据 zdnet 报道,一名匿名安全研究员日前公布了互联网论坛软件 vBulletin 零日漏洞的详细信息。
安全专家担心,公布此漏洞的详细信息可能会引发互联网上的一波论坛黑客攻击,导致黑客控制论坛安装并大量窃取用户信息。
根据对已发布代码的分析,零日允许攻击者在运行 vBulletin 安装的服务器上执行 shell 命令。攻击者不需要在目标论坛上注册帐户。用信息安全术语来说,就是无需预认证远程代码执行漏洞。关于该零日漏洞的细节已经完全在公众访问邮件列表披露。
正常情况下,当供应商未能修补私下报告的漏洞时,安全研究人员公布未修补的安全漏洞的细节并不罕见。截至发稿时间,尚不清楚匿名研究人员是否向 vBulletin 团队报告了该漏洞,或者 vBulletin 团队是否未能及时解决该问题,从而促使研究人员公开。此外,这也可能是故意的恶意或破坏行为,匿名研究人员公开漏洞只是为了损害 vBulletin 公司的声誉,并把客户置于风险之中。
vBulletin 是当今最受欢迎的网络论坛软件包,市场份额大于 phpBB、 XenForo、 Simple Machines Forum、 MyBB 等开源解决方案。
根据 W3Techs 的数据,大约 0.1% 的互联网网站运行 vBulletin 论坛。这个百分比看起来很小,但它实际上影响了数十亿互联网用户。Google dorks 透露,有数以万计的 vbulletin 论坛在互联网上运行,其中包括 Steam、EA、 Zynga、NASA、 Sony、BodyBuilding.com、the Houston Texans、the Denver Broncos 等。
所幸的是,该零日漏洞只对 vBulletin 5.x 论坛版本有效。如果客户安装最新的安全补丁,运行早期版本的论坛是安全的。
来源:站长之家
更多资讯
iOS 13 存第三方键盘漏洞,涉及违规获取完整权限
尽管苹果已经发布了 iOS 13.1 来修复 iOS 13 存在的一些问题,但该公司还是分享了另一个系统漏洞,这个漏洞将在即将推送的软件更新中修复。目前,即使用户拒绝了应用的许可,但第三方键盘仍然可能有完全的权限获取用户正在键入的内容。
来源:猎云网
详情:https://www.dbsec.cn/blog/article/5139.html
参与涉约亿人信息黑客案,一俄籍男子认罪
据美国《商业内幕》网站 25 日报道,一名俄罗斯籍男子承认参与大规模黑客攻击案,导致包括摩根大通在内的十多家美国公司的约一亿人客户数据被盗。36 岁的秋林周一在纽约承认了六项指控,其中包括电脑黑客阴谋和银行欺诈。检察官称这是迄今为止发现的最大的黑客案件之一。
来源:环球时报
详情:https://www.dbsec.cn/blog/article/5140.html
保护规定将正式实施 让儿童不再成为网络世界“透明人”
家住江苏张家港的年轻妈妈孙女士,每当开学前后,就会隔三差五接到教育培训机构的“问候”。这些培训机构对她孩子的姓名、学校、年级等信息了如指掌,连推荐的课程都有针对性。同样,另一位年轻产妇丁女士今年刚生下宝宝不久,当地摄影馆的“骚扰电话”就频繁打进来,声称可以提供婴儿理发、制作胎毛笔、摄影等上门服务。
来源:中国青年报
详情:https://www.dbsec.cn/blog/article/5142.html
黑客创建虚假退伍军人招聘网站 用恶意软件感染受害者的电脑
据外媒 CNET 报道,思科 Talos 团队周二表示,一个黑客组织创建了一个假装帮助美国退伍军人寻找就业机会的虚假老兵招聘网站,并通过恶意软件感染受害者的电脑。Talos 团队在博客文章中称,该网站名为 hiringmilitaryheroes.com,要求用户下载一个伪造的安装应用程序,该应用程序部署了恶意软件和恶意间谍工具。
来源:cnBeta.COM
详情:https://www.dbsec.cn/blog/article/5138.html
(信息来源于网络,安华金和搜集整理)