说明

点击数：1184

• Wind River Security Alert

概述

Armis研究团队在VxWorks中发现了11个零日漏洞，VxWorks可能是使用的最广泛的操作系统。VxWorks被超过20亿台设备使用，包括关键的工业，医疗和企业设备。

被称为“URGENT/11”的漏洞存在于VxWorks的TCP / IP堆栈（IPnet）中，影响自6.5版本以来的所有版本。但不会影响安全认证产品版本--VxWorks 653和VxWorks Cert Edition。

其中六个漏洞被归类为关键漏洞并可远程执行代码（RCE）。其余漏洞为拒绝服务，信息泄露、逻辑缺陷。URGENT/11被攻击会造成很严重影响，因为它使攻击者能够接管用户设备，甚至可以绕过防火墙和NAT等安全设备。导致攻击者可以将恶意软件传播到网络内部中去。这种攻击威力极大，类似于EternalBlue漏洞，可用于传播WannaCry恶意软件。

建议运行VxWorks设备的制造商检查公司安全中心发布的Wind River Security Alert中的最新更新，并立即对其进行修补。有关URGENT/11漏洞的完整技术细节可以在URGENT/11技术白皮书中找到。

VxWorks：实时操作系统

VxWorks是世界上使用最广泛的实时操作系统（RTOS）。RTOS由需要高精度和可靠性的设备使用，例如关键基础设施，网络设备，医疗设备，工业系统甚至航天器。因此，VxWorks有非常广泛的用途，从PLC到MRI机器，到防火墙和打印机，再到飞机，火车等等。VxWorks设备还包括西门子，ABB，Emerson Electric, Rockwell，三菱电子，三星，Ricoh, Xerox, NEC和Arris等。

VxWorks于1987年首次发布，是目前仍在广泛使用的最成熟的操作系统之一，由于其运行的设备的性质以及升级困难而维护了大量版本。尽管是传统的RTOS，但只有少数漏洞被发现，没有一个像URGENT/11严重。研究表明， VxWorks的内部工作方式仍处于不明确的状态，其缺陷也是如此，导致了严重的URGENT/11漏洞。其次，RTOS是由许多关键设备使用，使得在其中发现的漏洞会更具有影响力。

阅读全文: VxWorks面临严重RCE攻击风险

说明

点击数：1133

• Github

如果你是在一个面临美国制裁的国家或地区使用GitHub的在线服务,你的账号可能会因此被限制只能使用最基本的服务或产品。

在克里米亚的一位开发者披露其账号被 GitHub 限制之后，这家最大的代码托管平台称它开始限制被美国贸易制裁的国家的开发者账号，这些国家或地区包括克里米亚、古巴、朝鲜、伊朗和叙利亚。GitHub本周告诉居住在克里米亚的21岁俄罗斯公民Anatoliy Kashkin，由于美国的贸易管制，它“限制”了他的GitHub账户。Kashkin并不是美国认可的国家中唯一一位最近在GitHub上遇到麻烦的开发商。他称他克里米亚的朋友最近也遭遇了制裁相关的账号受限。

Kashkin使用GitHub来托管他的网站和GameHub，这是一个针对Linux系统的启动程序，它将Steam、GOG和Humble Bundle的游戏整合到一个单一用户界面中。

Kashkin 解释说，GitHub 限制他创建私有库，关闭了现有的私有库，可以创建公开的库但不能删除。他表示自行托管单一的 git 库的意义不大，毕竟很多人是在 GitHub 上发现 GameHub 的，GameHub 提供了很多有用的社交功能。

伊朗开发者 Hamed Saeedi 发表博文声称，GitHub 屏蔽了他的账号，认为他在开发核武器。他称自己从 2012 年开始使用 GitHub，最近收到了与贸易制裁相关的邮件通知。他称 GitHub 屏蔽了所有伊朗账号。

正如GitHub在其关于美国贸易管制的网页上所述，美国的制裁适用于其在线托管服务GitHub.com，但面临这种处境的用户可以选择面向企业用户的收费版内部部署软件。它还声称正在与美国监管机构讨论如何纠正这种情况。

说明

点击数：1060

• EBS
• AWS
• Security

如果你使用了亚马逊的 Elastic Block Storage 快照，则可能需要评估一下数据安全。刚刚在 Def Con 安全会议上发布的新研究揭示了公司、初创公司和政府机构如何无意中从云中泄露自己的文件。那些在亚马逊托管的存储服务器，其中包含重要数据但经常配置错误，并且无意中设置为“公共”以供任何人访问，这不是什么新闻。但是，你可能没有听说过暴露的 EBS 快照，这会带来额外的风险。

这些看似不重要的弹性块存储（EBS）快照是就是问题所在，网络安全公司 Bishop Fox 的高级安全分析师 Ben Morris 表示，EBS 快照存储云应用程序的所有数据，足以访问到有用的信息。

一般用户在丢弃计算机硬盘前会清空数据，但这些公共 EBS 卷因为同时面向不同的客户，再加上云管理员经常不选择正确的配置，使 EBS 快照无意中公开并且未加密。“这意味着互联网上的任何人都可以下载你的硬盘并将其连接到他们控制的机器上，然后开始通过磁盘搜索任何类型的秘密，”他说。

Morris 使用亚马逊自己的内部搜索功能构建了一个工具，用于查询和抓取公开暴露的 EBS 快照，然后加载它，制作副本并列出其系统上卷的内容。这意味着，如果系统管理员的设置不当，只需要将磁盘曝光几分钟，研究人员就足以拿到一份快照文档，从而还原出云存储中数据的本来面目。

阅读全文: 技术人员发现​数百个暴露的亚马逊云备份快照泄露了客户数据

说明

点击数：1370

• Huawei
• operating system

Huawei Technologies Co unveiled its much-anticipated in-house operating system Harmony OS on Friday, marking the Chinese tech giant's arguably biggest push to build its own software ecosystem.

The move is also expected to offset the influence of the US government's restrictions over the use of Google's Android operating system in smartphones and other hardware.

Yu Chengdong, CEO of Huawei's consumer business group, said an operating system is needed to address future challenges in the era of internet of things, and it is hard to deliver a smooth experience across different devices with millions of lines of code.

Unlike the much-expected name of HongMeng, Huawei adopted Harmony for its in-house operating system to solve all these problems.

Yu said some features of Harmony have already been used in its premium smartphone models and other devices.

When asked whether Harmony can be used in its smartphones, Yu said, "Of course, it can be used in smartphones. But Android is still Huawei's preferred choice for handsets, given the status-quo ecosystem. However, when Android is not available, Harmony can be applied to smartphones immediately."

Yu highlighted that Harmony is the next-generation system based on microkernel, and it can be distributed to all scenarios, including smart TVs, automobiles, and wearables, and other hardware.

Huawei said it has over 500 million registered users and 910,000 mobile application developers on Huawei's platform.