Windows 曝严重安全漏洞,攻击者可零点击远程入侵设备
此漏洞被编号为 CVE-2024-38063,是一个严重漏洞,评分为9.8。它存在于 Windows 的 TCP/IP 网络堆栈中,是一个严重的远程代码执行漏洞。未经身份验证的攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞并实现远程代码执行。
攻击者无需任何用户交互即可利用漏洞,入侵系统并获取最高权限。利用难度低,攻击者可以通过批量扫描互联网,寻找存在漏洞的主机。攻击者无需以用户身份进行身份验证。不需要访问受害者计算机上的任何设置或文件。受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。
强烈建议用户立即更新系统至最新版本。微软正在发布相关补丁以修复此漏洞。如果目标计算机上禁用 IPv6,系统不会受到影响。 大多数情况下,用户获取到的 IPv6 地址为公网地址,因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性的入侵。
—— LoopDNS资讯 ,微软
AMD 发布更新以缓解“Sinkclose”严重漏洞,但不会覆盖较旧的CPU
AMD 产品安全部门已针对多个处理器系列发布了更新以缓解此问题,但并非所有处理器系列都包含在内。AMD 没有计划更新其 Ryzen 1000、2000 和 3000 系列处理器或其 Threadripper 1000 和 2000 型号。
AMD 最近的大多数处理器都已收到缓解选项来处理该问题。这包括 AMD 数据中心的所有 EPYC 处理器、最新的 Threadripper 和 Ryzen 处理器。其 MI300A 数据中心芯片也正在获得补丁。当被问及更新的后果时,该公司表示“预计不会对性能产生影响”。因此,该公司可能仍在进行性能测试,以充分评估补丁对整体系统性能的影响。
攻击者需要访问系统内核才能利用 Sinkclose 漏洞,因此系统必须已被攻陷。这种攻击本身十分复杂,通常只有受国家支持的黑客才会使用。
—— Tom’s Hardware
AMD 公布严重漏洞:影响数亿个CPU,几乎无法修复
“Sinkclose”是最近发现的高危漏洞,影响了自2006年以来发布的几乎所有 AMD 处理器。此漏洞允许攻击者深入渗透系统,使得检测或删除恶意软件变得极其困难。这个问题非常严重,在某些情况下,放弃受感染的机器可能比修复更容易。不过,由于该漏洞18年来一直未被发现,因此很可能未被利用过。AMD 也提供了新版固件和微码补丁,尽管并非所有受影响的处理器都已收到补丁。
Sinkclose 漏洞允许黑客在 AMD 处理器的系统管理模式 (SMM) 中执行代码,这是一个通常为关键固件操作保留的高权限区域。要利用此漏洞,攻击者必须首先获得系统内核的访问权限,这并不容易,但并非不可能。不过,系统必须已经受到其他攻击的攻击。
一旦获得这种访问权限,Sinkclose 漏洞就会允许犯罪分子安装可以逃避标准防病毒工具检测的 bootkit 恶意软件,这种恶意软件在系统中几乎不可见,并且即使在重新安装操作系统后仍能持续存在。
该漏洞利用了 AMD 芯片中名为 TClose 的模糊功能,该功能旨在保持与旧设备的兼容性。通过操纵此功能,研究人员能够重定向处理器以在 SMM 级别执行自己的代码。这种方法很复杂,但为攻击者提供了对系统的深度和持久控制。
—— tom’s Hardware
研究人员称黑客可利用5G基带漏洞监视手机用户
宾夕法尼亚州立大学的研究人员于周三在拉斯维加斯举行的黑帽网络安全会议上展示了他们的研究成果并发表了一篇学术论文。研究人员表示,他们在不同的5G基带中发现了一系列安全漏洞,这些漏洞可能让黑客秘密地入侵受害者并对其进行监视。研究员使用他们自制的分析工具,发现了三星、联发科和高通基带漏洞。并成功诱使那些存在5G基带漏洞的手机连接虚假基站,然后从那里发起攻击。通过利用发现的漏洞,恶意黑客可以假装是受害者的朋友并发送可信的网络钓鱼消息。或者通过将受害者的手机引导到恶意网站。研究员还能够将受害者从5G降级到4G甚至更早的协议,从而更容易窃听受害者的通信。 三星、谷歌表示已修复这些漏洞。
—— Techcrunch
被曝可绕过锁屏高危漏洞?搜狗:仅在特定Windows系统 已紧急修复
有市民近日收到了工作单位的通知,指出搜狗输入法存在一个能够轻易绕过电脑锁屏夺取系统权限的高危漏洞,攻击者可以通过部分版本搜狗输入法绕过系统登录密码,在锁屏的情况下执行CMD命令,获取本机系统权限。因此要求卸载该输入法。
对此,搜狗输入法昨日回应称,经安全团队排查,该问题仅存在于特定版本Windows系统,是由于微软屏幕键盘等相关程序主动以特权接口加载中文输入法导致,“我们已将此系统漏洞通知微软相关团队。”“在微软修复该漏洞前,为更有效保护用户安全,我们已采取了主动规避措施,在Windows登录界面下搜狗输入法将主动退出加载执行。”搜狗输入法补充道,该问题已被紧急修复。
—— 财联社
“将共享充电宝据为己有”有教程?
