全球虚拟化软件企业 VMware 修复产品多处漏洞

Posted 2021-05-02 看雪学院

全球虚拟化软件企业 VMware 修复产品多处漏洞

据外媒报道，网络安全公司 Comixuris UG 研究人员 Nico Golde 与 Ralf-Philipp Weinmann 于今年 6 月发现全球虚拟化软件研发与销售企业 VMware 的 ESXi、vCenter 服务器、Workstation 与 Fusion 产品中存在多处漏洞，允许攻击者在获取用户低等特权时执行任意代码。近期，VMware 研究人员在线发布漏洞补丁修复程序。

调查显示，上述产品漏洞中最为严重的一处与 SVGA 设备的越界写入有关，其编号为 CVE-2017-4924（ CVSS 分值为 6.2）。SVGA 是一台由 VMware 虚拟化产品实现旧版虚拟图像显卡仪器，而该漏洞允许攻击者在 SVGA 主机上执行任意代码。目前，OS X 上的 ESXi 6.5、Workstation 12.x 与 Fusion 8.x 产品普遍遭受影响。

研究人员发布的第二处漏洞（CVE-2017-4925）被列为中等危害，其主要影响 OS X 上的 ESXi 5.5、6.0、6.5 版本、Workstation 12.x 版本与 Fusion 8.x 版本。值得注意的是，具有正常用户权限的攻击者可以利用此漏洞破坏其虚拟机设备。

第三处漏洞（CVE-2017-4926）也被列为中等危害，允许具有 VC 用户权限的攻击者可以在其他用户访问 XSS 页面时执行恶意 javascript 代码。不过，研究人员发现该漏洞仅影响 vCenter Server H5 6.5 版本的客户端设备。

来源：hackernews

清理软件 CCleaner 已遭黑客入侵感染恶意后门

无论 PC 电脑还是手机，系统和各种应用软件都会产生不少垃圾数据，必须经常清理，其中在电脑上，Piriform 出品的 CCleaner 无疑是最干练、最高效的清理工具，全球安装量已超 1.3 亿，而且已经被大名鼎鼎的安全公司 Avast 收购。但是，CCleaner 最近却捅了个篓子，公司服务器在 8 月份的时候被黑客入侵，导致安装文件被感染，大量用户莫名其妙中招。

据悉，黑客入侵后在 CCleaner v5.33.6162、CCleaner Cloud v1.07.3191 两个版本的软件中植入了远程管理工具，会在用户后台偷偷连接未授权网页，下载其他软件。由于整个恶意字符串盗用了 CCleaner 的正版数字签名，这一下载行为不会引起任何异常报警，用户也毫无察觉。另外，黑客还会尝试窃取用户本机隐私信息。

Avast 直到 9 月 12 日才发现异常，当天就发布了干净的 CCleaner v5.34，三天后又升级了 CCleaner Cloud，建议使用这款软件的用户赶紧升级最新版本。

目前还不清楚有多少受害者，安全机构估计至少 200 万用户被感染。在 Avast 眼皮子底下干出这事儿，而且半个多月才被发现，真有点难以置信。

来源：cnbeta、威锋网

公安部研究所:公民网络电子身份标识拟载入手机卡

在极具开放性的网络环境中，怎样保障个人信息安全，如何识别网络真实身份？公安部第三研究所承建的eID（公民网络电子身份标识）给出了答案。近日，2017年国家网络安全宣传周拉开帷幕，公安部第三研究所在上海举行的网络安全博览会上设立展台，对eID的研发和发展进行了展示，以eID为基础的诸多应用，如不动产权自助查询、“透明食药监”平台等也可供广大观展者体验。

据公安部第三研究所的工作人员介绍，eID是由“公安部公民网络身份识别系统”签发给公民的网络电子身份标识，能够在不泄露身份信息的前提下在线远程识别身份。

eID应用于食品安全等多个领域，将载入手机卡

据公安部第三研究所工作人员介绍，eID不受载体物理形态的限制，只要载体中的智能安全芯片符合eID载体相关标准即可。eID已运用于不动产登记、食品安全、金融交易等多个领域。

全国首个将eID运用到不动产登记领域的项目将于下月在海口正式运行，届时在海口市办理不动产权证的公民将都能获得一张eID不动产权卡，在保障个人信息安全的同时，持卡人还可享受金融机构至少20万元的授信。

海口市不动产登记中心主任冯华在网络安全博览会中表示，将eID应用于不动产领域，不仅可在不泄露公民身份信息的前提下加强对不动产权人的在线识别，保障公民个人财产和隐私不受侵犯，从而保障其财产安全。同时，可在不动产登记办理过程中，极大地提高政府办事效率，简化办证工作流程，方便群众百姓。此外，使用加载eID的智能IC芯片卡，能为不动产权人提供便捷的金融服务，让老百姓普遍、实惠的享受到党和国家对百姓实施的普惠金融政策。

此前，eID网络身份运营机构金联汇通信息技术有限公司与中国食品安全指数研究办公室合作，将“eID”融入到在淮安市落地实施的“食品安全透明共治信息化系统”之中，落实了食品安全各方主体责任。

通过展台现场的电脑，现场工作人员登陆“淮安市透明和各生产管理系统”后，通过eID网络身份认证，可以准确识别生产经营者主体身份，并且实现对食品安全生产每个环节的追溯。

与此同时，eID与中国工商银行、中国建设银行、上海银行等多个银行签署合作协议，发行加载eID的金融IC卡。据工作人员介绍，目前，中国工商银行已在全国试点发行八千多万张加载eID的银行卡，只需用户在柜台或终端机开通即可使用，保障交易安全。

来源：澎湃新闻

往期热门内容推荐

• ......
  

更多详情、资讯，戳左下角“阅读原文”

或者网页浏览 看雪学院 www.kanxue.com

即可查看哦！