苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞
苹果公司周四发布了安全更新,以解决被攻击者利用来入侵iPhone、iPad和Mac的两个零日漏洞。
零日安全漏洞是软件供应商不知道的缺陷,还没有打补丁。在某些情况下,它们也有公开可用的概念验证漏洞,或者可能已被积极利用。
在今天发布的安全公告中,苹果公司表示,他们知道有报告称这些问题 “可能已经被积极利用了”。
这两个缺陷是英特尔图形驱动程序中的越界写入问题(CVE-2022-22674),允许应用程序读取内核内存,以及AppleAVD媒体解码器中的越界读取问题(CVE-2022-22675),将使应用程序以内核权限执行任意代码。
这些漏洞由匿名研究人员报告,并由苹果公司在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1中修复,分别改进了输入验证和边界检查。
—— BleepingComputer
NFT 游戏遭黑客入侵,损失超过6.25亿美元
Ronin Network 是Axie Infinity 所在的网络,这是一款流行的赚取基于NFT 的游戏。
最新的加密货币黑客攻击可能是迄今为止最大的一次。
以游戏为主的 Ronin Network 周二宣布,损失超过6.25亿美元的USDC和以太坊(ETH)。
根据 Ronin Network 的官方Substack发表的一篇博文,该漏洞影响了 Ronin Network 的验证器节点Sky Mavis(流行的Axie Infinity游戏的发行商)和Axie DAO。
正如在Etherscan上看到的那样,一名攻击者 “使用被入侵的私钥,以伪造来自 Ronin 的虚假提款”,跨越两笔交易。
虽然Ronin侧链有9个验证器,需要5个签名才能提现,旨在防止这些类型的攻击,但博文指出,”攻击者通过我们的无气RPC节点找到了一个后门,他们滥用了这个后门来获得Axie DAO验证器的签名。”
该博文将损失定为17.36万以太坊和2550万USDC,目前价值超过6.25亿美元。
—— CoinDesk
南美黑客组织LAPSUS$ 宣称成功入侵 Okta 的管理员账户。Okta 发文回应称这与今年一月一位第三方人员帐号被入侵有关近期并未发生入侵事件。
https://sec.okta.com/articles/2022/03/official-okta-statement-lapsus-claims/
—— 层叠
南美黑客组织LAPSUS$ 宣称成功入侵 Okta 的管理员账户。Okta 发文回应称这与今年一月一位第三方人员帐号被入侵有关近期并未发生入侵事件。
https://sec.okta.com/articles/2022/03/official-okta-statement-lapsus-claims/
—— 层叠
黑客组织宣称成功入侵了阿里云和腾讯的构建服务器。源代码被出售。
—— raidforums
近日,PHP 团队发现其 git.php.net 服务器被入侵,官方仓库中出现了两个恶意提交,并且这些提交伪造了 PHP 开发者和维护者 Rasmus Lerdorf 和 Nikita Popov 的签名。
事情发生在预计今年年底发布的 PHP 8.1 开发分支中。这两个提交试图在 PHP 中留下一个远程代码执行的后门:如果字符串以 “zerodium” 开头,就会从 useragent HTTP 头内执行 PHP 代码
PHP 仍然是服务器端主要的编程语言,为互联网上超过 79% 的网站提供支持,如果该后门没有被发现,后果将非常严重….