比特币钱包JSONRPC接口漏洞紧急修复 智能手机应用可被利用让工厂爆炸

2018.01.13 周六

安全资讯

资讯要点

消灭CPU漏洞！AMD：Ryzen和EPYC平台的BIOS更新本周放出：AMD首席技术官Mark Papermaster更新了《AMD处理器安全性说明》（中文页面尚未上线）。对于Spectre漏洞中的V1（绕过边界检查），AMD依然认为可以通过操作系统和软件层面的更新解决掉。

美国众议院将于当地时间2018年1月9日讨论了一项法案，要求美国国土安全部（DHS）提交网络漏洞披露报告，描述网络漏洞披露的政策和程序，即美国政府如何决定是否利用新发现的计算机软件漏洞攻击美国对手或向制造商披露漏洞。这项名为“网络漏洞披露报告法案”于2017年9月通过美国国土委员会的投票表决，它将为特朗普政府计划发布的“漏洞公平裁决程序（Vulnerabilities Equities Process，VEP）”年度报告提供法律保障。目前这项法案已经获得通过，下一步将提交美国参议院审议。

美国司法部向俄亥俄州黑客菲利浦·杜兰琴斯基提起指控，称其编写Fruitfly恶意软件监视Mac用户。据称，现年28岁的俄亥俄州男子杜兰琴斯基正是十年前出现的Mac恶意软件的始作俑者，这名黑客早在14岁时就编写出这个Fruitfly后门，该后门可用来远程监视成千上万毫无察觉Mac用户。Fruitfy是一款具备高度侵入能力的Perl恶意软件，允许攻击者悄悄控制被感染的计算机——包括其摄像头与麦克风，进而查看屏幕中的显示内容、控制键盘与鼠标并以远程方式下载文件。

大量比特币钱包暴露，开发商 Electrum 紧急修复 JSONRPC 接口漏洞：知名钱包开发商 Electrum 近期针对其比特币钱包的 JSONRPC 接口漏洞发布了安全补丁。 据悉，该漏洞允许托管 Electrum 钱包的恶意网站通过 Web 浏览器窃取用户的加密货币，研究人员猜测这可能与 JSONRPC 接口中的密码暴露有关。此外，攻击者还可以利用该漏洞获得私人数据，例如比特币地址、交易标签、地址标签、钱包联系人等信息。目前该漏洞影响了几乎所有平台上的 Electrum 2.6 – 3.0.4 版本。研究人员建议用户应升级其 Electrum 软件，并停止使用旧版本。

黑客或能利用智能手机应用让工厂爆炸：两名安全研究人员 Alexander Bolshev 和 Ivan Yushkevich 去年从 Google Play 里随机选择了 34 款企业应用进行研究，应用的开发商包括工业控制系统供应商西门子和施耐德电气。他们从应用里发现了 147 个安全漏洞。研究人员没有披露哪家公司的情况最严重，也没有披露存在漏洞的具体应用。研究人员表示只有两个应用没有发现漏洞。他们发现的一些漏洞允许黑客干扰应用与机器或关联进程之间的数据流。举例来说，通过干扰数据，工程师可能会误以为实际已过热的机器仍然运行在安全温度阈值内。另一个漏洞允许攻击者在移动设备上植入恶意代码，向控制机器的服务器发出恶意指令。严重的话可能会造成流水线的混乱或导致炼油厂发生爆炸。这只是极端的假设。研究人员表示他们已经联系了相关企业，其中一些已经修复漏洞，另一些则没有回应。

国际要闻

消灭CPU漏洞！AMD：Ryzen和EPYC平台的BIOS更新本周放出

https://www.easyaq.com/news/2031551732.shtml

美国“0Day漏洞披露法案”已获得众议院通过

https://www.easyaq.com/news/951590875.shtml

14岁黑客开发Fruitfly后门监视Mac用户13年

https://www.easyaq.com/news/866913479.shtml

大量比特币钱包暴露，开发商 Electrum 紧急修复 JSONRPC 接口漏洞

http://hackernews.cc/archives/19583

黑客或能利用智能手机应用让工厂爆炸

https://www.solidot.org/story?sid=55201

信息安全 · 选择安恒

www.dbappsecurity.com.cn