1、火狐又实现了一个取自Tor浏览器的隐私保护功能

Catalin Cimpanu

2017年10月30日 07:20

Mozilla的工程师们从Tor浏览器借鉴了一个新功能，开始使用58版的Firefox用户不被允许使用HTML5 canvas元素。

禁止该元素是火狐又一个重要的保护用户隐私的措施，比如广告业已经使用了很长一段时间的帆布指纹识别技术，来跟踪用户。

帆布指纹识别近些年来被广泛使用

自从欧盟迫使网站显示cookie 的弹出窗口后，该方法近年来普遍使用。由于帆布指纹并不需要在用户浏览器中存储任何东西，它带来的法律问题也很少，这种用户跟踪/指纹识别的技术已经成为网上广告最喜欢使用的方式。

帆布指纹识别通过加载一个隐藏的在iframe标签中的html Canvas 元素而工作。画布使得用户的浏览器可以绘制一系列元素和文本。所得到的图像被转换成一个文件的散列值。

因为每一个计算机和浏览器都并非完全相同地解析这些元素，所以当访问互联网各种网站上的广告时，网络可以跟踪到用户的浏览器。帆布指纹识别的更多细节，参见2012研究论文。

借鉴于Tor浏览器的特征

Tor浏览器已经从默认地阻止任何网站访问 Canvas 数据，从而修复了这个问题。每当网站要使用canvas元素时，Tor浏览器就会弹出下面这个弹窗。

Tor浏览器的阻止Canvas识别系统

当网站想要从 <canvas> 元素中提取数据时，工程师计划弹出弹窗，让用户选择是否允许网站这样做，这是基于Mozilla的bug跟踪系统里的一个条目。类似于当网站要访问用户的摄像头或麦克风的权限时的做法。

58版本的火狐计划于2018年1月16日发布。

第二个借鉴Firefox的Tor浏览器的特征

阻止帆布指纹识别是Mozilla的工程师们从Tor项目借鉴来的第二个特征。此前，Mozilla已经在52版本的火狐中添加了一个机制，阻止网站从通过系统字来指纹识别用户。

Mozilla努力使火狐作为Tor Uplift 项目的一部分--一项倡议从Tor浏览器向火狐引入更多的以隐私性为重点的功能。Tor浏览器是基于Firefox的ESR，通常功能都是Firefox先有,Tor后有的，而非相反。

在2016年八月，Mozilla还封锁了一批已知具有指纹识别脚本的网址。火狐以往也努力去保护用户的隐私，包括除去电池状态的API。

原文链接：https://www.bleepingcomputer.com/news/software/firefox-implements-another-privacy-preserving-feature-taken-from-the-tor-browser/
本文由看雪翻译小组fyb波编译

2、Google Issue Tracker 缺陷导致泄露未修复漏洞的报告

Google 的 Issue Tracker，在其内部也称为 “Buganizer”，被曝出存在新的漏洞，能允许外部人员访问数据库中保存的任意未修复 bug 的描述信息。

作为软件开发人员和漏洞挖掘爱好者的 Alex Birsan 通过 Issue Tracker 中发现的此漏洞和另外两处漏洞共获得了超过 15000 美元的奖金，在这三个漏洞的配合下能允许他发送 POST 请求来提升权限，进而访问特定漏洞的具体细节。

“Issue Tracker 系统对于拥有 Google 帐号的用户都是开放的，但是，绝大多数托管的问题单只允许 Google 的员工进行查看，” Birsan 说到。“并且其中一些甚至只能由特定的团队来查看，而我发现的这个 bug 能让我查看到任意的问题单。”

Birsan 在今天发布的一篇文章中写道，和 Google 内部处理问题单的人员相比，Issue Tracker 对外部访问者是有权限限制的。但他发现借助 JavaScript 方法的特定 POST 请求能允许个人将自己从受限制列表中删除，此方法可被攻击者用于获取问题单的全部细节，即能够访问整个 Issue Tracker 系统。

“我不知道此漏洞是否还能用于干些别的什么，因为我在测试中还是挺慎重的，”他说。 “我只是保证能有足够的信息来证实自己确实拥有了特殊的权限。”

Birsan 表示，测试过程中他通过向系统请求几个连续的问题单来确认这个问题。

“是的，我可以看到有关漏洞的详细报告，以及 Buganizer 上托管的其它内容，”他补充到，“在触发监控机制后 Google 安全小组禁用了他正访问的服务器长达一小时之久。 “不过更糟糕的是，我可以在单次请求中获取多个问题单的数据，因此就算有实时监控的安全机制可能也不会被触发。”

