Win10 新 bug 可让任意文件被覆写;火狐在新标签页加广告引争议
(给技术最前线加星标,每天看技术热点)
转自:开源中国、solidot、cnBeta、腾讯科技、快科技等
0、Windows 10 的新 bug 可导致任意文件被覆写
一位安全研究人员在 GitHub 发布了 Windows 10 中的一个 0day 漏洞概念验证代码。该漏洞由 SandboxEscaper 透露,他是一位之前就曾暴露过 Windows 漏洞的研究人员。最新的错误使得可以用任意数据覆盖任意文件,虽然为了利用漏洞必须满足许多标准,但它仍然可能是有严重危害的。在发布 PoC 之前,SandboxEscaper 在圣诞节那天已经向微软通报了这个问题。
概念验证表明,可以使用通过 Windows 错误报告收集的数据覆盖文件 pci.sys。攻击诸如此类的系统文件。
事实表明,攻击者可以从没有管理权限的用户帐户在目标计算机上导致拒绝服务。
SandboxEscaper 解释说,该技术可用于禁用第三方防病毒软件,病毒允许执行进一步的攻击。需要注意的是,他无法在具有单个 CPU 核心的计算机上利用此漏洞。
CERT/CC 的漏洞分析师 Will Dormann 在 Twitter 上分享了他对这一发现的看法:
作为回应,来自 0patch 的 Mitja Kolsek 驳斥了淡化问题严重性的企图:
SandboxEscaper 的 Twitter 帐户目前被暂停,但您可以在 GitHub 上找到有关该漏洞的更多信息。
1、FireFox 在新建标签页插入“片段”广告引社区争议
浏览器领域发生了很多事情,在微软宣布将 Chromium 用于 Edge 浏览器之后,Mozilla 也在做出一些有趣的变化。最新版本的浏览器已开始在新标签页中显示广告,用户社区报告确认在所有支持的桌面平台上都会出现这种情况:屏幕底部显示的一个小弹出窗口包含一个指向 Booking.com 的链接。
准备安排下一次家庭团聚?感谢 Firefox。立即预订您在 Booking.com 的下一次入住酒店,即可免费获赠20美元的亚马逊礼品卡。
点击“查找酒店”按钮可将用户带到 Booking.com。看起来这些消息只会偶尔显示,并且仅针对特定的一组用户,有点像 Mozilla 正在进行“灰度测试”,不少社区用户用尽办法无法重现这种效果。
据官方回应,Mozilla 称这些内容是一种广告“片段”(snippets),用户可以从浏览器的设置屏幕中禁用它们。可以转到“首选项”>“主页”>“代码段”以将其关闭。
Mozilla 尚未发布关于该公司是否只是在运行实验的声明。然而,Reddit 社区的用户对浏览器新标签页中显示的广告并不满意,虽然允许他们禁用该功能,但启用它的事实可能会使现有的开源浏览器用户社区更加沮丧。假期后的几天内,Mozilla 工程师应该会提供更多官方信息。
无独有偶,此前微软 Windows 就因为在操作系统的设置界面中插入应用推荐而被广泛批评,后来取消了这一测试特性。不过开始菜单中还是会偶尔弹出一些应用推荐。
2、Let's Encrypt 2019:保持强劲增长,并带来振奋人心的新功能
作为备受欢迎的安全证书颁发机构,在座的各位对 Let’s Encrypt 应该不会陌生。如今的互联网越来越不安全,各种地下黑产盛行,个人隐私不断被暴露,垃圾短信和骚扰电话接踵而来,互联网安全成为了我们最关心,同时也是最“无能为力”的心头之事。但你是否知道,我们越来越强调保护使用互联网的安全性和用户的个人隐私,背后是什么在支撑呢?如今很多网站都强制使用 HTTPS 加密协议访问,安全性有了很大的提高,最起码在数据传输的初始阶段 —— 数据包不会被劫持,保证了客户端与服务器端的通讯安全性。
Let’s Encrypt
说到 HTTPS 加密协议,就不得不提 Let’s Encrypt。Let’s Encrypt 是一家不以盈利为目的提供免费 CA 证书的机构,它旨在让全世界所有的互联网服务能够简单自动化部署加密协议,让 HTTPS 能够在所有的网站中普及。很多著名公司对其提供赞助,比如 Facebook、思科和 Mozilla 等。它是对 ACME(automated certificate management environment) 协议的实现,只要实现了 ACME 协议的客户端都可以跟它交互。
SSL 证书用于加密两点之间的数据,例如你的网络浏览器和一个网络服务器。大多数需要处理敏感信息的网站,如银行、在线商店和其他网站都需要使用 SSL 加密来保护用户通过互联网传输的数据。通常,如果网站需要支持 HTTPS 协议,网站管理员则要从 SSL 证书供应商处购买 SSL 证书,Let's Encrypt 除外。
凭借这一点,Let’s Encrypt 可谓是以一己之力为 HTTPS 的普及和推动撑起了半边天。
而在 2019 来临之际,Let’s Encrypt 项目负责人、ISRG 执行董事及前 Mozilla 雇员 Josh Aas 发文公布了 Let’s Encrypt 的 2019 年计划,并对 2018 年做了一个简短的回顾。
Josh Aas 表示 Let’s Encrypt 的 2018 是美好的一年,目前已为超过 1.5 亿个网站提供服务,同时保持着良好的安全性和合规性记录。最重要的是,根据 Mozilla 的统计数据,加密的 Web 页面在 2018 年从 67% 增加到了 77%。这是一个十分值得骄傲的增长率。
