1、unCAPTCHA 可在6秒之内打破450个 ReCAPTCHA

unCAPTCHA是由马里兰大学（UM）的四名计算机科学专家团队设计的一种新的自动化系统，可以以85％的准确度打破Google的reCAPTCHA挑战。

CAPTCHA项目是Completely Automated Public Turing Test to Tell Computers and Humans Apart (全自动区分计算机和人类的图灵测试)的简称， CAPTCHA的目的是区分计算机和人类的一种程序算法，是一种区分用户是计算机和人的计算程序，这种程序必须能生成并评价人类能很容易通过但计算机却通不过的测试。

reCAPTCHA是利用CAPTCHA的原理，借助于人类大脑对难以识别的字符的辨别能力，进行对古旧书籍中难以被OCR识别的字符进行辨别的技术。也就是说，reCAPTCHA不仅可以反spam，而且同时还可以帮助进行古籍的数字化工作（可以称为人工OCR）。

这个系统的目标不是打破reCAPTCHA的图像系统，而是recaptcha的音频版本——这个版本可以帮助残疾人解决问题。

unCAPTCHA通过下载这个音频拼图并将其馈送到六个智能朗读（TTS）系统，聚合结果，并将最可能的答案提供给Google的服务器。

研究人员的测试表明，unCAPTCHA可以在5.42秒内以85.15％的准确度打破450个reCAPTCHA挑战，这比人们需要聆听一个reCAPTCHA音频挑战的时间少。

gitHub上提供了unCAPTCHA

UM研究人员在GitHub上发布了unCAPTCHA的代码。他们的代码使用了诸如Bing语音识别，IBM，Google Cloud，Google Speech Recognition，Sphinx和Wit-AI等TTS系统。

unCAPTCHA不是第一个这一类的系统。三月份，一位研究人员发表了ReBreakCaptcha，几乎与unCAPTCHA一样。但不同的是，UM研究人员提前通知Google他们的工作，公司努力改进reCAPTCHA。

研究人员说：“从那时起，reCaptcha似乎包含了一些限制uncaptcha成功的额外保护措施。

“例如，Google还改进了浏览器自动检测功能，”该团队补充说。“这意味着Selenium不能在目前的状态下从Google获得验证码，这可能会导致Google向用户发送奇怪的音频片段。另外，我们观察到一些音频挑战不仅包括数字，而且还包括小片段的口头文字“。

AI bot还在上周打破了reCAPTCHA

同样上周，研究人员还宣布，他们创建了一个功能与人眼相似的AI机器人，还可以高精度地打破各种CAPTCHA系统。更具体地说，这个新系统解决了谷歌以66.6％的准确性攻破了reCAPTCHA ，64.4％BotDetect ，57.4％Yahoo，57.1％PayPal图像挑战。

读者可以在题为研究论文“unCaptcha：验证码的音频挑战的低资源失败，”中阅读更多关于这个新的reCAPTCHAbreaker。点击这里下载。研究论文也是今年八月份发布的“关于进攻性技术（WOOT）2017”的Usenix研讨会的一部分。

翻译：看雪翻译小组哆啦咪
原文链接：https://www.bleepingcomputer.com/news/technology/uncaptcha-breaks-450-recaptchas-in-under-6-seconds/

---

2、无需与用户交互,黑客就可以窃取 Windows 登录凭据

Catalin Cimpanu

微软已经修复了最新版本的Windows系统来抵御该攻击--不需要任何用户间的交互，就可能允许攻击者窃取Windows 的NTLM(NT网络管理器)的哈希密码。

攻击很容易实施，并不涉及一些高深的技术。攻击者只要将恶意的SCF文件放在可公开访问的Windows共享文件夹中即可。

当文件被放进文件夹，由于存在一个说不清楚的bug，所以恶意文件会被执行。它收集目标的NTLM哈希密码，并将其发送到攻击者配置的服务器。只要得到软件，攻击者就能破解NTLM的哈希密码，随后就可以访问用户的计算机。

这样的攻击将允许攻击者直接连接上受害者的网络，并且提升对附近系统的访问权限。

并非所有计算机上的共享文件夹都是有漏洞的

计算机上的共享文件夹只要设置了密码保护，就是安全的。由于这是Windows中的默认选项，因此大多数用户不会遭受这个攻击。

尽管如此，企业环境，学校和其他公共网络中的用户通常会图方便，然后共享文件夹不设密码，从而使许多系统可能被攻击。

补丁程序仅适用于Windows 10和Server 2016

这个攻击是由哥伦比亚安全研究员胡安·迭戈（Juan Diego）发现的，他在四月份向微软报告了这个问题。

微软通过ADV170014安全公告在本月的周二补丁中修补了该攻击媒介。该补丁仅适用于Windows 10和Windows Server 2016用户。

因为修改注册表与旧版本的Windows防火墙不兼容，所以旧版本的Windows系统用户仍然可能受到此攻击。

攻击漏洞的原理仍是一个谜

Diego告诉Bleeping Computer， ADV170014已经修复了该漏洞，但还是不清楚这个漏洞的原理是什么。

通过一个恶意的SCF文件就可以进行攻击。 SCF代表Shell命令文件，是一种提供有限支持的Windows资源管理器命令集的文件格式，例如打开Windows资源管理器窗口或显示桌面。我们每天都使用的“显示桌面”的快捷方式就是一个SCF文件。

