如今,TweetDeck中新发现的一个漏洞允许攻击者远程执行javascript代码。用户报告弹出窗口显示“哟!”或者“请现在关闭TweetDeck[sic],这是不安全的。”Twitter关闭了所有版本的TweetDeck,直到bug被修复,但现在已经恢复了应用程序,报告说他们的修复程序正在按预期工作。用户将被指示注销其帐户并重新登录以激活修复程序。
用户将被引导注销并登录以激活修复程序
当客户端未被修补时,攻击允许用户在浏览器的其他地方执行自己的javascript代码。到目前为止,大多数报告的攻击都是简单的弹出消息,但存在更复杂攻击的可能性。据信,该漏洞仅限于基于web的TweetDeck版本,但其他用户报告说,TweetDeck的Windows应用程序中也存在类似的攻击。
该漏洞针对XSS,简称“跨站点脚本”,这是web应用程序中安全漏洞最丰富的来源之一。研究人员过去曾报道过TweetDeck中的XSS漏洞,最明显的是2011年的Mikko Hypponen,但开发者几乎立即报告了该漏洞的修复,大多数人认为这是一个封闭的问题。目前尚不清楚脆弱性是如何恢复的。
一次攻击利用该漏洞触发TweetDeck的Retweet命令,导致任何易受攻击的客户端自动将字符串转发给其追随者。其结果是Twitter相当于一个蠕虫,从一个帐户传播到另一个帐户。许多受欢迎的帐户都受到了该漏洞的攻击,包括@NYTimesBusiness、@Vulture、@ScienceNews、@YourAnonNews、@Salon和@SFGate。
不过,正如蒂莫西B。Lee,TweetDeck的结构意味着这个bug只能在TweetDeck的正常权限内工作,严重限制了潜在的影响。因此,尽管转发蠕虫在社交媒体管理者中造成了严重破坏,但它似乎让更敏感的数据和基础设施没有受到影响。
...)访问系统内存的地方,它不应该也访问系统内存。如果攻击者能够找出如何在未经授权的内存区域中运行代码,他们就可以执行恶意的操作,这就是这里发生的情况。 ...
...在Windows操作系统内核Win32k中提升权限。如果受到攻击,攻击者可以使用提升的权限执行代码,从而可以完全控制目标系统。 ...
...序都非常重要,必须尽快安装。远程代码执行有效地允许攻击者远程访问和更改计算机。 ...
...acOS被称为“High Sierra”,它有一个巨大的安全漏洞,使得攻击者可以快速以root身份登录,只需在没有密码的情况下尝试登录几次就可以完全访问你的电脑。这可以通过屏幕共享远程实现,甚至可以绕过用于保护文件的FileVault加...
...一个现代系统与英特尔处理器意味着它是一个多汁的目标攻击者。 什么是情报我(intel me)? 那么什么是英特尔管理引擎呢?英特尔提供了一些常规信息,但它们避免解释英特尔管理引擎执行的大多数特定任务以及它的具体工作...
...应用程序可能会提升权限”,在WebKit更新下,它说“远程攻击者可能会导致任意代码执行”。在这两个声明之后,更新说明说,“Apple意识到一份报告说,这个问题可能已被积极利用。” 这意味着,你应该尽快更新你...
...决了远程桌面协议(RDP)中的一个严重缺陷。该漏洞允许攻击者在启用远程桌面的未修补系统上远程执行代码。微软的远程桌面协议在较新的Windows安装中默认禁用,允许用户远程连接到Windows桌面或服务器,在企业客户中广泛使...
微软周二表示,它已经意识到针对Windows中一个关键XML漏洞的主动攻击。该漏洞影响所有受支持的Windows和Office 2003/2007版本,允许黑客在用户使用Internet Explorer访问恶意网站时远程执行代码。谷歌的安全团队发现了微软XML组件中的...
昨天,我们报道了三星**上的一个漏洞,该漏洞可能允许恶意网站擦除用户的设备,但新的细节正在曝光,表明该问题超出了三星的产品线范围——一些Android版本中的拨号程序可能是由这一原因造成的。迪伦·里夫写道,他能够...
...效的。与Heartbleed不同,Bash攻击允许远程代码执行,允许攻击者利用该漏洞进行恶意软件分发。大多数来自该漏洞的攻击都会针对web服务器和网络设备,专家表示,基于PHP的web应用程序将特别容易受到攻击。像智能家电这样的联...