接下来我们不妨看一下 Josh Aas 从服务增长、新特性、基础设施以及财政这几方面对 2019 的展望。
服务增长(Service Growth)
通过提供免费、易用且全局可用的选项来获取启用 HTTPS 所需的证书,Let’s Encrypt 大力推动了 HTTPS 的采用。从 Let’s Encrypt 向公众发布之日起,Web 上的 HTTPS 采用率以前所未有的速度在发展。
Let’s Encrypt 支持的证书和唯一域(unique domains)数量继续快速增长:
因此,Let’s Encrypt 预计2019年将再次实现强劲的增长,可能会产生高达 1.2 亿的活跃证书和 2.15 亿的全称域名(fully qualified domains)。可查看他们最近更新过的统计信息页面以获取更多信息。
Let’s Encrypt 易于使用的原因之一是社区已经做了很好的工作,提供了友好的使用方法,使得客户端软件适用于各种各样的平台。目前 Let’s Encrypt 支持 ACME 等众多协议,内置于 Apache 中,并会在 2019 年来到 Nginx 上。
其他组织和社区也在努力推动 HTTPS 的采用,从而刺激对 Let’s Encrypt 服务的需求。例如,浏览器开始让用户更加了解与未加密的 HTTP 相关的风险(例如 Firefox 和 Chrome)。而许多托管服务提供商和 CDN 使其所有客户都能比以往更轻松地使用 HTTPS。政府机构也意识到需要加强安全保护三方成员。媒体界正致力于保护新闻。
新功能
2018年,Let’s Encrypt 引入了一些新功能,包括对 ACMEv2 协议和通配符证书的支持。他们亦表示计划在2019年推出一些更令人兴奋的功能。
我们最兴奋的功能莫过于多视角验证(multi-perspective validation)。目前,当订阅者请求证书时,他们从单一网络角度验证域控制 —— 这是 CA 的标准做法。不过这也导致了一个问题,如果沿着网络路径进行验证检查的攻击者干扰流量,这将可能会导致颁发不应颁发的证书。而 Let’s Encrypt 最关心的是现实中会通过 BGP 劫持而导致这种情况的发生,并且由于 BGP(边界网关协议) 不能很快受到保护,Let’s Encrypt 必须要找到另一种缓解措施。目前,他们计划在2019年部署的解决方案是启用多视角验证,将从多个网络角度(不同的自治系统)进行检查。这意味着潜在的 BGP 劫持者需要同时劫持多条路线才能取得成功的攻击,这比劫持单一路线要困难得多。Let’s Encrypt 正与普林斯顿的一个研究团队合进行作,设计出最有效的多视角验证系统,并且已经在临时环境中开启了部分功能。
此外,Let’s Encrypt 还计划在2019年引入证书透明度(Certificate Transparency, CT)日志。所有证书颁发机构如 Let’s Encrypt 都需要向 CT 日志提交证书,但生态系统中没有足够稳定的日志。因此,他们计划打造运行一个能让所有 CA 都可提交的 log。
而在2018年计划添加的 ECDSA 根证书和中间证书,由于优先级的调整,最终未能完成。所以,Let’s Encrypt 希望在2019能实现这个目标。由于 ECDSA 比 RSA 更有效,因此通常被认为是 Web 上数字签名算法的未来。目前使用的是中间证书中的 RSA 密钥签名。而一旦 Let’s Encrypt 拥有了 ECDSA 根证书和中间件,Let’s Encrypt 的使用者就能够部署完全符合 ECDSA 的证书链。
基础设施
Let’s Encrypt 的 CA 基础架构目前支持每天发布数百万个证书,具有冗余稳定性和各种物理和逻辑安全保障。Let’s Encrypt 的基础设施每天也会生成并签署约 4000 万份 OCSP 响应,并且每天为这些响应提供大约 55 亿次的响应。预计这些数字在2019年将增长约 40%。
Let’s Encrypt 的物理 CA 基础架构目前占用大约 55 个机柜,分布在两个数据中心之间,主要包括计算服务器、存储、HSM、交换机和防火墙。当 Let’s Encrypt 颁发更多证书时,这会给他们的数据库带来最大的压力。他们需要经常为数据库服务器投入更多更快的存储空间,并将在 2019 年继续加大这方面的投入。
所有的基础设施均由 Let’s Encrypt 的网站可靠性工程(SRE)团队管理,该团队由六人组成。SRE 员工负责构建和维护所有物理和逻辑 CA 基础架构。这些员工负责提供 Let’s Encrypt 安全性和合规性的高标准效果,还执行 24/7/365 随叫随到的计划,他们是安全和合规审计的主要参与者。
财政
2019年,Let’s Encrypt 的预算虽然目前仅为360万美元。但目前筹款活动的进度如期进行,思科、OVH、Mozilla、谷歌和电子前沿基金会和互联网协会以及许多其他赞助商都会进行捐助,他们也正在寻求额外的赞助和拨款援助,以满足2019年的全部需求。
最后,让我们感谢这个伟大的组织。
觉得这些资讯有帮助?请转发给更多人
关注 技术最前线 加星标,看 IT 要闻
喜欢就点一下「好看」呗~