack 开发的开源框架,用于管理和自动化公司服务器的关键部分,包括 IBM Cloud、LinkedIn 和 eBay 在内的客户端使用 Salt 来配置服务器,中继来自「主服务器」的消息,针对特定的时间表发布命令。

Blockfolio 代码库早期版本的安全漏洞被发现,已存在 3 年

链闻消息,网络安全公司 Intezer 的研究员 Paul Litvak 在加密货币资产管理工具 Blockfolio 在 Github 代码库中,发现 2017 年早期版本中存在的一个安全漏洞问题。该安全漏洞可被用于允许完全访问公共以及私有存储库,包括其中的私钥、对代码以及提交状态和组织项目的读写访问权限等。同时,该研究员发现该私钥仍处于活跃状态,目前 Blockfolio 已修补了该安全漏洞。

iOS 邮箱应用远程执行存在漏洞,币安提醒用户避免该漏洞

链闻消息,技术安全公司 ZecOps 于 4 月 20 日曝光 iOS 系统的邮箱应用远程执行漏洞,该漏洞允许远程执行代码功能,并使攻击者能够通过发送占用大量内存的电子邮件来远程感染设备。币安交易所在推特上提醒用户避免漏洞影响方法为:关闭 iOS 邮件 app 功能,具体包括在设置的密码与账户中将获取新数据改为手动并关闭推送;升级到最新版本 iOS (iOS 13.4.5 测试版)。币安表示,强烈建议币安用户立即采取行动以避免资金安全性风险,Apple 稍后推出的 iOS 13.4.5 将会修补这一漏洞。

慢雾:警惕微软 SMBv3 Client/Server 远程代码执行漏洞

据慢雾区情报,3 月 11 日,国外安全公司发布了一个近期微软安全补丁包所涉及漏洞的综述,其中一个威胁等级被标记为 Critical 的 SMB 服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞获取机器的完全控制。2020 年 3 月 12 日微软发布了相应的安全补丁,强烈建议用户立即安装补丁。3 月 30 日公开渠道出现利用此漏洞的本地提权利用代码,慢雾安全团队验证可用,本地攻击者可以利用漏洞从普通用户权限提升到系统权限。目前鉴于漏洞发展趋势来看,慢雾安全团队不排除执行任意代码的可能性,由于漏洞无需用户验证的特性,可能导致类似 WannaCry 一样蠕虫式的传播;慢雾安全团队提醒币圈平台及个人用户请注意自身资金安全,尽快升级。

研究人员批露英特尔 SGX 处理器中的漏洞,可窃取加密密钥和密码等敏感信息

链闻消息,计算机研究员 Daniel Gruss 披露了英特尔 SGX 处理器的一个名为 Load Value Injection (LVI)的漏洞,该漏洞可从 Intel CPU 的保险库 SGX 中窃取密钥、密码等敏感信息。SGX 是 Software Guard eXtensions 的缩写,是一个采用强加密和硬件层的隔离保护用户最敏感隐私的数字保险库。LVI 与 Meltdown 和 Spectre 等类似,都属于瞬态执行利用,源自于 CPU 的一项优化技术「预测执行」。与其它瞬态执行漏洞类似,LVI 只能缓解无法修复。受影响的处理器包括了 Sandy Bridge 家族、Ivy Bridge 家族和 Haswell 家族等等,Ice Lake 不受影响。

慢雾:警惕多种 Omni USDT 双花攻击

OmniCore 团队宣布修复一个重大安全漏洞,由于节点在收到新区块时没有处理好并发锁问题,攻击者可通过发送特殊构造的区块,导致一次交易多次记账,使得账户余额出错。而在此前,慢雾安全团队捕获了一起针对交易所的 USDT 假充值攻击事件,经分析发现,由于部分交易所使用了旧版本的 omnicore 客户端(如 0.5.0),黑客使用精心构造的转账交易,可以在旧版本的客户端上标记为转账成功,而在新版本的客户端上显示为失败,从而达到假充值的目的。慢雾安全团队提醒相关节点运营方,利用未升级的节点来发起双花攻击是一种常见的黑客攻击方法,尤其是在 OmniLayer 等二层网络应用上,此类攻击并不会导致主链分叉,不容易被发现,应十分警惕,及时升级节点至最新版本(0.8.0)。

