Geekly articles weekly

安全周41:好消息

在信息安全行业,这已经足够了。 最新的黑客工具,软件和硬件保护系统中的重大故障-或完全没有这些相同的系统。 带有恶意附件和网络钓鱼,密码学家和其他无稽之谈的垃圾邮件的日常作法-不像最复杂的网络攻击那样有趣,但必须经常加以处理。

发现密码与您的路由器不匹配是关于如何检测前门的锁被破坏的信息。 然而,尽管应该认真对待网络威胁,但有关安全的真正工作始于每个人停止挥舞并说出无法打印的文字并着手开展业务的那一刻。 我们更新了路由器,对员工进行了网络钓鱼培训,并建立了针对密码学家的保护措施。 即使在IS一切都不好的时刻,也可以想象它应该是如何好,而不急于迈向美好的未来。 今天是个好消息摘要:Google修复了Android安全性,Cisco修复了Webex,Wordpress修复了Wordpress。

让我们从直截了当的新闻开始:根据The Verge的说法,Google在安全性的单独段落中补充了基于Android操作系统的智能手机制造商的合同义务。 从2019年1月31日开始,所有售出超过十万本的新手机应在发布后的两年内定期收到安全补丁。 因此,将要求或多或少流行电话的制造商准备和分发这些补丁。


于2015年引入了提供补丁程序以解决安全问题的做法-首先是针对Google自己的手机,然后是其他制造商。 三年前,当优先考虑新功能并且“很幸运”修补了安全漏洞时,谷歌开始偏离传统的为智能手机准备更新的计划。 Android 8.0 Oreo中引入了 Project Treble,以通过代码库的片段化来改善这种情况。 如果在此之前供应商不急着发布补丁程序,因为担心与他们自己的代码发生冲突,那么现在功能和安全性终于(或类似的东西)分离了。 关闭漏洞变得更加容易。


不是每个人都利用了这些好处。 首先,基于第八版(或更高版本)Android的有源设备仍然很少。 其次,正如安全研究实验室在4月份发现的那样 ,并非所有供应商都定期发送每月安全补丁。 是时候采取组织行动了。 当然,提高安全性的理想方法是开发一种技术,使它或多或少地独立运作。 但这并不总是可行的,因此现在要求供应商支持该设备至少两年。 关于Android的另一个好消息:针对Google Play上的恶意应用程序的斗争仍在继续。 从官方的Google商店中删除了近三打应用程序,这些应用程序具有相对有用的功能以及以SMS拦截的形式提供的其他功能。

更多好消息。 思科已修复 Webex电话会议系统中的一个危险错误。 Webex通常需要安装客户端软件,该软件会拦截来自浏览器的请求,并确保将视频流,台式机扬声器的内容等传送到用户计算机。 即使您不使用电话会议,客户端也会持续工作,并且反复发现他可以向系统添加几个额外的攻击媒介。 早在9月,就发现并关闭了一个漏洞,其中使用WebExService.exe进程来增加特权(如果已经可以作为普通用户访问系统)。 上周,一个名为SkullSecurity的研究人员发现了一个类似的错误。 他研究了WebExService如何启动客户端更新过程,并能够重定向此功能以启​​动具有系统特权的任何进程,甚至具有远程操作的理论可能性。 我建议阅读原始研究 ,它详细描述了使用IDA Pro进行代码研究的过程,充满了眼泪和失望,但最后成功启动了计算器。


最后,有关Wordpress的好消息:此引擎上96%的网站都使用现代版本的软件。 就在上周,我们查看了 Wordpress版本统计信息,并得出了类似的结论。 还是没来。 96%的Wordpress网站实际上使用的是4.x版本,但是最新版本的4.9使用的版本略高于70%,而且此发行版已有一分钟的历史了。 在DerbyCon会议上,Wordpress开发人员显然决定也将重点放在积极方面,并告诉他们如何实现这一(无论如何)非常好的指标。 自动引擎更新系统(它不能在所有实现中正常运行,它有帮助,取决于管理员用户),以及Google Search Console中的安全通知和“ 潮”评级。


Tide是一套评估插件安全性的自动化测试。 假定潮汐等级最终将显示在插件的用户等级旁边(如屏幕截图所示),这会激励开发人员更加可靠地进行编码 。 到目前为止,该等级尚未得到证实,该系统仍在开发中,根据该项目网站上的注释判断,版本1.0尚未发布。 根据定义,自动测试无法找到所有漏洞,但这不是他们的任务。 快速评估代码是否存在众所周知的安全问题已经是一个不错的起点。 此外,在Wordpress上黑客站点的真实案例最经常是通过易受攻击的扩展来发生的。 此外,如果用户的站点使用了不再受支持的PHP 5.6语言版本,则Wordpress现在将警告用户。 对于提供“开箱即用的Wordpress”的公司的客户有用的功能。 热门话题: W3Techs称,在发布之时,超过60%的网站都在使用PHP的第五版。


对所有人都好!

免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。

Source: https://habr.com/ru/post/zh-CN428123/

More articles:


All Articles