「Linux中国」Windows 登录凭据，Zoom 客户端爆出安全漏洞，可向攻击者泄露近日

文章图片
近日， Windows版Zoom客户端爆出了容易受到NUC路径注入攻击的安全漏洞。
转自：https://www.dbsec.cn/blog/news.html作者/来源：安华金和
近日， Windows版Zoom客户端爆出了容易受到NUC路径注入攻击的安全漏洞。作为一款音视频会议应用， Zoom还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒BleepingComputer指出，攻击者可利用聊天模块的漏洞，窃取点击了相关链接的用户的Windows登录凭据。

文章图片
【「Linux中国」Windows 登录凭据，Zoom 客户端爆出安全漏洞，可向攻击者泄露】发送聊天消息时，所有发送的URL都将经过转换，以便群内其他成员点击，继而在默认的浏览器中打开网页。
然而安全研究人员@_g0dmode发现， Zoom客户端竟然还将Windows网络UNC路径，也转换成了聊天消息中可单击的链接。常规URL和NUC路径都被转换成了聊天消息中的可点击链接。若用户单击UNC路径链接，则Windows将尝试使用SMB文件共享协议连接到远程站点，以打开远程路径中的cat.jpg文件。默认情况下， Windows将发送用户的登录名和NTLM密码哈希值，但稍有经验的攻击者均可借助Hashcat之类的免费工具来逆向运算。
安全研究人员MatthewHickey（@HackerFantastic）实测发现，其能够在Zoom中顺利注入，并且可以借助当前的民用级GPU和CPU来快速破解。除了窃取Windows登录凭据， Hickey还向BleepingComputer透露，通过点击链接的方式， UNC注入还适用于启动本地计算机上的程序（比如CMD命令提示符）。
庆幸的是， Windows会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞， Zoom必须阻止Windows客户端的UNC路径转换功能（屏蔽部分可点击的超链接）。
据悉， Hickey已经在Twitter上向Zoom官方发去了有关该安全漏洞的通知，但目前尚不清楚该公司已采取怎样的行动。
来源：cnBeta.COM
更多资讯万豪披露又一起数据安全事件520万客户信息泄露
报道称事件发生于今年1月中旬，但直到2月下旬才被发现。调查发现有两名员工的登陆凭据有关，事件导致520万客户信息泄露。在堵上安全漏洞之后，万豪声称入侵者已被禁止访问。
来源：cnBeta.COM
ICANN批准了Verisign的合同.com域名将涨价
ICANN批准了Verisign的.COM注册协议，允许.COM域名未来四年每年涨价7% 。目前.COM的批发价为7.85美元，从2021年起每年涨7% ，到2024年批发价将涨到10.29美元。
来源：solidot.org
Edge和IE浏览器因疫情调整TLS1.0/1.1禁用时间表
2018年10月，微软宣布尚处于支持状态的Edge和IE浏览器将于2020年上半年开始，默认停止对TLS1.0/1.1网站的支持。不过由于受到新冠病毒疫情的影响，微软宣布对该计划进行调整，并公布了新的时间路线图。
来源：cnBeta.COM
美参议员就新冠病毒网站的数据隐私问题向Verily施压
据外媒报道，当地时间周二，一群美国民主党参议员对谷歌母公司Alphabet旗下的生命科学部门Verily进行了盘问” ，内容是关于该公司的新冠筛查网站相关的隐私问题。据悉，该网站于两周前上线，让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。
来源：cnBeta.COM
（信息来源于网络，安华金和搜集整理）
点击“了解更多”可访问文内链接