近日,有网友向北青报记者表示,有多名商家在二手商品交易平台上发布了“不花钱将共享充电宝据为己有”的教程,宣称可以不花一分钱,就将市面上常见的共享充电宝变成个人所有。按照商家提供的“教程”,记者来到两家商城,分别租借了两家不同品牌的共享充电宝。按照“教程”联系平台客服沟通后,两家的客服均在未归还充电宝的情况下结束了租借订单。对此,共享充电宝平台客服表示,客户提出诉求后,平台会优先帮助用户解决问题,因此会先选择信任客户。针对此类问题,客服会向上级反馈核实,及时加强管理。北京市康达律师事务所律师韩骁表示,行为人主观上具有非法占有目的,客观上利用漏洞和平台的信任将共享充电宝据为己有,符合秘密窃取的行为特征,客观上有盗窃行为,在一定条件下可构成盗窃罪。
—— 新华社
Google 和 Alphabet “漏洞奖励计划”奖励增加 5 倍至 151,515 美元
自2010年以来,“Google漏洞奖励计划(VRP)”一直在奖励在 Google 系统和应用程序中漏洞的发现者。随着时间的推移,该公司认为其系统变得更加安全,发现漏洞需要更长的时间,因此宣布将把奖励金额上调至5倍,最高奖励为151,515美元 (对于 Google 最敏感的产品中的“远程代码执行”(RCE) 奖励为101,010美元,对于报告质量优异的奖励将提升至1.5倍 ,即151,515美元)。
从今年7月11日起提交的漏洞报告才有资格使用新的奖励表。对于为什么奖励是101,010美元,该公司称,因为他们是42这个数字的粉丝。
—— Google 博客
OpenSSH 服务端中发现远程未经身份验证代码执行漏洞
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
—— Qualys
谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新
谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说,这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少,但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备,“否则停止使用该产品。”据 GrapheneOS 称,这是对其在四月报告的漏洞第二部分修复,这些漏洞“正被取证公司积极利用。”该公司还表示,“该问题已通过 6 月更新 (安卓 14 QPR3) 在 Pixel 上得到修复,并将随着其他安卓设备最终升级到安卓 15 而修复。如果没有更新到安卓 15,可能不会得到修复,因为安全补丁目前还没有向后移植。”
—— 福布斯
微软发现影响多款数亿次下载量安卓应用的安全漏洞
微软在 Android 应用中发现了与自定义意图 (Custom Intents) 有关的漏洞,并将其命名为“Dirty Stream”,该漏洞可使恶意应用覆盖易受攻击的应用主目录中的文件。此漏洞模式的影响包括任意代码执行和身份凭证窃取。该漏洞与用于安卓应用间共享数据的内容提供程序系统有关,如果开发者没有正确实现该功能,就会产生暴露应用中的敏感数据。
微软在谷歌 Play 商店中发现了多个存在漏洞的应用,这些应用的安装量累积超过40亿次,其中至少有四个应用的安装量超过5亿。其中被发现的应用示例是小米文件管理器 (安装量超过10亿) 和 WPS Office (安装量超过5亿)。截至2024年2月,微软已通知的应用开发者均已发布修复程序,并建议用户保持其设备和已安装的应用为最新版本。
—— 微软博客