专栏名称: 看雪学苑
致力于移动与安全研究的开发者社区,看雪学院(kanxue.com)官方微信公众帐号。
目录
相关文章推荐
CMKT咨询圈  ·  798万,麦肯锡拿下杭州银行战略规划项目 ·  38 分钟前  
CMKT咨询圈  ·  798万,麦肯锡拿下杭州银行战略规划项目 ·  38 分钟前  
财联社AI daily  ·  小红书开源首个大模型! ·  9 小时前  
财联社AI daily  ·  小红书开源首个大模型! ·  9 小时前  
贵阳晚报  ·  最新!官方答复贵阳S2线、T6、T7线规划建设情况 ·  12 小时前  
贵阳晚报  ·  最新!官方答复贵阳S2线、T6、T7线规划建设情况 ·  12 小时前  
计算机与网络安全  ·  Agentic AI 红队测试指南 ·  昨天  
51好读  ›  专栏  ›  看雪学苑

Uber 爆出严重认证漏洞 攻击者可以重置任意账户密码

看雪学苑  · 公众号  · 互联网安全  · 2017-05-19 18:05

正文

请到「今天看啥」查看全文



研究人员发现 Google Chrome 浏览器中存在的一个漏洞,允许攻击者通过欺骗用户在 Windows PC 端下载恶意文件或 SCF 文件,从而窃取用户登录凭证并启动 SMB(服务器消息块)中继攻击。

此次攻击活动极其简单,受害者在点击恶意链接时,将自动下载 Windows Explorer Shell 或 SCF 文件,而 SCF 文件被触发后会向攻击者发送 SMB 服务器身份验证请求,从而泄露受害者的用户名与哈希密码。

调查显示,攻击者仅需诱导受害者在 Windows 环境下使用 Chrome 浏览器访问其恶意网站,即可窃取并使用受害者的身份凭证,即便受害者并无管理员权限。此外,研究人员表示, 该漏洞将影响所有 Windows 版本下的 Chrome 浏览器,甚至包括 Windows 10 系统。

Chrome 的这一漏洞目前 尚未被修复 。安全专家提醒用户可通过禁用浏览器自动下载功能来防范风险,同时将 SMB 服务限制在专用网络内,并配置好基于 Internet SMB 服务器连接的防火墙端口。


美国新网络安全议案将剥夺NSA部分网络监管权


据英国路透社5月18日报道,美国国会17日提出一项新议案,根据这项议案, 国家安全局需要将自己所发现的软件安全漏洞告知其它的政府机构代表 ,比如能够导致上周“勒索软件”攻击这样的安全漏洞。







请到「今天看啥」查看全文