Birsan 表示，应该设计这么一种限制，即使攻击者拥有类似的访问权限也不能将其转变成有效的漏洞利用。

“这完全取决于具体的漏洞利用过程，”Birsan 说到。“一般来说，扎实的技术基础和编写利用脚本的能力在这种情况下是很有帮助的，在漏洞修复前的这段 deadline 内，攻击都是很紧迫的。”

此前微软的内部 bug 跟踪系统也被曝出存在类似的问题，Birsan 在今天公开该漏洞可以说是紧随其后。

来自 Tripwire 的安全研究员 Craig Young 表示：“入侵 bug 跟踪系统可以让攻击者在安全机构有所作为前获得更多的时间来开发漏洞利用程序。一个聪明的攻击者也可以利用其对 bug 跟踪系统的未授权访问来操控相关的数据，从而延迟补丁版本的发布。（例如，更改相关的报告细节，以便错误不会引起重现，甚至直接关闭问题单等）。

原文链接：https://threatpost.com/flaw-in-google-bug-tracker-exposed-reports-about-unpatched-vulnerabilities/128687/

本文由看雪翻译小组BDomne编译

3、甲骨文公司终于修好了“默认账户”的问题！

Catalin Cimpanu

Oracle（甲骨文）近期发出了影响身份管理器的漏洞的补丁。这个漏洞等级达到了CVSSv3的满分十级...

CVSS，全称Common Vulnerability Scoring System，即“通用漏洞评分系统”，是一个“行业公开标准，其被设计用来评测漏洞的严重程度，并帮助确定所需反应的紧急度和重要度

甲骨文公司，全称甲骨文股份有限公司(甲骨文软件系统有限公司)，是全球最大的企业级软件公司，总部位于美国加利福尼亚州的红木滩。1989年正式进入中国市场。2013年，甲骨文已超越 IBM ，成为继 Microsoft 后全球第二大软件公司。

这个大型软件开发公司对这件事闭口不谈，一直都没有对这件事做出合理的解释，也没有试图去阻止黑客去利用这个漏洞，以给用户更多时间去打补丁。

在OIM 中间件中发现了不需要密码即可登录的默认账户

什么是中间件？

由于业务、机构和技术是不断变化的，因此为其服务的软件系统必须适应这样的变化。在合并、添加服务或扩展可用服务之后，公司可能无力负担重新创建信息系统所需的成本。正是在这个关键时刻，才需要集成新组件或者尽可能高效地扩展现有组件。要集成异类组件，最方便的方法不是将它们重新创建为同类元素，而是提供一个允许它们进行通信（不考虑它们之间的差异）的层。该层被称作中间件，它允许独立开发且运行于不同网络平台上的软件组件（应用程序、Enterprise Java Bean、Servlet 和其他组件）彼此交互。当能够进行这样的交互时，网络才成为计算机。

受此影响的产品是OIM（Oracle Identity Manager），企业可以用来自动管理员工对企业IT资源的访问权限。OIM是甲骨文公司非常最受欢迎的Fusion 中间件产品之一，同时也是使用最多的零件之一。

oracle 认为这是一个“默认账户”的漏洞——这个名称通常是用来形容没有密码或者硬编码证书的账户。这个漏洞曾被命名为CVE-2017-10151。

Oracle在一个安全预警中提到：这个漏洞可被远程利用，且不需要认证。例如，通过网络不需要输入用户密码即可利用。

虽然很多其他的公司也有默认账户的问题，但是大多数都只能在本地利用而且至少还需要输入一个密码。拥有一个不需要密码的默认账户，而且可以通过网络远程控制，这是一个巨大的疏漏。

Oracle 发布了补丁

Oracle于上周五发布补丁。 OIM版本11.1.1.7, 11.1.1.9, 11.1.2.1.0, 11.1.2.2.0, 11.1.2.3.0, 和12.2.1.3.0 均受到影响。但是Oracle说先前的版本也可能受到影响。

10月16号，Oracle发布了2017 10月关键补丁更新（CPU）每三月一次的更新训练。并修复了252个漏洞，而CVE-2017-10151并不是其中的一个。使用Oracle中间软件的用户，建议阅读Oracle最近发布的OIM补丁指南安全警告，并趁它还在的时候，尽快下载Octorber 2017 CPU。

来源：点此链接))
本文由看雪翻译小组哆啦咪编译

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法