零日漏洞(有第三方抢先发布的补丁么)

精英怪
广告

零日漏洞,有第三方抢先发布的补丁么?

几天前,外媒爆料称 Internet Explorer 存在一个可能被黑客利用的安全漏洞。

零日漏洞(有第三方抢先发布的补丁么)

借助某些文件处理中的 bug,它可以窃取用户的文件。但最令人害怕的是,就算你不是 IE 浏览器的用户,也会受到这个漏洞的影响。

鉴于微软没能第一时间发布漏洞修复补丁,坐不住的第三方已经抢先推出了针对 Windows 10 平台的小补丁(micro-patch)。

(题图 via BetaNews)

据悉,ACROS Security 的安全专家,通过其 0patch 平台发布了这个 IE 浏览器补丁,以宽慰那些担惊受怕的 Windows 10 用户。

对于某些人来说,第三方补丁的可靠性确实尚未得到官方的认证。但鉴于本次曝出的是一个非常严重的漏洞、且微软没有给出正式修复的确切时间,ACROS 的临时解决方案还是值得考虑一下的。

【0patching XML External Entity Injection 0day in IE】

来自 0patch 团队的 Mitja Kolsek,在一篇博客文章中解释了这个问题的严重性,并且附上了免费补丁的下载地址。ACROS Security 表示:

尽管我们认为微软也意识到了问题的严重性、迟早会推出官方的修复补丁,但我们还是希望尽快为用户提供安全防护,以避免这个零日漏洞被别有用心的人所利用。

目前 ACROS Security 已经发布了面向 Windows 10 1803 和 1809 的 micro-patch 补丁,有需要的用户可以通过 0patch Agent 工具进行下载。

IBM为何不愿修复第三方免费提交的IDRM零日漏洞?

由于被告知后拒绝修补,安全研究人员今日发布了影响 IBM 磁盘风险管理(IDRM)这款企业安全工具的四个零日漏洞。

据悉,IDRM 能够汇总来自漏洞扫描工具和其它风险管理工具的提要,以便管理员调查安全问题。

正如 Agile 信息安全公司研究主管 Pedro Ribeiro 所指出的那样,IDRM 是一款能够处理相当敏感信息的企业安全产品。

遗憾的是,有关 IDRM 产品本身的漏洞,却可能导致企业遭受全面的损害。因其具有访问其它安全工具的凭据,更别提汇总了有关企业的关键漏洞信息。

Ribeiro 表示,其在 IDRM 中发现了四个漏洞,并且与 CERT / CC 计算机安全响应团队合作,通过官方披露程序向 IBM 汇报了这些问题。

然而即便被告知四个漏洞的严重性,IBM 方面的回应却有些匪夷所思 —— 该产品仅用于客户的‘增强’支持,在评估之后,我们不认为他在漏洞披露程序的范围之内。

我司已在 https://hackerone.com/ibm 上概述了相关政策,想要获得该项目的参与资格,你不能在提交前六个月、根据合同对 IBM 公司或客户执行安全性测试。

直到今天,研究人员仍不明白 IBM 为什么要摆出这样一副态度:

为何 IBM 拒绝接受免费的详细漏洞报告?

IBM 的回应到底是什么意思?是该公司仅接受来自客户的漏洞报告吗?

还是说该产品并不在支持范围内?若如此,为何还要出售给新客户?

要知道它们销售的可是企业级的安全产品啊!怎么还能如此不负责任呢

Ribeiro 补充道:“作为一家市值数十亿美元、向世界级大企业出售安全产品和咨询业务的公司,IBM 的回应实在让人难以置信”。

鉴于 IBM 无意修补这些漏洞,Agile 方面决定在 GitHub 上公布四个漏洞的详细信息,以敦促使用该产品的企业采取防范任何攻击的缓解措施。

(1)攻击者可绕过 IDRM 的身份验证机制;

(2)IDRM API 中有一个注入点,或被攻击者在应用程序上执行自己的命令;

(3)a3user/idrm 使用了硬编码的用户名和密码组合;

(4)API 中的漏洞或允许远程攻击者从 IDRM 设备上下载文件。

【更新】在今日发给 ZDNet 的一封电子邮件中,IBM 终于遗憾地承认了此事,并声称相关补丁正在开发过程中。

Zerodium为何暂停收买iOS零日漏洞?

Zerodium 是一个漏洞利用获取平台,旨在向研究人员支付一定的费用来收买零日安全漏洞,然后转手卖给政府和执法机构等客户。

然而本周,Zerodium 竟然宣布 —— 由于短期内提交的 iOS 漏洞利用程序太多,其计划在未来 2~3 个月内不再购买此类内容。

据悉,Zerodium 专注于高风险的漏洞,通常每个功能完善的 iOS 漏洞利用会被给予 10 万到 200 万美元的奖励。

Zerodium 首席执行官 Chaouki Bekrar 在一条推文中表示,iOS 的安全状况并不如大家所想的那样良好,并指出持续有一些影响所有 iPhone 和 iPad 零日漏洞利用出现。

当然,Bekrar 还是希望 iOS 14 能有所改善。除了 Zerodium 等第三方,苹果也有自己的漏洞赏金计划。

若发现 iOS、iPadOS、macOS、tvOS 或 watchOS 中的安全漏洞,将被给予 5000 到 100 万美元的奖励。

发表评论

快捷回复: 表情:
AddoilApplauseBadlaughBombCoffeeFabulousFacepalmFecesFrownHeyhaInsidiousKeepFightingNoProbPigHeadShockedSinistersmileSlapSocialSweatTolaughWatermelonWittyWowYeahYellowdog
评论列表 (暂无评论,323人围观)

还没有评论,来说两句吧...