61阅读

心脏出血漏洞-站长网播报:Bash漏洞比“心脏流血”更大?网站流量年增37倍

发布时间:2017-08-16 所属栏目:心脏出血漏洞利用工具

一 : 站长网播报:Bash漏洞比“心脏流血”更大?网站流量年增37倍

  1. 新发现Bash软件安全漏洞 威胁恐比“心脏流血”更大 

1

  北京时间9月25日消息,据路透社报道,网络专家周三警告称,他们在广泛使用的Linux软件Bash中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的“心脏流血”(Heartbleed)漏洞更大。

  Bash是一款软件,被用于控制众多Linux电脑上的命令提示符。安全专家称,黑客可以利用Bash中的漏洞完全控制目标系统。

  美国国土安全部下属计算机紧急响应小组(US-CERT)发布警告称,Bash漏洞将影响基于Unix平台的操作系统,包括Linux和Mac OS X。US-CERT建议电脑用户从软件开发商处获取系统更新。US-CERT称,包括红帽在内的Linux系统提供商已经准备好了更新补丁,但未提及OS X是否提供系统更新。苹果发言人无法取得联系。

  2. 快播被查服务器藏数万淫秽视频 黄色视频年销售1.8亿元 

2

  记者昨天从公安部获悉,今年网络“扫黄”行动的重点案件之一的深圳快播科技有限公司(以下简称“快播”)涉嫌传播淫秽物品牟利案,近日由北京市公安局海淀分局依法移送检察机关审查起诉。

  □发布

  5名主要嫌疑人落网

  据了解,快播公司法定代表人兼总经理、快播创始人王欣等5名主要犯罪嫌疑人全部被抓获。

  公安机关今年4月接到举报以及相关部门移交的线索后,公安部高度重视,实行挂牌督办,部署北京、广东等地公安机关统一行动,查扣了一批服务器、电脑等涉案工具,先后抓获吴某、牛某等10余名涉案人员。案发后,王欣潜逃至境外。公安部协调国际刑警组织发布红色通报,8月上旬,王欣在韩国被抓获并被押解回国。

  3. 喜马拉雅创始人自述:一年半获取7000万用户网络电台颠覆广播业 

3

  2012年11月,喜马拉雅电台网站上线。2013年2月份,推出ios客户端。

  在当时团队不看好音频领域的情况下,联席CEO余建军重组团队,并在网络主播和传统电台DJ种子用户的带动下,用户量迅速大增,一年半总用户量已将近7000万,并稳定上涨中。

  喜马拉雅之前曾获得证大集团1500万元天使投资,今年5月获SIG、KPCB等1150万美元A轮融资。在各类电台纷纷崛起的今天,余建军称他们优势在于内容全面丰富及各部门配合紧密。

  余建军向《创业家》&i黑马介绍,他把喜马拉雅电台的定义为“音频淘宝”,他希望能让喜马拉雅成为自媒体人的音频平台,并借助喜马拉雅的服务,完成商业化。

  4. 如何让网站流量在一年中增长37倍 

4

  并不是所有创业者都意识到了网站的流量是能够进行创造、管理、计划和交付的。你仅仅是跟用户,更重要的是,为你的产品进行支付的人差不多而已。

  如果我问你将怎样制定计划让网站流量在一年中增长37倍的话,你一定觉得我疯了,并且会让我滚开。那如果我将问题换成是该怎样让网站流量每天增长一个百分点的话呢?这个听起来合理吧?对吧?好消息来了:这两个问题实际上说的是同一件事情。吃惊吧?

  以下就是你需要做的7件事情:

  1、兄弟,开始收费吧。如果你不让用户付费的话,那么你将永远不知道自己所打造的产品的真正价值是多少。到了最后,现金是价值最好的代言人。

  5. 腾讯趣驾WeDrive不怕阿里马云!We域名价值再涨 

5

  9月25日讯,据悉,近期才被曝收购“微众银行”相关域名webank.com的腾讯,又于昨日携手四维新图,推出车载互联网整体解决方案——趣驾WeDrive,并直言不怕才上市的阿里马云,而“We”类域名的热浪也是非常高。

