GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞
Posted 安恒信息每日资讯
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞相关的知识,希望对你有一定的参考价值。
2018.01.26 周五
安全资讯
资讯要点
安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网,或引来跨站脚本(XSS)和中间人(MitM)攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞,但仍有一些问题尚未解决。GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务,允许用户远程管理设备及其内容,并且可以通过设备名称和登录凭证来访问存储。
谷歌黑客 Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞,导致数百万台电脑遭到 DNS Rebinding (DNS 重绑定)攻击,从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前,暴雪公司在其客户端版本 5996 中加入了部分缓解措施,并表示后续推出的补丁会采取更多稳定的主机白名单机制。
Electron 框架是 GitHub 团队在2013年开发的,旨在帮助开发 Atom 编辑器,自诞生以来一直备受热捧。本周一,Electron 团队表示已发布补丁修复了该框架中的一个远程代码执行漏洞。这个远程代码执行漏洞存在于Electron框架 app.setAsDefaultProtocolClient API中,周一在Electron 版本 1.8.2-beta.4、1.7.11和1.6.16中已予以修复。开发人员也已经为尚无法更新至最新版本的 App 开发人员提供了一个快速缓解措施,提供了临时修复方案,阻止攻击者利用该漏洞,不过安全专家认为攻击者很快就会找到相应的攻击对策。
Windows 10 将向用户提供一个应用,跟踪微软从设备上收集的数据。被称为 Diagnostic Data Viewer 的应用已经提供预览版测试者,用户可以从应用里一览 Windows 10 收集的所有诊断数据。它能显示各种不同类型的诊断数据,包括 Common Data (操作系统版本,设备 ID/类型等), Device Connectivity and Configuration data (设备功能、用户设置、外围设备和网络信息), Product and Service Performance (设备健康、性能、可靠性数据),,Product and Service Usage (设备、应用和操作系统使用数据),Software Setup and Inventory (更新信息),它还提供了搜索功能可以搜索特定项目信息。
国际要闻
希捷 GoFlex 家庭存储设备的 SaaS web 服务受 XSS 和 MitM(中间人)攻击威胁
http://hackernews.cc/archives/20160
暴雪游戏一客户端严重漏洞或遭 DNS Rebinding 攻击,可远程执行任意代码
http://hackernews.cc/archives/20149
Electron JS框架存在严重RCE漏洞 Github等App受影响
http://www.360zhijia.com/360anquanke/343757.html
Windows 10 将让用户跟踪微软收集的数据
https://www.solidot.org/story?sid=55336
信息安全 · 选择安恒
www.dbappsecurity.com.cn
以上是关于GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞的主要内容,如果未能解决你的问题,请参考以下文章
如何在 Android 上使用 OWASP ZAP 进行 MiTM 攻击?