谷歌公布iOS漏洞利用，可轻松实现越狱

谷歌Project Zero研究员Lan Beer这周兑现上周的承诺，公开了一个越狱漏洞，用户可运行所有第三方提供的APP，该漏洞可在所有使用iOS 64位11.1.2系统的苹果设备生效。

本周一早上，Beer 分享了漏洞细节“tfp0”，在这里，tfp0代表 task for pid 0，或者内核任务端口，用户就有权限全面控制操作系统的核心。

研究员在10月向苹果公司报告了该漏洞，苹果公司修复了该漏洞，并于12月2日发布iOS11.2版本。

另一位安全研究员确认该漏洞同样可在运行 iOS 11.1.2.系统的Apple TvOS 11.x 和 TV 4K 上运行。

更糟糕的事情是 因为苹果的iOS 移动操作系统和macOS 桌面操作系统共用同一套代码库，因此macOS 同样受到该漏洞的影响。

Lan Beer 称经过测试，该漏洞同样也可在Mac Book Air 5.2 的macOS10.13系统上运行。苹果随后在macOS 10.13.1版本中修复该漏洞。

早期操作系统的版本同样受到该漏洞影响，基本上将内核完全暴露给了操作系统，而这一点这是越狱的关键点。

虽然我们很久都没听说有越狱了，但Beer研究员的漏洞利用将成为 iOS 11越狱的基础，允许iPhone和iPad用户通过Apple所限制的app中，下载第三方定制操作系统。

如果iOS 11.1.2越狱成功，用户可通过iTunes将系统从iOS 11.2降至iOS 11.1.2，因为Apple 仍在使用改操作系统。

来源：hackernews

本文由看雪翻译小组 哆啦咪 编译

用脚本恢复NSA黑客工具篡改的事件日志

安全研究人员找到了一种方法来扭转NSA黑客漏洞利用工具的效果---工具会从机器中删除事件日志。

Fox-IT在上周发布了一个Python脚本，脚本可以将DanderSpritz中的“eventlogedit” 利用程序中删除的事件日志条目恢复出来。黑客组织Shadow Brokers早先将NSA的漏洞利用程序发布在网络上，而其中就包含DanderSpritz。

Fox-IT表示，他们发现了DanderSpritz日志清理工具中的一个漏洞，他们发现这个工具并没有真正删除事件的日志条目，而只是将它们重新引用，合并条目。

默认情况下，DanderSpritz会将一个或多个“含有入侵记录”日志条目与其之前“干净”的日志条目合并。

当Windows事件日志应用程序读取一个篡改的日志文件时，它将读取“干净”的版本，查看结束标记，并忽略未引用的“不良”事件的所有内容。

这个漂亮的技巧可以让攻击者在受感染机器上隐藏恶意行为，使用Fox-IT新的danderspritz-evtx脚本，调查人员现在可以重建原始日志文件并追踪攻击者的痕迹。

该脚本可以在github上得到，并且是调查受感染机器的人员的必备工具。

由于DanderSpritz已经泄漏了半年多，这意味着目前不仅仅是NSA的操作人员在使用它，一些网络犯罪组织和恶意软件家族可能已经将这一技术集成到自己兵器库中“eventlogedit”的核心部分。

DanderSpritz

DanderSpritz是一个漏洞利用框架，除清理日志功能外，还包括许多其他的功能。 NSA通常将它与FuzzBunch（漏洞利用框架）结合起来一起使用。

NSA的工作人员使用FuzzBunch在目标计算机上加载和执行exp，随后使用DanderSpritz来查找和提取敏感数据，传播到附近的计算机，并消除入侵的痕迹。

Kudelski Security的 研究员Francisco Donoso 在今年五月写了篇关于DanderSpritz的文章，称只需把它想象成Metasploit Meterpreter的国家版本，但具有自动化的反病毒检测和规避功能，以及大量（以往）无法检测到的工具来转储密码，收集信息。

来源：bleepingcomputer

本文由看雪翻译小组 fyb波编译