维他命每日安全简讯

发布时间 2017-12-23

【安全漏洞】研究人员披露AT&T DirecTV WVB设备中的一个未修复的0day

趋势科技的安全研究人员披露AT&T DirecTV WVB设备中的一个未修复的0day。当用户签约AT&T公司提供的DirecTV服务时,会收到一个赠送的无线网桥(Linksys WVBR0-25)。研究人员发现该无线网桥存在一个安全漏洞(CVE-2017-17411),可被攻击者利用以获取root权限。ZDI于6个月前向Linksys报告了该漏洞,但Linksys还未修复此问题。

原文链接:http://securityaffairs.co/wordpress/66713/hacking/directv-zero-day.html

【分析报告】安全厂商发布2017年的网络安全威胁的数据分析报告

卡巴斯基实验室发布2017年的网络安全威胁的数据分析报告。据报告统计,约4%的用户在一年内至少遭到一次恶意软件类的网络攻击,199455606个不同的URL被识别为恶意URL。卡巴斯基实验室共检测到15714700个不同的恶意对象。

原文链接:https://securelist.com/ksb-overall-statistics-2017/83453/

【安全播报】研究团队称多数Android电视机顶盒运行老旧的系统版本

美国安全厂商Tripwire的漏洞研究小组(VERT)称多数Android电视机顶盒运行老旧的系统版本。这些设备的更新来自Android电视机顶盒供应商,而不是直接来自Google,研究人员称其测试的设备至少一年没有进行更新。这些设备易受Android勒索软件的攻击。

原文链接:https://www.bleepingcomputer.com/news/security/most-android-based-tv-set-top-boxes-run-old-and-insecure-os-versions/

【安全漏洞】Fortinet公司修复其产品一个严重漏洞,可利用该漏洞获取VPN证书

Fortinet公司修复其FortiClient产品一个严重漏洞,可利用该漏洞获取VPN证书。该漏洞(CVE-2017-14184)主要包含两个安全问题,第一个是VPN证书存储的位置易于访问(Linux和macOS的配置文件以及Windows的注册表),第二个是VPN证书在加密时采用了硬编码的解密密钥。

原文链接:http://www.securityweek.com/fortinets-forticlient-product-exposed-vpn-credentials

【法律法规】美国总统签署一法案,其中包括禁止美国政府使用卡巴斯基产品

美国总统特朗普签署《2018财年国防授权法案》,其中包括禁止美国政府使用卡巴斯基产品。该禁令来源于美国政府指责卡巴斯基与俄罗斯特务机关合作,利用其产品窃取美国计算机的机密数据。美国政府没有披露过任何相关证据,卡巴斯基否认了所有的指控。

原文链接:https://www.bleepingcomputer.com/news/government/trump-signs-bill-banning-kaspersky-products-on-government-computers/

【安全漏洞】Palo Alto Networks发布PAN-OS安全更新,修复多个严重漏洞

Palo Alto Networks发布PAN-OS安全更新,修复多个严重漏洞。漏洞(CVE-2017-15944)包含身份验证绕过、任意目录创建和命令注入问题,结合这些问题,未经身份验证的攻击者可通过Web界面以root权限执行任意代码。此外,漏洞(CVE-2017-15940)可导致任意命令注入。更新包中还修复了GlobalProtect for macOS中的安全漏洞(CVE-2017-15870)。

原文链接:http://www.securityweek.com/critical-flaws-found-palo-alto-networks-security-platform