原标题:Debian与Ubuntu相继修补Beep套件的权限扩张漏洞
图片来源:https://holeybeep.ninja/
Debian与Ubuntu两大Linux版本于上周相继释出更新,以修补所内建Beep套件的权限扩张漏洞。
Beep套件的功能很简单,就是让作业系统在必要的时候发出嗶嗶声,且完全通过命令列控制。安全研究人员发现,在设定setuid权限后,Beep套件就会产生竞争条件,进而允许本地权限扩张,可让骇客取得系统的最高权限,探查、开启或窜改系统上的任何档案,从旧版到最新的1.3.4版本都受到波及,该漏洞编号为CVE-2018-0492,也被称为Holey△Beep漏洞。
根据估计,全球有1.86%装置安装了Beep套件,因此可能有超过1300万用户受到此一漏洞的影响。此外,相关的攻击程式不但已于网络上流传,也有人在YouTube上张贴了攻击步骤。
研究人员建议Beep套件用户应尽速更新,否则就得特别留心装置所发出的嗶嗶声,因为受到攻击时的声音与正常装置所发出的声音是不同的。
Beep套件本身已年久失修,至于Debian与Ubuntu则是借由版本更新修补了Beep漏洞。
相关:
Raspberry Pi 2专用Ubuntu释出安全更新,一次修补21个漏洞
Canonical释出用于Raspberry△Pi△2的Ubuntu△17.10重大更新,以修正存在的21项安全性漏洞,包括在Linux核心ALSA△PCM子系统与网络命名空间实作的释放后使用漏洞,还有核心钥匙圈的授权控管等安全性问题,官方呼吁使
Intel Remote Keyboard含有权限扩张漏洞,英特尔:免修补直接移除!
图片来源: Intel 英特尔(Intel)本周指出,该公司所开发的远端键盘与滑鼠程式Intel△Remote△Keyboard含有多个权限扩张漏洞,将允许骇客伪装成用户执行输入,或是摇身一变成为可执行任意程式的特权用户,然而,英特
图片来源: Talos△Intelligence 思科安全研究机构Talos△Intelligence周四指出,知名脑波仪Natus△NeuroWorks爆软件漏洞,可能让骇客存取装置上的资讯及攻击医院网络、发动阻断攻击(DoS)。?漏洞存在于Natus公司脑波
脸书持续祭出新措施,让用户对个人资讯被第三方搜集有更高的掌握度。 图片来源: Facebook 脸书于本周三(4/4)大刀阔斧地宣布9项变更,其中逾半与第三方程式或服务有关,以改善该站用户的隐私,包括严加管控活动(
示意图,与新闻事件无关。 经过几个月的赶工后,英特尔周三宣布特定旧版产品线将不会获得修补程式。?一月初Google△Project△Zero研究人员发现三项推测执行漏洞中,Spectre△变种1(CVE-2017-5753)及Meltdown(CV