blog

迪士尼受到安全漏洞困扰的圈子

据安全研究人员称,与迪士尼(一个受欢迎的家长控制和互联网内容过滤器)的圈子一直存在安全漏洞,可能允许攻击者监控活动或劫持设备。由思科系统公司旗下的网络安全公司Talos Intelligence的专家对迪士尼拥有的,以家庭为中心的安全系统进行了检查,发现Circle与迪士尼有23个个人安全漏洞。作为“家庭在线,在任何设备上管理内容和时间的智能方式”,Circle With Disney是一种旨在让父母能够监控和控制孩子所接触内容类型的产品。该产品售价99美元,可与多种设备无线配对,包括Android和iOS手机和平板电脑,智能电视,电脑等。连接后,父母可以使用各种控件来限制屏幕时间和使用。使用迪士尼圈可以过滤掉某些内容,设置严格的时间限制,跟踪使用情况并监控在线活动以及其他监控功能。新闻周刊将于12月6日至7日在纽约举行的资本市场会议上主持AI和数据科学。照片:新闻周刊媒体集团不幸的是,Talos的研究人员发现该产品旨在确保孩子的安全,而在线实际上可能会打开整个家庭,直至来自攻击者的一系列潜在有害和侵入性活动。 “通过这些可利用的漏洞,恶意攻击者可以获得各种级别的访问和权限,包括更改网络流量,执行任意远程代码,注入命令,安装未签名固件,接受不同于预期的证书,绕过身份验证,升级权限,重启设备,安装持久的后门,覆盖文件,甚至完全破坏设备,“研究人员写道。在一篇博客文章中,来自安全公司的研究人员警告说,23个漏洞的严重程度不同,其中最糟糕的一组在普通漏洞评分系统(CVSS)上得分为10.0,这是表示严重安全漏洞的最高分数。该问题由研究人员确定为CVE-2017-12087,可能允许与Circle With Disney连接到同一网络的攻击者覆盖信息并执行攻击者指示的潜在恶意功能。另一个被确认为CVE-2017-2917的缺陷也被评为一个关键漏洞,得分为9.9 CVSS。根据研究人员的说法,该漏洞利用与Circle with Disney的通知功能有关,并允许攻击者使用特制的网络数据包 - 设计为标准网络流量的恶意数据 - 向设备注入命令。许多其他漏洞也获得了关键或高CVSS分数。其中一些漏洞将允许攻击者在设备上执行远程代码执行,损坏内存,强制机器重启并通过迪士尼的云基础架构将攻击传播到其他设备。 Talos Intelligence向迪士尼团队通报了安全漏洞,并表示Circle安全团队在解决问题方面一直“堪称典范”。 “Circle Media Labs的团队一直致力于提供功能,帮助消费者管理家中所有设备的屏幕时间,”Circle Media Labs的发言人告诉国际商业时报。 “我们一直与Talos团队密切合作,研究他们的研究结果,并迅速发布固件更新。”拥有迪士尼设备的Circle的所有者在遇到这些漏洞时不应该太担心;该公司创建并推出了一个自动安全更新,无需用户手动操作即可安装。

查看所有