研究人员揭Synology应用漏洞 苹果OS X系统可被控制

研究人员在Synology云同步应用中发现了漏洞,该漏洞可让攻击者完全控制苹果OS X系统。

该漏洞被发现存在于Synology公司针对OS X的Cloud Station客户端中。Cloud Station应用允许用户通过云计算在多种设备(例如电脑、智能手机和平板电脑)之间同步文件。然而,根据卡内基梅隆大学软件工程研究所计算机应急响应小组(CERT)研究表明,该产品的OS X云同步客户端功能存在一个默认权限漏洞,允许用户更改已连接设备中系统文件的所有权,并获取对这些设备的完全控制权。

CERT在公告中称:“本地标准OS X用户可能获得任意系统文件的所有权,这可能被利用来获取root权限,并完全感染主机。”

在通用安全漏洞评分系统,CERT将这个Synology漏洞评为6.8分,这意味着“中等威胁”。7.0到10.0分的漏洞则为“严重威胁”。

对此,Synology公司发布了新版本的客户端来修复该漏洞,该漏洞影响着1.1-2291和3.1-3320版本之间的Cloud Station同步客户端。CERT建议Cloud Station用户尽快更新其客户端到3.2-3475或更高版本。

台湾存储供应商Synology公司在2012年推出针对Macintosh系统的Cloud Station。该产品作为公共云存储服务(例如Dropbox和Google Drive等)的替代品,它允许用户通过Synology NSA设备创建自己的私有云,并可通过Cloud Station客户端跨多种设备进行安全的数据同步。

除了这个Cloud Station漏洞,Synology还修复了其Photo Station应用中的另一个漏洞。德国软件安全公司Securify发现了这个命令注入漏洞,该漏洞允许恶意攻击者感染Synology的DiskStation NSA系统。Synology为Photo Station发布了更新,并建议用户更新该应用到6.3-2945版本以修复该漏洞。

作者:Rob Wright 翻译:邹铮

来源:51CTO

时间: 2024-12-02 04:48:32

研究人员揭Synology应用漏洞 苹果OS X系统可被控制的相关文章

阿里安全潘多拉实验室的研究人员揭秘如何完美越狱苹果iOS11.2.1

知道如何从攻击的视角去发现漏洞,才能建立更安全的体系,促进了整个生态的良性发展. 近日,阿里安全潘多拉实验室接连完美越狱苹果iOS 11.2和iOS 11.2.1,其中iOS 11.2.1更是在正式发布后数小时内即被潘多拉实验室的研究人员"破解". 事实上,阿里安全潘多拉实验室对苹果iOS系统的越狱仅限于安全研究之用,并不会对外提供越狱工具.不仅如此,潘多拉实验室在对移动系统的安全研究过程中,会将发现的问题上报给厂商,共同提升行业的安全水位. 据悉,阿里安全潘多拉实验室今年才正式成立,

研究人员发现 Swagger 相关漏洞

网络安全机构Rapid7发现了一个有关Swagger驱动代码生成器的漏洞,该漏洞有可能让使用Node.js.PHP.Ruby和Java(也有可能包括其他语言)语言所开发的程序暴露在被黑客利用的危险之下.上周Charlie Osborne在ZDNet发表了一篇文章,文章讲述了这个漏洞. 当某个API被Swagger等API描述语言查看的时候,这个描述会被用来自动生成SDK,该SDK可以让开发人员更轻松的使用他们所选平台上相关的Web API.类似的是,这个API描述还会自动生成一个功能端点.理论上

苹果 OS X 系统已不再安全?比 Windows 要好点

苹果的OS X桌面操作系统素来以较高的安全性著称,但随着市场占有率的不断增加,它的安全性却反而出现了下降.目前,苹果在桌面计算机市场的占有率已经接近17%,而OS X操作系统也越来越受到普通和企业用户的喜爱.但与此同时,黑客们对它的兴趣也在增加.根据安全公司Bit9 + Carbon Black日前发布的报告,他们今年在OS X平台发现了948种不同的恶意软件样本,而这个数字在前5年的总和也不过180个. 但让人稍感安心的是,这些恶意软件并不复杂,很容易就能被删除. 具体来讲,在今年被发现的恶意