  早在今年5月底,腾讯11.73亿元入股四图维新,以11.28%股份成为其第二大股东,引发各界围观。此次两者强强联合,在开拓车联网领域上推出的新品“趣驾WeDrive”,实现了统一账号、多屏共享、语音操控、微信联车、Send to Car、趣驾导航地图、趣驾T服务和开放定制等核心功能。

  6.前新东方执行总裁陈向东投身在线教育 

6

  自年初辞任新东方执行总裁一职后,陈向东的创业项目一直备受关注。9月22日晚,陈向东的在线教育项目“跟谁学”正式露面,关于其将进军K12教育领域的传闻被证实。

  单从课程类型来看,这是一个典型的K12在线教育产品,涵盖了小学、初中、高中的语、数、外、理、化等主要学科。兴趣类课程也占据了很大一部分比例,另外还包括陶艺、皮雕、太极拳、跑酷等“非主流”课程。

  7. 魅族MX4官方发货缓慢 线下专卖店搭配套餐可购现货 

7

  魅族MX4无疑是2014年9月智能手机市场的一批黑马,逆天的配置加上1799元平民售价,让MX4预定火爆!临近9月末,网上接二连三传出关于魅族MX4产能不足消息,魅族官方微博前几天也因为MX4产能不足为由,关闭了魅族MX4预定工作。

  MX4千万台预定订单,对于魅族而言,显然是难以消化。任何新款智能手机都需要一个产能爬坡阶段,魅族现在努力对魅族MX4日产能提升至6万/天,但对于庞大的订单量,还是显得杯水车薪。

  魅族在发布会后就开启了关于魅族MX4预定工作,并声称9月20日之后将会陆续对预定用户发货,截至到25日,网上很多预定的网友都在发帖抱怨为何订单迟迟不见MX4“发货提示”。显然魅族方面低估了网友对于魅族MX4的热情,弄得现在产能严重跟不上预定需求!

  8. iPhone6国行即将上市 iPhone6港版价格已跌破6000元 

111484838

  iPhone6近期售价为6500元左右,而在9月19日,iPhone6全球正式发售的当日,iPhone6 16G版本水货价格被炒到近万元,相比苹果香港官网报价5588港币(约合人民币4422元),贵了一倍。好景不长,近几天,全国黄牛市场iPhone6的价格可谓每日一降,昨天上午,16G版的售价一度跌破了6000元大关。

  iPhone6进入最后审核阶段

  9月23日,2014中国国际信息通信展览会在北京开幕,iPhone6何时正式进入中国大陆市场?有媒体采访到正在巡展的工信部部长苗圩,他说:“iPhone6已进入了最后审核阶段,现在只是时间问题,请广大网友耐心等待。”

  对于外界传言称,2015年之前iPhone6难以进入中国大陆市场一说,苗圩说:“在审核没有最终结束之前,具体时间不好说,相信很快就会有结果。”业内人士认为,iPhone6进入大陆市场应该快了。

  9. 三星Galaxy Note4本月26日国内首发 售价5199元起 

9

  目前,三星的下半年最具关注度的旗舰手机Galaxy Note4即将发售了,在九月初的IFA上三星正式发布了这款产品,相比上一代Note3,它具备了柔性屏幕技术,S Pen笔经过升级,硬件堪称最强。之前9月17日京东商城已经开始了对Note4各大版本的预售,而9月26日将是首次全球发售的日子,售价最低为5199元,随着版本的不同价格依次提高。

  三星Note4共有移动4G(N9108V)、电信4G(N9109W)、联通4G(N9106W)以及公开版(N9100),除了移动4G版之外均为双卡双待。而在售价方面,移动版也最便宜,售价5199元,电信4G版为5288元,其它两个版本均为5399元。

  10. 扒一扒互联网江湖里那些“出来混迟早要还”的故事 

10

  “出来跑,不论做过什么,迟早要还”,这句混“江湖”的经典台词,在《无间道》中屡次被吴镇宇提及。《无间道》后,这话便成了香港警匪片、枪战片、谍战片等各类型“江湖”片中的常客。

  互联网圈同样是个残酷的“江湖”:帮派林立、尔虞我诈、刀光剑影……背叛、隐忍、复仇、杀伐的桥段时常上演。“出来混,迟早要还”,在这个圈子里最不缺的就是这样的故事。

二 : “心脏出血”漏洞可致网银密码被窃

【摘要】网上支付的便捷性已被越来越多的人所接受并且使用,只要轻轻动动您的手指就可轻松完成支付。任何事物都有两面性,网上支付便捷的同时不安全性隐患也不可忽视。昨日,“心脏出血”的互联网漏洞出现在全球互联网上,网银密码可能会被窃取。

