GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞

Posted 2021-04-29 安恒信息每日资讯

 2018.01.26 周五 

安全资讯

资讯要点

安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网，或引来跨站脚本（XSS）和中间人（MitM）攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞，但仍有一些问题尚未解决。GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务，允许用户远程管理设备及其内容，并且可以通过设备名称和登录凭证来访问存储。

谷歌黑客  Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞，导致数百万台电脑遭到 DNS Rebinding （DNS 重绑定）攻击，从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前，暴雪公司在其客户端版本 5996 中加入了部分缓解措施，并表示后续推出的补丁会采取更多稳定的主机白名单机制。

Electron 框架是 GitHub 团队在2013年开发的，旨在帮助开发 Atom 编辑器，自诞生以来一直备受热捧。本周一，Electron 团队表示已发布补丁修复了该框架中的一个远程代码执行漏洞。这个远程代码执行漏洞存在于Electron框架 app.setAsDefaultProtocolClient API中，周一在Electron 版本 1.8.2-beta.4、1.7.11和1.6.16中已予以修复。开发人员也已经为尚无法更新至最新版本的 App 开发人员提供了一个快速缓解措施，提供了临时修复方案，阻止攻击者利用该漏洞，不过安全专家认为攻击者很快就会找到相应的攻击对策。

Windows 10 将向用户提供一个应用，跟踪微软从设备上收集的数据。被称为 Diagnostic Data Viewer 的应用已经提供预览版测试者，用户可以从应用里一览 Windows 10 收集的所有诊断数据。它能显示各种不同类型的诊断数据，包括 Common Data (操作系统版本，设备 ID/类型等）, Device Connectivity and Configuration data (设备功能、用户设置、外围设备和网络信息), Product and Service Performance (设备健康、性能、可靠性数据),，Product and Service Usage (设备、应用和操作系统使用数据)，Software Setup and Inventory (更新信息)，它还提供了搜索功能可以搜索特定项目信息。

国际要闻

希捷 GoFlex 家庭存储设备的 SaaS web 服务受 XSS 和 MitM（中间人）攻击威胁

http://hackernews.cc/archives/20160

暴雪游戏一客户端严重漏洞或遭 DNS Rebinding 攻击，可远程执行任意代码

http://hackernews.cc/archives/20149

Electron JS框架存在严重RCE漏洞 Github等App受影响

http://www.360zhijia.com/360anquanke/343757.html

Windows 10 将让用户跟踪微软收集的数据

https://www.solidot.org/story?sid=55336

信息安全 · 选择安恒

www.dbappsecurity.com.cn