Google 和 Alphabet “漏洞奖励计划”奖励增加 5 倍至 151,515 美元
自2010年以来,“Google漏洞奖励计划(VRP)”一直在奖励在 Google 系统和应用程序中漏洞的发现者。随着时间的推移,该公司认为其系统变得更加安全,发现漏洞需要更长的时间,因此宣布将把奖励金额上调至5倍,最高奖励为151,515美元 (对于 Google 最敏感的产品中的“远程代码执行”(RCE) 奖励为101,010美元,对于报告质量优异的奖励将提升至1.5倍 ,即151,515美元)。
从今年7月11日起提交的漏洞报告才有资格使用新的奖励表。对于为什么奖励是101,010美元,该公司称,因为他们是42这个数字的粉丝。
—— Google 博客
OpenSSH 服务端中发现远程未经身份验证代码执行漏洞
7月1日消息,Qualys 的威胁研究部门在基于 glibc 的 Linux 系统中发现了 OpenSSH 服务端 (sshd) 中存在一个远程未经身份验证的代码执行 (RCE) 漏洞。该漏洞影响 8.5p1 到 9.7p1 之间的版本。分配给此漏洞的编号为 CVE-2024-6387,评分 8.1,严重性为高。通过使用 Censys 和 Shodan 进行搜索发现,超过 1400 万个可能存在漏洞的 OpenSSH 服务器实例暴露在互联网上。
该漏洞是 OpenSSH 服务端 (sshd) 中的一个信号处理程序竞争条件,允许在基于 glibc 的 Linux 系统上以 root 身份进行未经身份验证的远程代码执行 (RCE);这会带来重大的安全风险。此竞争条件会影响默认配置下的 sshd。
—— Qualys
谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新
谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说,这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少,但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备,“否则停止使用该产品。”据 GrapheneOS 称,这是对其在四月报告的漏洞第二部分修复,这些漏洞“正被取证公司积极利用。”该公司还表示,“该问题已通过 6 月更新 (安卓 14 QPR3) 在 Pixel 上得到修复,并将随着其他安卓设备最终升级到安卓 15 而修复。如果没有更新到安卓 15,可能不会得到修复,因为安全补丁目前还没有向后移植。”
—— 福布斯
微软发现影响多款数亿次下载量安卓应用的安全漏洞
微软在 Android 应用中发现了与自定义意图 (Custom Intents) 有关的漏洞,并将其命名为“Dirty Stream”,该漏洞可使恶意应用覆盖易受攻击的应用主目录中的文件。此漏洞模式的影响包括任意代码执行和身份凭证窃取。该漏洞与用于安卓应用间共享数据的内容提供程序系统有关,如果开发者没有正确实现该功能,就会产生暴露应用中的敏感数据。
微软在谷歌 Play 商店中发现了多个存在漏洞的应用,这些应用的安装量累积超过40亿次,其中至少有四个应用的安装量超过5亿。其中被发现的应用示例是小米文件管理器 (安装量超过10亿) 和 WPS Office (安装量超过5亿)。截至2024年2月,微软已通知的应用开发者均已发布修复程序,并建议用户保持其设备和已安装的应用为最新版本。
—— 微软博客
英国监管机构表示,谷歌Chrome 隐私沙盒存在广告商可以利用的漏洞
谷歌多年来一直在努力减少线上广告的侵犯性,但这方面的行动又遇到问题。据《华尔街日报》查阅到的内部文件显示,英国隐私监管机构表示,谷歌提议的 Cookie 替代方案需要采取更多措施来保护消费者隐私。
英国信息委员办公室(ICO)在一份报告草案中写道,谷歌提出的被称为“隐私沙盒”(Privacy Sandbox)的技术存在漏洞,可能会被用来破坏隐私并识别出本应匿名的用户。ICO表示,基于ICO所称的行业系统性违规行为,公司很可能会利用这项技术继续在不同网站上跟踪用户。
另一方面,如果竞争与市场管理局(CMA)要求谷歌根据ICO的担忧修改其技术,则可能会推迟谷歌弃用 Cookie 的时间表,以便有时间彻底修改隐私沙盒技术。广告行业批评人士表示,谷歌在 Chrome 浏览器中进行广告拍卖的计划将使谷歌成为实际控制人。谷歌承诺不会优待自己的产品,这是谷歌与CMA达成协议的一部分。