昨日,全球互联网被爆出现一个被命名为“心脏出血”的漏洞,网银、网购、网上支付、邮箱等众多网站受其影响。有国内安全专家表示,此漏洞为本年度互联网上最严重的安全漏洞,影响至少两亿中国网民。

国内各大网站昨日采取紧急修复措施, 专家建议普通用户这两天尽量别在网上修改电商、网银和支付有关的密码。

部分网站已经中招
昨日,360安全专家石晓虹表示,该OpenSSL漏洞主要影响那些需要在https开头网址登录的网站,初步评估有不少于30%的网站中招,其中包括大家最常用的购物、网银、社交、门户等知名网站。
他表示,目前国内使用https的网站都是跟支付和敏感用户数据相关的。据他了解,昨日下午,大量网站已开始紧急修复此OpenSSL高危漏洞,但是修复此漏洞普遍需要半个小时到一个小时时间,大型网站修复时间会更长一些。
昨日上午,360网站卫士的OpenSSL漏洞检测平台发现,北京大学和清华大学某项网络服务存在“心脏出血”漏洞,同时也监测到了有来自北京联通的一个IP针对这些服务进行漏洞探测,360紧急通知清华大学和北京大学进行修复。
众多网站昨日纷纷自检自查,支付宝公司表示,使用的版本没有漏洞,目前我们没有发现任何数据泄露,也没有受到任何影响。

普通用户不要过于紧张
另一位行内人士揭秘说,这个漏洞实际上出现于2012年,至今两年多,谁也不知道是否已经有黑客利用漏洞获取了用户资料;而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹,所以目前还没有办法确认哪些服务器被入侵,也就没法定位损失、确认泄露信息,从而通知用户进行补救。

慧择提示:网上支付尽管便捷但安全性能还有待提升。“心脏出血”漏洞是目前全球最大的安全漏洞,但是并不会窃取所有的网银密码,只有用户在使用有漏洞的服务时才可能被窃取密码。

三 : 揭秘:Google是如何发现“心脏出血”漏洞的

揭秘:Google是如何发现“心脏出血”漏洞的_心脏出血

“心脏出血”漏洞(Heartbleed)已经过去6个月时间,这个一度被视为互联网上最严重的网络安全漏洞(现在被“破壳”取代),在目前仍不可小视。这个漏洞由Codenomicon、Google两家公司分别发现。作为最初漏洞发现者,Codenomicon公司的三名成员很早就对外公布了他们的发现经过,不过Google安全工程师一直没有透露过。

在最近一期Risky.biz播客上,Google安全工程师Neel Mehta首度揭秘了他们对“心脏出血”的发现过程。

这与Neel Mehta的工作职责有关。他说:“我在做的是OpenSSL审计工作,以及整个SSL通信层安全。”这显然是一项长期工作,Mehta没有表示他已经完成此项审计。

SSL(Secure Sockets Layer)是一个保障数据完整、安全的加密协议,它经常用在客户端与服务器之间,我们常使用的Google搜索、支付宝、微信就是使用它来保障安全。OpenSSL是SSL协议的开源实现,它们类似于Chrome与浏览器工作机制(W3C规范)之间的关系。

Mehta表示,发现“心脏出血”漏洞最主要的原因,是由于他在SSL协议栈上的一些早先发现,包括今年2月份发现的GoToFail漏洞、3月份发现的GnuTLS漏洞。

“你会感觉在SSL协议层上,可能存在更多未发现的东西。所以我很好奇它的安全现状,并顺便做了下研究。然后…”

没想到反响会如此巨大,主流媒体大多都做了报道(WSJ、Reuters、FT等)。Mehta说:“这个结果让我有些惊讶。”当时还有另一家安全公司也发现了这个漏洞,并上线了一个专门播报漏洞状况的网站。

