有着怎样的特点IBM为何不愿修复第三方免费提交的IDRM零日漏洞扩展安全奖励项目后,谷歌GPSRP和DDPRP将覆盖哪些情况2月曝光的Razer Blade笔记本电脑安全漏洞,Google Play 安全奖励(GPSRP)项目已经向安全研究人员支付了超过 26.5 万美元的赏金,2月曝光的Razer Blade笔记本电脑安全漏洞,谷歌已经向安全研究人员支付了超过 1500 万美元的奖励,现在已经完成修复了吗一加新推出的除虫赏金项目,一加宣布了一个影响多达 4 万客户的安全漏洞,谷歌与 HackerOne 合作推出了开发者数保护奖励(DDPRP)项目。
本文目录
- 一加新推出的除虫赏金项目,有着怎样的特点
- IBM为何不愿修复第三方免费提交的IDRM零日漏洞
- 扩展安全奖励项目后,谷歌GPSRP和DDPRP将覆盖哪些情况
- 2月曝光的Razer Blade笔记本电脑安全漏洞,现在已经完成修复了吗
一加新推出的除虫赏金项目,有着怎样的特点
今年 11 月,一加宣布了两年来遭遇的第二次数据泄露。为此,这家手机制造商承诺在 2019 年底前启动除虫赏金项目,以增强社区互信和自身的安全性。
今天,该公司正式宣布了除虫赏金项目,提交 bug 的研究人员,最高可获 7000 美元的奖励。如果你发现了相关 bug 或漏洞,可先注册一个账户,然后向官方提交。
(来自:OnePlus,via TheVerge)
有趣的是,该公司安全响应中心(OneSRC)还设立了一个“名人堂”,着重介绍每月前三的杰出贡献者。
目前划定的赏金级别如下:
● 特例:最高 7000 美元;
● 严重:750~1500 美元;
● 高级:250~750 美元;
● 中等:100~250 美元;
● 最低:50~100 美元。
一加表示,该公司会根据漏洞的严重性、及其对实际业务的影响程度来评判。同时,该公司还与 HackerOne 达成了合作。
今年 11 月,一加表示将于世界知名安全平台合作,现在可知对方就是 HackerOne 。
双方的合作,始于一项试点计划,旨在邀请部分安全研究人员对一加的系统展开测试。
该计划的公开版本,将于 2020 年正式启动。
2018 年 1 月的时候,一加宣布了一个影响多达 4 万客户的安全漏洞,导致客户的信用卡信息被盗。
至于 2019 年 11 月的第二起数据泄露事件,一加表示某些客户的姓名、联系电话、电子邮件和送货地址或已曝光。
庆幸的是,付款和账户信息仍然是安全的,但该公司未指明有多少客户受到了影响。
IBM为何不愿修复第三方免费提交的IDRM零日漏洞
由于被告知后拒绝修补,安全研究人员今日发布了影响 IBM 磁盘风险管理(IDRM)这款企业安全工具的四个零日漏洞。
据悉,IDRM 能够汇总来自漏洞扫描工具和其它风险管理工具的提要,以便管理员调查安全问题。
正如 Agile 信息安全公司研究主管 Pedro Ribeiro 所指出的那样,IDRM 是一款能够处理相当敏感信息的企业安全产品。
遗憾的是,有关 IDRM 产品本身的漏洞,却可能导致企业遭受全面的损害。因其具有访问其它安全工具的凭据,更别提汇总了有关企业的关键漏洞信息。
Ribeiro 表示,其在 IDRM 中发现了四个漏洞,并且与 CERT / CC 计算机安全响应团队合作,通过官方披露程序向 IBM 汇报了这些问题。
然而即便被告知四个漏洞的严重性,IBM 方面的回应却有些匪夷所思 —— 该产品仅用于客户的‘增强’支持,在评估之后,我们不认为他在漏洞披露程序的范围之内。
我司已在
扩展安全奖励项目后,谷歌GPSRP和DDPRP将覆盖哪些情况
自 2010 年推出除虫赏金项目以来,谷歌已经向安全研究人员支付了超过 1500 万美元的奖励。
今天,这家科技巨头宣布进一步拓展 Google Play 安全奖励项目(GPSRP)的范围,以覆盖上亿的 Android 应用程序。
