谷歌的 Project Zero 安全團隊發現了這個漏洞,如果被黑客利用能夠繞過 Chromium 沙盒,運行任意代碼 。
- 作者:安華金和
谷歌的安全團隊近日發現存在於 Windows 10 May 2019(Version 1903)功能更新中的某個 BUG,能夠破壞所有基於 Chromium 瀏覽器的沙盒。想要利用這個漏洞發起攻擊比較複雜,主要是更改操作系統代碼中與安全令牌分配有關的代碼。將“NewToken->ParentTokenId = OldToken->TokenId” 更改為了 “NewToken->ParentTokenId = OldToken->ParentTokenId”。
在今天微軟發佈的安全公告(CVE-2020-0981 | Windows令牌安全特性繞過漏洞)對其進行了最簡潔的解釋:
當Windows無法正確處理令牌關係時,存在安全功能繞過漏洞。成功利用該漏洞的攻擊者可以讓具有一定完整性級別的應用程序在不同的完整性級別執行代碼,從而導致沙盒逃脫。
幸運的是,在本月補丁星期二活動日發佈的累積更新(KB4549951)中,已經修復了這個漏洞。
來源:cnBeta.COM
更多資訊
德國宣佈放棄本土方案 改用蘋果谷歌接觸者追蹤技術
據外媒報道,對於使用哪種類型的智能手機技術來追蹤新型冠狀病毒感染趨勢,德國改變了自己立場。德國於當地時間週日宣佈放棄此前堅持的本土方案,轉而支持蘋果和谷歌的方法。
來源:網易科技
Windows 10 用戶抱怨最新更新導致C盤文件被刪
Windows 10 用戶通過微軟支持論壇和社交媒體抱怨,最新更新導致了文件被刪。這不是第一次Windows 10 更新導致了用戶數據刪除。微軟是在本月中旬釋出了四月例行更新,其中累積更新 KB4549951 修復了一個拒絕服務漏洞 CVE-2020-0794,正是該補丁導致了問題。
來源:solidot.org
從蜜罐到 AI 驅動的欺騙防禦
欺騙防禦,初期的形態稱為蜜罐,通過部署偽裝的憑證、數據庫、服務器引誘攻擊者。由於有著很低的誤報率,安全人員可以依據攻擊者在蜜罐中的活動,立刻採取諸如阻攔 IP 地址、隔離感染系統等自動化的緩解措施。但蜜罐需要大量部署並儘量仿真,以騙過攻擊者,所以該項技術在可管理性和管理成本上差強人意。但隨著人工智能或機器學習的應用,能夠極大的給這項技術帶來改觀。
來源:數世諮詢
《網絡安全審查辦法》出臺 重點評估重要數據洩露風險等
據國家網信辦官方微信公眾號 27 日消息,網信辦等 12 個部門近日聯合發佈《網絡安全審查辦法》(下稱《辦法》)。《辦法》明確,網絡安全審查重點評估關鍵信息基礎設施運營者採購網絡產品和服務可能帶來的國家安全風險,包括產品和服務使用後帶來的關鍵信息基礎設施被非法控制、遭受干擾或破壞,以及重要數據被竊取、洩露、毀損的風險等。
來源:中新經緯
(信息來源於網絡,安華金和蒐集整理)