不过Mehta对于漏洞的一些夸张说法不太感冒。在漏洞被公布后,彭博社的一篇报道提到:“美国国家安全局在他之前就知道’心脏流血’漏洞,并利用它达成过不可告人的目的。”Mehta表示不太确定这个说法,他个人认为这是不太可能的(原话为unlikely)。

不过这确实是一个问题。“心脏出血”漏洞已经存在了两年多时间,直到现在才被发现和修补,还是因为Google对自身使用的基础服务的审查。

“这可能是到达了一个临界点。”Mehta说,“在斯诺登揭秘美国国家安全局的大规模窃听计划后,加密在过去一年被越来越重视。今年早些时候我们就发现了一大堆问题,接下来由于大家的重视,在这方面会有更多的发现。”

在斯诺登揭秘中,美国国家安全局曾经窃听过Google数据中心之间的加密数据,并成功破解。

Mehta还谈到了“破壳”漏洞(Shellshock),他认为这是比“心脏出血”漏洞更为严重。

这些漏洞之所以严重,是由于类似bash、OpenSSL的开源软件被广泛应用于全球数亿设备之上。他怀疑其它软件——被其称之为“用胶水贴合在一起”的软件,可能还存[www.61k.com]在着很多长年未被发现的问题。例如Zlib,一个在很多软件中使用的压缩库;libjpeg,一个被广泛应用的JPEG库文件。

“libjpeg库中的bug,将会有巨大的影响。”Mehta说道。

source:smh

四 : Shellshock漏洞威胁超心脏出血:已被黑客攻击

新浪科技讯 北京时间9月26日上午消息,研究人员周四发布警告称,黑客已经开始利用最新的“Shellshock”电脑漏洞,借助蠕虫病毒扫描有漏洞的系统,然后感染这些系统。

影响范围

Shellshock是继今年四月的“心脏流血”漏洞之后,业界发现的首个重大互联网威胁。由于后者所影响的OpenSSL加密软件被用在全球大约三分之二的网络服务器中,因此影响范围十分广泛。

最新的这项漏洞的威胁程度之所以堪比“心脏流血”,一定程度上是因为Shellshock所影响的Bash软件,同样被广泛应用与各类网络服务器以及其他电脑设备。

但安全专家表示,由于并非所有运行Bash的电脑都存在漏洞,所以受影响的系统数量或许不及“心脏流血”。不过,Shellshock本身的破坏力却更大,因为黑客可以借此完全控制被感染的机器,不仅能破坏数据,甚至会关闭网络,或对网站发起攻击。

与之相比,“心脏流血”漏洞只会导致数据泄漏。

科技行业正在加紧确定哪些系统可能会被黑客远程利用,但目前还无法估算受影响的系统数量。“我们其实并不知道传播范围有多广,这可能是近年来最难评估的漏洞之一。”知名互联网安全专家丹·卡明斯基(Dan Kaminsky)说。

专家表示,要成功发起攻击,目标系统必须接入互联网,而且要在Bash之外运行第二组有漏洞的代码。

“有关哪些系统会受影响出现了很多猜测,但我们还不知道答案。”网络安全公司BeyondTrust CTO马克·麦福利特(Marc Maiffret)说,“这有可能会在未来几周或几个月逐渐明确。”

目标设备

保险公司AEGIS的网络安全专家乔·汉考克(Joe Hancock)表示,他担心家用宽带路由器,以及用于管理关键基础设施的控制器,都有可能遭到攻击。

“在某些领域,问题可能很难修复,因为很多嵌入式设备无法进行定期升级,甚至根本打不了补丁。”汉考克说。

安全软件开发商Rapid7首席研究官摩尔(HD Moore)表示,大概需要花费数周甚至数月才能判断漏洞的具体影响。

“我们目前还不知道自己究竟有什么尚不了解的事情,但我们希望,随着厂商和研究人员开始评估其产品和服务的流程,可以挖掘出更多漏洞信息。”摩尔在电子邮件中说,“今后几年可能会不断看到该漏洞所引发的问题。”

Linux开发商已于周三针对该漏洞发布了补丁,但安全研究人员却在这些补丁中发现了瑕疵。例如,有专家称,全球第一大Linux厂商红帽发布的补丁“不完善”。

“问题在于,现在已经过去24小时了,但我们还在原地踏步。”网络安全公司Rook Security首席安全顾问麦特·冈沃(Mat Gangwer)说,“人们似乎很惊恐。他们理应惊恐”

