- 資訊安全:
1.360MarvelTeam虚拟化漏洞第三弹:CVE-2015-7504漏洞分析 by Freebuf
CVE-2015-7504漏洞发生在pcnet网卡模块的接收数据包的过程中,相关函数pcnet_receive的执行逻辑:首先检测CSR_DRX(s),CSR_STOP(s),CSR_SPND(s),size,CSR_LOOP(s),s->looptest这些值是否符合边界要求,确定函数是否继续处理。
并且如果buf太小,则把它扩充到MIN_BUF_SIZE,之后检测是否要接受此包。最终把数据拷到rmd中物理地址中。
在实现数据包buffer操作的逻辑时,程序员出现了一个明显的错误:未判断数据包的长度是否已经等于buffer长度。另外,在pcnet.c的另一个函数pcnet_transmit中也有对缓冲区位置和数据包长度的处理。
在溢出发生之后,代码流程进入pcnet_update_irq函数中,该函数经过层层调用,最终使用了irq->handler作为函数指针!而该irq的结构体指针我们可以对其进行控制,因此就完成了对代码逻辑的劫持。
2.Pro PoS——这个隐秘的销售终端出售的恶意软件可能会偷走你的圣诞节 by 360安全播报
网络罪犯正在通过一些地下场所销售一种强大的针对于销售终端的恶意软件。 像一些在去年被发现的恶意软件,比如vSkimmer和BlackPOS,新型的恶意软件同样是用来从被感染的POS系统中窃取支付卡的数据,并且支持TOR以隐藏它的C&C(命令与控制)服务器。
被称为“Pro PoS”的软件,并不仅仅是个恶意软件。 根据威胁情报公司InfoArmor 的报道,Pro PoS只有76KB,但却有Rootkit的功能,也同样可以躲避病毒检测。
更有趣的是,该恶意软件—— Pro PoS集成了一个多态引擎,可以为每个不同的恶意软件产生一个标记,这项功能用来迷惑安全防卫设备。
3.谷歌被曝秘密收集学生信息 by Freebuf
目前电子前哨基金会(Electronic Frontier Foundation简称EFF)指出,他们在进行“学生监视(Spying on Students)”调查中发现了谷歌的这一行为。EFF发现谷歌监控学生的上网浏览的数据,同时给学生的个人隐私泄露问题带来了风险。
谷歌浏览器下的Chrome同步功能也是EFF投诉的对象之一。获悉,该功能赋予了谷歌收集学生整个网页浏览历史记录并随意使用的权力。此外,Google的教育管理员设置功能则不仅让谷歌可以获得学生数据,而且还分享给了第三方网站。
这个过程还收集学生们搜索的关键字,他们点击的视频,这些结果全会储存在云服务器上。并且这个过程事先不会征求学生家长的同意,另外有些学校要求学生使用Chromebook,这样使得学生家长更难阻止这种数据采集的行为。
CVE-2015-7504漏洞发生在pcnet网卡模块的接收数据包的过程中,相关函数pcnet_receive的执行逻辑:首先检测CSR_DRX(s),CSR_STOP(s),CSR_SPND(s),size,CSR_LOOP(s),s->looptest这些值是否符合边界要求,确定函数是否继续处理。
并且如果buf太小,则把它扩充到MIN_BUF_SIZE,之后检测是否要接受此包。最终把数据拷到rmd中物理地址中。
在实现数据包buffer操作的逻辑时,程序员出现了一个明显的错误:未判断数据包的长度是否已经等于buffer长度。另外,在pcnet.c的另一个函数pcnet_transmit中也有对缓冲区位置和数据包长度的处理。
在溢出发生之后,代码流程进入pcnet_update_irq函数中,该函数经过层层调用,最终使用了irq->handler作为函数指针!而该irq的结构体指针我们可以对其进行控制,因此就完成了对代码逻辑的劫持。
2.Pro PoS——这个隐秘的销售终端出售的恶意软件可能会偷走你的圣诞节 by 360安全播报
网络罪犯正在通过一些地下场所销售一种强大的针对于销售终端的恶意软件。 像一些在去年被发现的恶意软件,比如vSkimmer和BlackPOS,新型的恶意软件同样是用来从被感染的POS系统中窃取支付卡的数据,并且支持TOR以隐藏它的C&C(命令与控制)服务器。
被称为“Pro PoS”的软件,并不仅仅是个恶意软件。 根据威胁情报公司InfoArmor 的报道,Pro PoS只有76KB,但却有Rootkit的功能,也同样可以躲避病毒检测。
更有趣的是,该恶意软件—— Pro PoS集成了一个多态引擎,可以为每个不同的恶意软件产生一个标记,这项功能用来迷惑安全防卫设备。
3.谷歌被曝秘密收集学生信息 by Freebuf
目前电子前哨基金会(Electronic Frontier Foundation简称EFF)指出,他们在进行“学生监视(Spying on Students)”调查中发现了谷歌的这一行为。EFF发现谷歌监控学生的上网浏览的数据,同时给学生的个人隐私泄露问题带来了风险。
谷歌浏览器下的Chrome同步功能也是EFF投诉的对象之一。获悉,该功能赋予了谷歌收集学生整个网页浏览历史记录并随意使用的权力。此外,Google的教育管理员设置功能则不仅让谷歌可以获得学生数据,而且还分享给了第三方网站。
这个过程还收集学生们搜索的关键字,他们点击的视频,这些结果全会储存在云服务器上。并且这个过程事先不会征求学生家长的同意,另外有些学校要求学生使用Chromebook,这样使得学生家长更难阻止这种数据采集的行为。
- 自我成長:
1.你的職涯選戰策略 by Dorie Clark
要培養個人能力,可以研究你心目中的理想人物,瞭解成為他要具備什麼技能與經歷,訂定計畫,逐一實現;要經營人脈網絡,可以找出能直接或間接影響你事業的人,漸進地與他們互動,創造存在感,建立支持。
2.事必躬親會限制團隊的成長 by Rebecca Knight
(1)了解你為何做這件事
(2)按優先順序處理真正重要的事
(3)和你的團隊談談
(4)慢慢後退
3.知道如何管理和激勵約聘人員 by Amy Gallo
(1)了解他們的需求
(2)設定期望
(3)建立關係
(4)讓他們成為團隊的一份子
(5)提供反應意見
要培養個人能力,可以研究你心目中的理想人物,瞭解成為他要具備什麼技能與經歷,訂定計畫,逐一實現;要經營人脈網絡,可以找出能直接或間接影響你事業的人,漸進地與他們互動,創造存在感,建立支持。
2.事必躬親會限制團隊的成長 by Rebecca Knight
(1)了解你為何做這件事
(2)按優先順序處理真正重要的事
(3)和你的團隊談談
(4)慢慢後退
3.知道如何管理和激勵約聘人員 by Amy Gallo
(1)了解他們的需求
(2)設定期望
(3)建立關係
(4)讓他們成為團隊的一份子
(5)提供反應意見
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言