与此同时,谷歌与 HackerOne 合作推出了开发者数保护奖励(DDPRP)项目,适用于针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序的数据滥用。
(图自:Google,via VentureBeat)
谷歌认为,除虫奖励项目是其内部安全计划的一个有力补充,能够激励个人和安全研究机构帮助其找到缺陷并正确地披露,而不是将之在灰色市场兜售或恶意使用。
与其等到发生难以挽回的严重后果,还是掏钱奖励安全研究人员来得划算。此外,在今天的更新发布之前,谷歌还于上月增加了 Chrome 浏览器、Chrome OS、以及 Google Play 的安全研究奖励。
截至目前,Google Play 安全奖励(GPSRP)项目已经向安全研究人员支付了超过 26.5 万美元的赏金。随着该项目覆盖更多热门的应用,未来谷歌有望拿出更多的预算。
同时,谷歌还在努力提升自动筛查漏洞的技术能力,为 Google Play 中的所有应用查找类似的漏洞。如有应用开发者受到影响,可通过 Play 控制台接收到相应的通知。
据悉,谷歌的应用安全改进(ASI)项目,能够为开发者提供与漏洞及其修复方法相关的信息。
今年 2 月的时候,谷歌透露 ASI 项目已帮助超过 30 万名开发者,在 Google Play 上修复了超过 100 万个应用。
至于新增的开发人员数据保护奖励(DDPRP)计划,旨在识别和减轻针对 Android 应用、OAuth 项目、以及 Chrome 扩展程序中的数据滥用问题。
若研究者可体征验证明确的数据滥用,谷歌将会根据 DDPRP 的奖励方案给予一定的报酬,因为该公司对用户数据被外使用或出售等情况尤为关切,最高可送上单笔 5 万美元的奖金。
那些被认定存在数滥用行为的 Android 应用和 Chrome 扩展程序,不仅会被 Google Play 和 Chrome 网上应用店下架,其开发者也会被限制对相应 API 的访问。
2月曝光的Razer Blade笔记本电脑安全漏洞,现在已经完成修复了吗
今年 2 月,Razer Blade 系列笔记本电脑被曝存在与 Intel ME 有关的固件漏洞。别有用心的攻击者,或借此将恶意软件植入受害者的 PC 中。
该安全漏洞的代号为 CVE-2018-4251,最初是在 macOS 10.13.5 之前的苹果笔记本电脑上被发现的。但由于它属于英特尔主板固件的一部分,许多厂商的产品都受到了影响。
(题图 via:TechSpot)
早在去年,苹果就已经修复了这个安全漏洞。然而上个月的时候,安全研究员 Bailey Fox 再次公开披露了 Razer 计算机中存在的这一漏洞。
在私下里通过 HackerOne 提醒了一个月后,挣扎许久的 Bailey Fox 决定在 Twitter 上曝光此事,以引起该公司的注意。他表示:
当前所有 Razer 笔记本电脑都预置了 Intel manufacturing Mode,拥有对 SPI 闪存的完整读写权限,这完全就是照搬的 CVE-2018-4251,该漏洞仍未被修复。
据悉,英特尔通过该模式来配置启动验证等设置,如果保持为开启状态,恶意软件就可以借此对计算机展开控制,敞开包括“熔毁”(Meltdown)在内的漏洞大门。
更糟糕的是,恶意软件和配置可以直接写入到主板固件,使之难以被反病毒软件给检测到。即便用户格掉了硬盘、并恢复了出厂设置,问题依然存在。
这件事的教训,表明不被最终用户所使用的制造模式,根本就不应该存在于主板固件之中。万幸的时,Razer 于上周承认了这个问题,并发布了修复方案。
该公司一位发言人称,他们已经对工厂发货的英特尔芯片组计算机进行了修补。其余已发货的机型,亦可通过官方发布的软件更新来修复。