蠕虫攻击

俄罗斯安全软件开发商卡巴斯基报告称,一种电脑蠕虫已经开始感染存在Shellshock漏洞的电脑。

卡巴斯基研究员大卫·雅各比(David Jacoby)表示,恶意软件可以控制被感染的设备,发起DoS(拒绝服务)攻击,从而导致网站瘫痪。除此之外,还可以扫描路由器等其他存在漏洞的设备。但雅各比并不清楚攻击发起人的身份,也无法确定具体的受害者。

网络安全公司AlienVault实验室主任杰米·布拉斯考(Jaime Blasco)表示,他也发现了相同的恶意软件,以及另外一个利用Shellshock漏洞发起DoS攻击的蠕虫。

“心脏流血”是开源加密软件OpenSSL的一个漏洞,由于全球有三分之二的网站使用OpenSSL,所以可能导致数百万用户的数据面临风险。已经有数十家科技公司针对成百上千款使用OpenSSL的产品发布了安全补丁。(书聿)

五 : 安全专家发现新漏洞:影响或超“心脏流血”

新浪科技讯 北京时间9月25日早间消息,网络安全专家周三警告称,在Linux系统中广泛使用的Bash软件中发现的一项安全漏洞,对电脑用户造成的威胁,可能比今年4月发现的“心脏流血”漏洞更为严重。

安全专家表示,Bash是一款在很多Unix电脑中用于控制命令提示符的软件,黑客可以借助Bash中的漏洞完全控制目标系统。

美国国土安全部下属的美国电脑紧急响应团队(以下简称“US-CERT”)发出警告称,这一漏洞可能影响基于Unix的操作系统,包括Linux和苹果Mac OS X。

网络安全公司Trail of Bits CEO丹·奇诺(Dan Guido)表示,黑客可以借助“心脏流血”漏洞窃取电脑信息,但却无法完全控制电脑。“这项新漏洞的破解方法也更容易,你只需要复制/粘贴一行代码即可。”

供职于网络安全公司Rapid7的工程师托德·贝尔德斯利(Tod Beardsley)警告称,该漏洞的严重性达到了“10级”,意味着它的影响在各类漏洞中处于最高级别,而它的破解难度却“很低”,因此只需要借助相对简单的方式即可发起攻击。

“攻击者有可能借助这一漏洞控制系统,获取机密信息,甚至修改设置。”贝尔德斯利说,“任何使用Bash的系统都应该立刻打补丁。”

US-CERT建议电脑用户通过软件厂商获取系统升级。该机构还表示,红帽等Linux系统开发商已经准备好了这样的更新,但并未提及OS X的升级问题。苹果发言人尚未对此置评。

谷歌安全研究员塔维斯·奥曼迪(Tavis Ormandy)在Twitter上表示,这些补丁似乎“不完善”。但他并未给出详细评论,但一些安全专家称,在Twitter上发表过于简单的技术评论会引发担忧。

“这意味着即使打了补丁,有些系统依然会被攻破。”安全软件开发商Veracode CTO克里斯·韦索帕尔(Chris Wysopal)说。

他表示,各大企业的安全团队已经花了一整天来检查网络,寻找存在漏洞的设备,并给其打上补丁。如果补丁被证明无效,他们可能采取其他方法措施减少潜在攻击。

“所有人都在努力给所有接入互联网的Linux设备打补丁,Veracode今天同样在从事这一工作。”他说,“对于规模庞大、网络复杂的组织而言,可能需要很长时间才能完成这项工作。”

今年4月发现的“心脏流血”漏洞存在于OpenSSL开源加密软件中。由于全球约有三分之二的网站使用OpenSSL,导致数百万网民的用户数据面临威胁。因为影响范围巨大,还迫使数十家科技公司针对数百款使用OpenSSL的产品开发了安全补丁。

Bash是一个壳,或称命令提示符软件,由非营利组织“自由软件基金会”开发。该组织尚未对此发表评论。(鼎宏)

本文标题:心脏出血漏洞-站长网播报:Bash漏洞比“心脏流血”更大?网站流量年增37倍
本文地址: http://www.61k.com/1111280.html

61阅读| 精彩专题| 最新文章| 热门文章| 苏ICP备13036349号-1