“攻击者只需要将SCF文件上传到有漏洞的文件夹中，” Diego通过电子邮件告诉Bleeping Computer，“并且强调不需要用户的交互过程。”

以前类似的攻击是只有当受害者访问文件夹时才会执行SCF文件。而这一次Diego发现，当攻击者将SCF文件上传到共享文件夹后，SCF文件中包含的恶意命令就会执行，而不需要用户查看该文件的内容。

为什么会这样对Diego来说还是一个谜。 “这个[攻击]是自动的，我还不知道触发这个问题的根本原因，”Diego说，“[微软]对此非常保密。

微软补丁尝试解决pass-the-hash攻击

微软提供的补丁实际上并没有修复SCF文件自动执行的问题，Diego无法解释但试图修复一个有着二十多年历史的攻击，称为pass-the-hash--与用户网络外的服务器自动分享NTLM哈希值（Diego在他的攻击中使用的一种技术）。

这个问题很早以前就出现了，并且有很多类型的Windows攻击方法。就在今年春天，出现了一个pass-the-hash类型的攻击--结合Chrome和SCF文件来窃取用户凭据，而其他最近时间的此类攻击则于2016年和2015年发布。

微软提供的修补程序可防止攻击者欺骗本地用户在位于本地网络外部的服务器上进行身份验证。

当迭戈向微软报道他的攻击后，德国研究员Stefan Kanthak才得到微软的确认，表示该问题已修复，因为他也在2017年3月报告了类似的漏洞。

Kotaak通过电子邮件告诉Bleeping，“微软在这方面（像往常一样）还是很糟糕，我报告的6个不同类型的漏洞，而微软才发布了2个更新程序”，并且暗示说有更多的方法可以利用pass-the-hash 漏洞攻击。

“我目前正在尝试换种方法利用此漏洞，”Diego还表示，他回应Kanthak的评估，“认为微软无法长久地跟进修复这个安全漏洞。”

虽然ADV170014是一个可选的补丁，但还是强烈建议安装这个更新程序。特别是因为确定无疑它可以阻止Diego的黑客攻击，和大多数类似的pass-the-hash攻击尝试。Diego的博客上提供了基于pass-the-hash漏洞的变种攻击的过程。

翻译：看雪翻译小组fyb波
原文链接：https://www.bleepingcomputer.com/news/security/hackers-can-steal-windows-login-credentials-without-user-interaction/

---

3、Google 修复 Chrome 浏览器中的高危 Bug

Google 在上周四给出了预警，提醒用户及时更新桌面版 Chrome 浏览器，此次发现的漏洞属于高危的堆栈缓冲区溢出，目前各平台的版本更新均已发布。

来自 Google 的工程师 Abdul Syed 在最新的安全公告中写道：“Windows、Mac 和 Linux 平台下的稳定版已更新到 62.0.3202.75，未来几天/周将会陆续进行推送。

Google 表示，该漏洞存在于 Windows 7 及更高版本，MacOS 10.5 及更高版本以及使用 i386、ARM 或 MIPS 处理器架构的 Linux 系统所使用的开源 Chrome V8 JavaScript 引擎中。

Google 没有公开有关此缓冲区溢出漏洞（CVE-2017-15396）的任何详细信息，Google 表示，在大多数用户还未修复前不会披露有关的详情，如果其它依赖此项目的第三方库也存在问题但尚未解决，我们也会考虑暂不公开。Chrome V8 引擎是用 C++ 和 Node.js 编写的，可以嵌入到任意的 C++ 程序中，也可以独立的运行。

这种类型的错误通常允许攻击者在目标程序中执行任意的代码，根据 OWASP Foundation 对该漏洞的描述，如果漏洞利用尝试失败，将会导致拒绝服务。

根据安全研究人员对该漏洞的分析，该错误位于 V8 引擎使用的处理 Unicode 编码的组件中。虽然此漏洞影响 V8 引擎和 Chrome 浏览器，但存在缺陷的代码并非来自 Google 团队。

这个漏洞是 9 月 30 日蚂蚁金服巴斯光年安全实验室的研究员 Yu Zhou 报告的，他也因此获得 Google Bug 赏金计划提供的 3,000 美元奖励。

在 2016 年 12 月，Chrome V8 JavaScript 引擎也被曝出存在严重的漏洞。其中一个错误是 “V8 中的私有属性访问” 漏洞，另一个则是 V8 引擎中的 UAF 漏洞。

美国计算机应急准备小组也在上周五发布了关于此漏洞的预警。

同时，在上周四 Google 还发布了 Chrome for Android（62.0.3202.73）的更新，修复了一个内存泄漏 bug 和一个严重的崩溃问题。

此前，Google 曾在 10 月 17 日更新了 Chrome 桌面版浏览器（版本号为 62.0.3202.62），共包含了 35 个安全更新，其中 8 个为高危，7 个为中危。最高奖金 8,837 美元归属于一位未公开信息的研究员，他发现了 HHTML 中的一个 UXSS 漏洞（CVE-2017-5124）。根据 Red Hat 的描述，当用户访问包含该漏洞的恶意网页时可能导致程序发生崩溃、执行任意代码或泄露敏感的信息。

翻译：看雪翻译小组BDomne
原文链接：https://threatpost.com/google-patches-high-severity-browser-bug/128661/

*本文由看雪翻译小组翻译，转载请注明来自看雪论坛

*加入我们：
请将你的看雪ID、手机号、邮箱地址、翻译文章链接发至cherie@kanxue.com
注意：说明您的申请理由

欢迎加入我们！