风河修复了 VxWorks 实时操作系统的 11 个重大安全漏洞
| 2019-08-02 11:43 评论: 1
平时人们总能听到有关 Windows 和 Android 操作系统的漏洞报告,iOS 和 Linux 则要少一些。不过本文要为大家介绍的,则是 VxWorks 实时操作系统(RTOS)曝出的 11 个严重的零日漏洞。RTOS 被广泛应用于行业内的关键计算机系统上,此次曝出的大型安全漏洞,很可能引发灾难性的后果。
报道称,过去 13 年里,这些设备已存在不少于 11 个零日漏洞。遗憾的是,由于 RTOS 设备属于电子设备领域的沉默工作者,媒体并没有对其加以广泛的关注。
举个例子,RTOS 软件驱动着从调制解调器、电梯、乃至核磁共振(MRI)扫描仪等在内的各种机器。而 VxWorks 的客户名单,涵盖了 Xerox、NEC、三星、理光等知名企业。
物联网安全研究机构 Armis 将这些漏洞统称为 URGENT / 11,以敦促行业尽快更新机器的 RTOS 系统。其中六个比较严重的漏洞,或赋予攻击者远程代码执行的权限。
另外五个漏洞没有这样致命,但也可以在没有用户交互的情况下,授予攻击者相应的访问权限。讽刺的是,它们甚至可以绕过 VxWorks 自带的防火墙和 NAT 等安全设备。
尽管 GRGENT / 11 的名字看起来有些平淡,但 Armis 还是希望业界能打起 12 分精神。研究人员提出了三种潜在的攻击方式,称威胁可来自内部或外部网络,另一项甚至威胁到了网络本身的安全措施。
Armis 表示,URGENT / 11 对工业和医疗保健行业造成了最大的风险,因其广泛使用运行 VxWorks 的设备。
好消息是,风河公司已在 7 月 19 日发布的补丁中进行了修复。坏消息是,使用 RTOS 的设备,并不能简单地执行应用软件更新。
来源:cnBeta.COM
更多资讯
谷歌 Titan 安全密钥套件在加拿大、法国、日本和英国市场推出
谷歌今天宣布旗下的 Titan 安全密钥套件已经在加拿大、法国、日本和英国市场推出,而此前这款带有蓝牙按键和标准 USB-A 插口的安全密钥仅在美国地区上市发售。售价方面,在美国,Titan 套装的售价为 50 美元;在加拿大价格为 65 加元;在法国为 55 欧元;英国为 50 英镑;日本为 6000 日元,均包邮送货。
来源: cnBeta.COM
详情链接: https://www.dbsec.cn/blog/article/4833.html
iOS 12.2 封堵的几个漏洞由谷歌 Project Zero 团队提交
上周苹果推出了 iOS 12.4 正式版,这一版本除了带来新的 iPhone 迁移功能和为 Apple Card 做准备之外,还封堵了一些系统漏洞。按照惯例,每个系统版本更新都会顺带修复一些 BUG,这是十分正常的行为。但有趣的是,苹果在刚刚发布的 iOS 12.4 中封堵的个别漏洞却是由来自谷歌的 Project Zero 团队成员发现的,而且“价值不菲”。
来源: 威锋网
详情链接: https://www.dbsec.cn/blog/article/4835.html
外媒:第一投资数据泄露事件比它看起来更复杂
当地时间周一晚上,第一投资及其客户得到了一些非常糟糕的消息。该公司遭遇大规模数据泄露事件,大约1亿美国和加拿大用户的社会安全号码和帐户详细信息遭泄露。纽约州司法部长已经宣布对第一投资的泄露事件展开调查,但更广泛的故事是熟悉的:一家大公司让许多敏感数据丢失,客户承担了大部分风险。
来源: cnBeta.COM
详情链接: https://www.dbsec.cn/blog/article/4836.html
2/3 机构不设网络安全部门,澳洲已成国际黑客实验乐园
澳大利亚网络安全智库“Security In Depth”发布 2019 年度报告,指出了该国网络安全面临的严重问题。数据显示,自去年2月以来澳大利亚数据泄露事件激增 700%,预计在 2019 年会造成 70 亿澳元的损失。
来源: 界面
详情链接: https://www.dbsec.cn/blog/article/4837.html
(信息来源于网络,安华金和搜集整理)