研究人员发现了一个影响约60万台服务器的零日漏洞

华南理工大学信息安全实验室的两位研究人员已经发现了 Windows Server 操作系统中的某个零日漏洞.这枚零日漏洞至少影响了超过60万台服务器且大多数位于中国和美国,而且自 2016年7月这枚漏洞就被利用.出现问题的原因在于WebDAV服务中缓冲区溢出,攻击者可以直接利用这个漏洞执行远程代码从而发起攻击. 受影响的主要是服务器系统Windows Server 2003 R2版,非常遗憾的是这个系统早在2015年就已停止支持.这意味着虽然安全研究人员发现了这枚漏洞,但该系统的开发商即微软公司

研究人员发现Office Word 0Day攻击 这个漏洞绕过了word宏安全设置 绿盟科技、McAfee及FireEye发出警告

这次的0Day漏洞确实很厉害,以往攻击者诱使用户点击Word文档,由于其中包含了恶意脚本,大多数需要用户启用了宏.但这次的漏洞不是,受害者无需启用宏,也会中招,而且漏洞覆盖Windows所有版本(包括Windows 10).三个安全厂商均发布安全威胁通告,通告全文如下 绿盟科技<Microsoft Office Word 0day远程代码执行漏洞安全威胁通告> 4月7日,McAfee与FireEye的2名研究员爆出微软(Microsoft)Office Word的一个0-day漏洞.通过发送一

研究人员发现最新Mac木马:伪装成俄罗斯航天计划

安全公司 Palo Alto Networks 的研究人员发现了最新的 Mac OS X 恶意软件:Komplex 木马程序.Komplex 木马可以在被感染的机器上下载.执行和删除文件.有趣的是,Komplex 木马会保存一份 PDF 文件,文件中介绍了俄罗斯航天计划.实际上,PDF 文件只是伪装,木马包含一系列工具,可以秘密的控制用户的 Mac 电脑. 被感染的电脑会自动向远程服务器发送数据.用户名和进程列表.这次的木马可能是由俄罗斯黑客团队 Sofacy Group 或 Fancy Bea

苹果OS X是如何跑赢Linux桌面的

<连线>杂志近日刊载署名为克林特·芬利(Klint Finley)的文章,阐释了苹果是如何"跑赢"Linux桌面的.文章指出,Linux失败的真正理由是开发者开始转向OS X,而推动他们这样做的原因是用于开发Linux应用的工具包做得不够好,无法确保不同版本的应用程序接口(API)之间拥有向后兼容性.而更重要的是,开发者正在转向网络来进行开发工作.但欧侃觉得作者把Linux桌面等同于Gnome了,这是严重错误.至于作者认为Linux下的开发工具对向后兼容性的支持不够这点我比

研究人员使用RFID技术保护濒危植物

肯特大学的研究人员正与南非国家生物多样性研究所进行合作,启动基于RFID技术的濒危植物保护解决方案.目前,肯特大学的研究人员已经开发并测试了一个内部系统,用于检测RFID标记的植物是否从预期位置移除.然后,软件便可向公园管理员和其他人员转发警告,警告其正遭受偷盗. 下一步,英国大学及南非研究所将筹集资金,在南非各地的国家公园部署该技术,用于跟踪濒危的苏铁. 该系统是由肯特大学人类学与保护学院副教授David Roberts设计的,用于自动识别保护植物何时被移除,从而在肇事者离开之前采取行动. 起

苹果OS曝重大安全漏洞:电邮会被黑客截获

[导读]虽然苹果在上周五已经发布了安全补丁,但最新报道称,问题要比想象中严重的多.苹果OS曝重大安全漏洞:电邮会被黑客截获 腾讯科技 明轩 2月25日编译继苹果上周五发布声明,称黑客可能会利用iOS操作系统存在的一个严重安全漏洞拦截用户电子邮件和其它加密通讯信息之后,苹果台式机和笔记本电脑采用的OS X操作系统也存在同样的问题.不过苹果目前尚未就此做出任何反应.苹果在上周五并未披露发现这一漏洞的时间和方式,也并未披露黑客是否已经利用这一漏洞发动攻击.但该公司已经针对iPhone 4及后续产品.i