—— 华尔街日报
再度反转:Telegram Desktop 版本远程代码执行漏洞被复现
该漏洞危害程度很高,建议用户根据文章建议关闭自动下载功能
4月9日一条视频宣称 Telegram Desktop 客户端有漏洞,能轻松实现远程代码执行恶意攻击。当日, Telegram 称无法确认 Desktop 版本远程代码执行漏洞。
4月12日 Rosmontis_Daily 发现:
Telegram Desktop Github 库下一条PR中提到一个 Bug,能通过某种方式发送 pyzw 格文件,Telegram 会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件: Telegram Desktop Windows <=v4.16.6 + 安装Python环境。
出于安全考虑,请禁用自动下载功能。 按照以下步骤操作:
进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download)”部分,禁用所有聊天类型“私聊(Private chats)、群组(Groups)和频道(Channels)”中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察,不要随意点击附件。
—— Rosmontis_Daily
Telegram 称无法确认 Desktop 版本远程代码执行漏洞
Telegram 官方刚刚在社交平台 X 上发布消息表示,无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。该视频很可能是一个骗局。并表示:“任何人都可以报告我们应用中的潜在漏洞并获得奖励。” 之前有消息报告称 Telegram 出现高危远程代码执行漏洞,恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。
—— Telegram
数百个网站错误配置的 Firebase 实例暴露了约1.25亿用户的数据
三位安全研究人员解释说,这一切都源于对人工智能招聘系统 Chattr 的黑客攻击,该公司为美国多家机构提供服务。Chattr 的Firebase配置中存在一个漏洞,使得研究人员可以通过注册新用户获得数据库的全部权限。接下来,研究人员开始识别通过配置错误的 Firebase 实例暴露敏感信息的其他网络应用程序,并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含 8000 多万个姓名、1 亿多个电子邮件地址、3300 多万个电话号码和 2000 多万个密码,以及 2700 多万个账单信息条目。
研究人员说,他们已经尝试与842个网站联系,但只有85%的电子邮件能够送达。四分之一的网站解决了配置错误问题,1%的网站回复了电子邮件。不过,只有两个网站的所有者提供了漏洞悬赏奖金。
—— env.fail
爱尔兰政府网站的一个漏洞暴露了COVID-19疫苗接种记录,直到两年后才公开披露
安全研究员 Aaron Costello 表示,他于2021年12月 (即爱尔兰开始大规模接种COVID-19疫苗一年后) 发现了爱尔兰卫生服务执行局 (HSE) 运营的 COVID-19 疫苗接种门户中的漏洞。Costello 表示,该漏洞意味着其他任何人都可以访问超过100万爱尔兰居民的疫苗接种记录,包括全名、疫苗接种详细信息 (包括接种或拒绝接种疫苗的原因) 以及疫苗接种类型以及其他类型的数据。除了 Costello 之外,没有人发现了这个漏洞,而且 HSE 保留了详细的访问日志,日志显示“没有未经授权的访问或查看此数据”。HSE 发言人表示:“我们在收到警报的当天就修复了错误配置。”Aaron Costello 这次的公开披露标志着自首次报告该漏洞以来已有两年多了。他最终被告知,爱尔兰政府不会公开披露该漏洞。
—— Techcrunch
迅雷因懈怠回应导致大量漏洞被研究人员公开
日前安全研究人员 Wladimir Palant 在自己的网站上指责迅雷客户端存在大量漏洞,同时迅雷对修复工作不积极或者不愿意与研究人员沟通,最终结果是研究人员在行业惯例宽限期满 (90 天) 后公布了这些漏洞。研究人员公布的研究中,迅雷客户端遍布漏洞,因为迅雷为了尽可能留住用户提供了大量功能和广告,这些功能都是拼凑的,例如完整但版本老旧的Chromium浏览器和Flash播放器。
—— 蓝点网,Palant 的博客