Nexus Mutual 披露两个缺陷,资金未受损且再进行审计

链闻消息,基于以太坊的互助保险平台 Nexus Mutual 披露了由安全研究人员 Mudit Gupta 和 Sam Sun 分别发现的两个缺陷,这两个漏洞未被利用而且保险基金没有任何损失。Mudit Gupta 发现的漏洞与治理相关,该问题可能会为特殊人群授予额外的特权,而 Sam Sun 发现的漏洞可能会让保险基金受到损失,在收到报告后的 4 小时内,他们立即停止了与 Uniswap 的交互。Nexus Mutual 为两名研究人员发现的漏洞提供奖金,分别是 2000 美元和 5000 美元,而且将发布漏洞奖金计划,更多细节之后会公布。Nexus Mutual 表示项目的代码在上线前就已经在 2019 年 4 月被 Solidified 团队审计过,而且他们对代码更新非常保守,目前仅有过三次小型升级,在本次的漏洞披露之前,他们已经安排了一次完全的审计,将于本月底开始,以检查相关升级细节,该流程耗时较短。

IOTA 基金会:Trinity 钱包用户资金遭到盗窃,暂时关闭钱包和网络交易

链闻消息,去中心化物联网项目 IOTA 背后的非盈利组织 IOTA 基金会发布公告表示,部分用户的 Trinity 钱包内资金遭到盗窃,IOTA 基金会决定暂时关闭主网中的 Coordinator (协调器)节点与 Trinity 钱包以进行进一步调查。目前该基金会正在评估 Trinity 钱包早期的漏洞,同时试图分析黑客的攻击方式并完成手动验证。 Trinity 是该基金会开发的一种用支持 IOTA 代币的钱包解决方案。IOTA 表示,「正在与执法机构和网络安全专家合作调查这次攻击,由于正在对根本原因进行调查,因此将继续暂停 IOTA 网络上的价值交易,但数据交易不受影响」。

Kraken 称 Trezor 硬件钱包可利用电压故障物理破解,Trezor 回应承认该漏洞

链闻消息,Kraken 安全实验室发布文章表示,Trezor 的硬件钱包产品 Trezor One 和 Trezor Model T 存在明显缺陷,攻击者可利用该缺陷窃取钱包数据。Kraken 在其文章中表示,黑客可以通过 15 分钟物理访问设备的情况下利用电压故障从 Trezor One 和 Trezor Model T 硬件钱包中提取密钥。该文章同时表示,自设计产品以来,Trezor 便意识到此漏洞。Kraken 首席安全官 Nick Percoco 表示,「该漏洞是 Trezor 硬件钱包中使用的微控制器固有的,这也是为什么 Trezor 知晓该漏洞但该漏洞仍然存在的原因,为了解决该问题,Trezor 本质上需要推出一种新设备」。Trezor 针对该博客文章在推特上回应称,「该类型的攻击不会远程发生,如果用户打开 BIP 39 密码短语,该攻击将不会起作用,密码短语完全可以杜绝成功攻击的可能性」。Trezor 同时表示,「已知晓 STM32 微芯片中的电压问题」,这将使得具有专门硬件知识的攻击者可以破解该设备,并建议「购买者将硬件钱包远离陌生人」。链闻此前报道,Ledger 硬件钱包的安全研究团队 Ledger Donjon 也曾于 2019 年 7 月发布报告称,攻击者可以从包括 Trezor One、Trezor T、Keepkey 和其他类似的 Trezor 设备中窃取出密钥种子,仅需 5 分钟和 100 美元的设备即可实现对这些钱包的攻击,且该漏洞无法通过补丁修复。

Twitter 被曝出可导致用户电话号码泄露的客户端漏洞

链闻消息,根据 TechCrunch 报告,安全研究人员 Ibrahim Balic 发现使用 Twitter Android 客户端中的漏洞可以导致百万个 Twitter 用户的电话号码泄露,该漏洞或暴露出 Twitter 身份验证系统的故障。Ibrahim Balic 表示,当其向 Twitter 上传大量随机的电话号码列表并要求 Twitter 将其与用户匹配时,该错误暴露了其他用户帐户,通常仅当新用户在其手机上安装该应用程序时才使用此界面,但是仅仅需要一组 API 调用,Balic 能够欺骗该系统。Balic 同时表示,用户数据包括许多主要 Twitter 名人的电话号码,甚至包括以色列高级政客的私人电话号码。 Twitter 发言人表示,「得知此错误后,我们暂停了用于不当访问人们个人信息的帐户,将继续致力于制止使用 Twitter API 的滥用行为。」

