GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞

Posted 安恒信息每日资讯

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞相关的知识,希望对你有一定的参考价值。

 2018.01.26 周五 

安全资讯

GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞


资讯要点

安全专家发现超过 3.3 万 个希捷 GoFlex 家庭网络存储 ( NAS ) 设备容易暴露于公网,或引来跨站脚本(XSS)和中间人(MitM)攻击。虽然目前希捷已经修补了 Personal Cloud 和 GoFlex 产品中的 XSS 漏洞,但仍有一些问题尚未解决。GoFlex 家庭 NAS 设备在 seagateshare.com 上运行了一个可访问的 Web 服务,允许用户远程管理设备及其内容,并且可以通过设备名称和登录凭证来访问存储。

谷歌黑客  Tavis Ormandy 于近期发现暴雪游戏中存在一个严重漏洞,导致数百万台电脑遭到 DNS Rebinding (DNS 重绑定)攻击,从而允许攻击者在游戏玩家的电脑上远程执行恶意代码。目前,暴雪公司在其客户端版本 5996 中加入了部分缓解措施,并表示后续推出的补丁会采取更多稳定的主机白名单机制。

Electron 框架是 GitHub 团队在2013年开发的,旨在帮助开发 Atom 编辑器,自诞生以来一直备受热捧。本周一,Electron 团队表示已发布补丁修复了该框架中的一个远程代码执行漏洞。这个远程代码执行漏洞存在于Electron框架 app.setAsDefaultProtocolClient API中,周一在Electron 版本 1.8.2-beta.4、1.7.11和1.6.16中已予以修复。开发人员也已经为尚无法更新至最新版本的 App 开发人员提供了一个快速缓解措施,提供了临时修复方案,阻止攻击者利用该漏洞,不过安全专家认为攻击者很快就会找到相应的攻击对策。

Windows 10 将向用户提供一个应用,跟踪微软从设备上收集的数据。被称为 Diagnostic Data Viewer 的应用已经提供预览版测试者,用户可以从应用里一览 Windows 10 收集的所有诊断数据。它能显示各种不同类型的诊断数据,包括 Common Data (操作系统版本,设备 ID/类型等), Device Connectivity and Configuration data (设备功能、用户设置、外围设备和网络信息), Product and Service Performance (设备健康、性能、可靠性数据),,Product and Service Usage (设备、应用和操作系统使用数据),Software Setup and Inventory (更新信息),它还提供了搜索功能可以搜索特定项目信息。


国际要闻


希捷 GoFlex 家庭存储设备的 SaaS web 服务受 XSS 和 MitM(中间人)攻击威胁

http://hackernews.cc/archives/20160


暴雪游戏一客户端严重漏洞或遭 DNS Rebinding 攻击,可远程执行任意代码

http://hackernews.cc/archives/20149


Electron JS框架存在严重RCE漏洞 Github等App受影响

http://www.360zhijia.com/360anquanke/343757.html


Windows 10 将让用户跟踪微软收集的数据

https://www.solidot.org/story?sid=55336


信息安全 · 选择安恒

www.dbappsecurity.com.cn

GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞


以上是关于GoFlex家庭网络存储设备受XSS和MitM攻击威胁 暴雪游戏存在严重漏洞的主要内容,如果未能解决你的问题,请参考以下文章

如何在 Android 上使用 OWASP ZAP 进行 MiTM 攻击?

几种常见的网络攻击方式

XSS学习笔记

XSS DOM 易受攻击

浅谈MITM攻击之信息窃取(解密315晚会报道的免费WIFI窃取个人信息)

2017-2018-2 20155315《网络对抗技术》免考四:中间人攻击