The Good 還有什麼能比新的安全功能更好? 當然是請求用戶在開發和推出產品時加入他們的需求! 為了提高瀏覽器的安全性和用戶的參與度,Mozilla 本周宣布將最近的 HTTP-over-HTTPS(DoH)功能開放一個公開的“評估期”。 簡單來說呢:DNS 是瀏覽器 “lookup” 域名實際 IP 地址的方法,例如 sentinelone.com。 但是,這些 lookup 是通過各種 gateway 和伺服器在整個網路中傳播的,而完全是未加密的。 這意味著這些點中的每一個都可能 “嗅到” 並干擾查找。 使用DoH(發音為“dough 就像麵團一樣”),DNS 的 "lookup", 通過 HTTPS 於請求的瀏覽器與 DNS resolver 之間進行加密。 Source: Mozilla 所以這有什麼好不喜歡的? 嗯,或許 ISP 廠商不是挺喜歡,因為這可能會破壞廣告置入用戶瀏覽請求的能力。 還有其他的例如讓安全工具更難監視和過濾惡意 Web 流量。 而在英國,當局通過過濾掉提供非法內容的網域,將 DNS 用作打擊兒童色情的工具。 考慮到這些問題以及 DNS 過濾的許多不同案例,Mozilla 採取了受歡迎的方式:部署並徵詢大家的意見,意見徵詢將持續至2021 年 1 月 4 日。 該公司表示,他們希望 “取得大眾想法,建議和見解,以幫助我們最大限度地提高實施 DoH 的安全性和增強隱私的利益”。 他們接著說,“我們歡迎任何關心健康,權利保護和安全的 Internet 增長的人做出貢獻”。 蘋果,你有聽到嗎? The Bad 當我們討論網路安全的同時,本週的壞消息就是託管網路解決方案提供商 Managed.com 被 REvil 攻擊。 儘管最初的攻擊似乎規模有限,但該公司很快不得不拆除了整個網路託管基礎架構,並影響了 WordPress 等其他企業。 Managed.com 表示,他們正在努力解決並與執法機構合作,試圖確定參與攻擊的個體。 這不僅僅是出於公共責任感; 這近乎是一項要求,因為公司企業需要確保,如果他們考慮向攻擊者付款,他們將不會面臨因為與這些被禁實體打交道而遭受到法律制裁。 BleepingComputer 表示,攻擊者很可能是 REvil,他們要求支付 500,000 美元的贖金來取得解密。 Source: BleepingComputer 目前尚無任何表示 Managed.com 與攻擊者有任何聯繫。 根據他們的官方聲明,公司表示:“技術和信息安全團隊正在努力消除威脅,並使我們的客戶恢復到最大能量。” The Ugly 自 2020 年初新冠肺炎以來,視頻會議程式在安全性方面受到了很多審查,例如 Zoom 佔據了在早期的大部分問題。 但是,他們面臨的問題可能遠不及 CiscoWebex 最近出現的三個漏洞那麼嚴重。 來自 IBM 的研究人員發現,Webex 可能會被隱形的參與者 “困擾”。這些不請自來的 “幽靈” 來賓可以參與會議,但不會出現在參與者名單中,即使主持人試圖將它移除也沒有用。 最重要的是,第三個漏洞是無需加入會議就可以收集有關其他與會者的信息。 據研究人員稱,這些漏洞存在於 Cisco Webex 處理客戶端的應用程式及 Webex 伺服器間的 “handshake” 過程的方式中,並影響到預定會議和 Webex Personal Room。 漏洞在多個平台上得到了證明,包括 Windows,macOS 和 iOS。 IBM 聲稱,現在員工每月在虛擬會議上花費的時間超過 50 億分鐘,這類缺陷極易成為攻擊者的目標。 Source: IBM Research 但是,目前尚無證據顯現攻擊者在濫用這些漏洞,Cisco 已經發布了針對 Cisco Webex 伺服器和所有受影響的客戶端應用程式的 security patches。 建議 Cisco Webex 客戶和伺服器端的用戶立即進行修補。
同時,研究人員針對該漏洞已 filed 三個 CVE: CVE-2020-3441,CVE-2020-3471 和 CVE-2020-3419。
0 Comments
Your comment will be posted after it is approved.
Leave a Reply. |
Categories
All
Archives
January 2021
|