交易者发现 Robinhood 「无限杠杆」漏洞,可无限借入资金进行保证金交易

链闻消息,根据彭博社报道,有用户在 Reddit WallStreetBets 论坛发贴曝光 Robinhood 的「无限杠杆」漏洞,利用该漏洞可将账户余额无限放大,在交易者晒出的一系列「成绩单」中,一名交易者声称将 4000 美金放大到了 120 万美金。该漏洞主要是由「Robinhood Gold」服务导致的,该服务针对积极交易者,只需每月固定交 5 美金就可从 Robinhood 手中借入账户中现金余额的一倍进行保证金交易,交易者可使用从 Robinhood 借来的钱出售受保看涨期权,然而,Robinhood 会将这些看涨期权的价值叠加到用户自有资金中时就会出现问题,这意味着用户借入的资金越多,Robinhood 将会借出更多的钱用于未来的交易。Robinhood 发言人 Lavinia Chirico 在一封电子邮件向彭博社回应称,Robinhood「已意识到这些情况,并已与这些客户取得直接联系。」乔治敦大学法学教授 Donald Langevoort 向彭博社表示,使用所谓的「无限杠杆」增大赌注可能会面临金钱和证券欺诈罪。而根据基本法,交易者可能需要还钱。
·

DAO 创始团队 Slock.it 发言人:FAIRWIN 智能合约存在漏洞

链闻消息,DAO 创始团队 Slock.it 发言人 Griff Green 发布推文提醒用户,去中心化博彩平台 FAIRWIN 智能合约中存在漏洞,很容易被黑帽发现,FAIRWIN 中的资金有风险,提醒用户警惕风险,应马上停止使用该合约。FAIRWIN 是一个去中心化博彩分红项目,其智能合约 Gas 消耗量排名前 5,是导致以太坊近期 Gas 消耗持续处于高度饱和状态的罪魁祸首之一。

慢雾:8 月共发生 12 起较典型的安全事件,假充值漏洞给交易所造成巨大损失

链闻消息,据 SlowMist Hacked 统计,8 月共发生 12 起较典型的安全事件,累计造成近千万美元损失。慢雾区块链威胁情报 (BTI) 系统监测发现,多家交易所遭受假充值漏洞攻击,使用的攻击手法有:USDT(Omni) 假充值漏洞、ERC20 Token 假充值漏洞、EOS 假充值漏洞、XRP 假充值漏洞以及门罗币 (XMR) 转账锁定漏洞,给交易所造成巨大损失。同时慢雾 BTI 系统也发出预警,近期针对交易所的 APT(Advanced Persistent Threat) 攻击也愈演愈烈,慢雾安全团队在此提醒各交易所,提前做好安全漏洞自查,进一步增强人员安全意识及平台风控体系,必要时可联系专业的区块链安全公司寻求帮助,避免遭受损失。

以太坊客户端 Parity 更新 RPC 漏洞修复,该漏洞可恶意关闭部分节点

链闻消息,以太坊客户端 Parity 发现远程过程调用(RPC)漏洞,可能导致服务器意外关闭,目前 Parity Technologies 公司已修复并更新代码。该漏洞由区块链分析公司 Amberdata 发现,其工程副总裁 Scott Bigelow 表示,该漏洞如果被利用攻击,则可能会导致「客户端崩溃,无法窃取资金,但可以恶意关闭部分以太坊节点」。Parity Technologies 在其官方博客表示,Parity Ethereum 在默认情况下「不启用追踪模块或面向公众的远程过程调用(RPC)」,因此大多数节点不应受到影响,但建议「所有运行 Parity 以太坊节点的用户升级最新版本」。
返回页面顶部
返回链闻首页
WeChatWeiboFacebookTwitterLinkedInTelegramMediumGitHubRSS收藏区块链搜索区块链移动 AppEmailUpHomeAppleAndroid