安全漏洞

[提醒] 联发科芯片 4 个安全漏洞曝光:可致手机通话被窃听

软餐获悉,联发科(mediatek)近日修复了其芯片中曝光的四个安全漏洞,这些漏洞可能导致用户的电话被窃听、设备被执行命令或将其权限提升到更高级别等。

这些漏洞由来自以色列的安全软件公司 Check Point 发现,分别为 CVE-2021-0661、CVE-2021-0662、CVE-2021-0663 和 CVE-2021-0673)。联发科已在今年 10 月的 Android 安全公告中提供了前三个漏洞修复。第四个漏洞 CVE-2021-0673 将在 12 月的的安全更新中获得修复。

数据显示,市场上约有 43% 的智能手机都采用了联发科的处理器,受到影响的设备数量庞大,尤其是已经超出官方更新服务周期的旧款联发科手机,它们甚至不会获得安全修复。

联发科方面尚未对是否为老旧设备提供修复进行表态。在此之前,用户应安装主流厂商提供的安全防护应用,并杜绝从不明来源安装安卓 APK。

研究称 97% 的应用程序存在安全漏洞

软餐获悉,软件质量和安全解决方案头部企业 Synopsys 的报告称,在对 2,600 个商业软件或系统目标进行的 3,900 次测试的数据显示,97% 的目标存在某种形式的漏洞,30% 的目标存在高风险漏洞,6% 的目标存在严重风险漏洞。

在 Synopsys 的研究中,83% 的测试目标是 Web 应用程序或系统,12% 是移动应用程序,其余为源代码或网络系统/应用程序。参与测试的行业包括软件和互联网、金融服务、商业服务、制造、媒体和娱乐以及医疗保健。

Synopsys 发现的漏洞中,76% 属于 OWASP Top 10 类别,而应用程序和服务器配置错误占发现的总体漏洞的 21%。

在移动应用程序中,80% 的漏洞与不安全的数据存储有关,这可能会允许攻击者以物理方式或通过恶意软件访问移动设备。53% 的移动测试发现了与不安全通信相关的漏洞。

尽管在测试中发现的漏洞中有 64% 被认为是最低、低或中等风险,但即使是这些漏洞也可以被黑客利用来发起攻击。

英特尔修复处理器本地安全漏洞,涉及多代处理器

软餐获悉,英特尔本周发布了针对该公司多代处理器的安全公告,该公司修复了几个严重等级被标记为 “高” 的安全漏洞,幸运的是,这些漏洞需要本地访问才能被利用。

不过,用户需要更新 BIOS 才能修复这些问题。英特尔已发布修复更新,但用户要获得更新,还需依赖硬件厂商提供这些更新,由于这些漏洞涉及到旧硬件,厂商不太可能为其发布 BIOS 更新,用户需自行访问厂商官网来查询更新消息。

其中,漏洞 CVE-2021-0157CVE-2021-0158 可能允许特权升级。漏洞基础得分为 8.2。以下处理器受此问题的影响。

  • 英特尔® 至强处理器 E 家族
  • 英特尔® 至强处理器 E3 v6 家族
  • 英特尔® 至强处理器 W 家族
  • 第三代英特尔至强可扩展处理器
  • 第 11 代英特尔酷睿™ 处理器
  • 第十代英特尔酷睿™ 处理器
  • 第七代英特尔酷睿™ 处理器
  • 英特尔酷睿™ X 系列处理器
  • Intel Celeron 处理器 N 系列
  • Intel Pentium Silver 处理器系列

第二个漏洞 CVE-2021-0146 也可能允许权限提升,并且也需要物理访问才能进行攻击。该漏洞的基础评分为 7.1。涉及以下处理器。

桌面、移动

  • 英特尔奔腾处理器 J 系列、N 系列
  • 英特尔赛扬处理器 J 系列、N 系列
  • 英特尔凌动处理器 A 系列
  • 英特尔凌动处理器 E3900 系列

嵌入式

  • 英特尔奔腾处理器 N 系列
  • 英特尔赛扬处理器 N 系列
  • 英特尔凌动处理器 E3900 系列

桌面、移动

  • 英特尔奔腾处理器银牌系列/J&N 系列

桌面、移动

  • 英特尔奔腾处理器银牌系列/J&N 系列- Refresh

嵌入式

  • 英特尔® 凌动® 处理器 C3000

过去 1 年,微软支付漏洞赏金超 1360 万美元

软餐获悉,在过去的一年中,微软为 17 个漏洞悬赏计划向报告漏洞的研究者支付了超过 1360 万美元赏金。

其中最高的一笔奖励为二十万美元。

从去年 7 月 1 日到 6 月 30 日,共有 341 名研究人员收到了来自微软支付的漏洞赏金。这些研究人员共同提交了 1,261 份漏洞报告。

微软表示,平均每个研究人员收到的每个漏洞赏金为 10,000 美元。

微软漏洞赏金计划 2020-2021

在 Hyper-V 悬赏计划下支付的金额最大,高分漏洞的价值可以高达 2000 美元。

微软还表示,它今年引入了新的 “挑战和场景”,以奖励对客户影响最大的安全研究。这样一来,微软就可以更好地发现对客户影响最大的问题,研究人员的工作可以获得更高的回报。

Scroll to Top