英国监管机构表示,谷歌Chrome 隐私沙盒存在广告商可以利用的漏洞
谷歌多年来一直在努力减少线上广告的侵犯性,但这方面的行动又遇到问题。据《华尔街日报》查阅到的内部文件显示,英国隐私监管机构表示,谷歌提议的 Cookie 替代方案需要采取更多措施来保护消费者隐私。
英国信息委员办公室(ICO)在一份报告草案中写道,谷歌提出的被称为“隐私沙盒”(Privacy Sandbox)的技术存在漏洞,可能会被用来破坏隐私并识别出本应匿名的用户。ICO表示,基于ICO所称的行业系统性违规行为,公司很可能会利用这项技术继续在不同网站上跟踪用户。
另一方面,如果竞争与市场管理局(CMA)要求谷歌根据ICO的担忧修改其技术,则可能会推迟谷歌弃用 Cookie 的时间表,以便有时间彻底修改隐私沙盒技术。广告行业批评人士表示,谷歌在 Chrome 浏览器中进行广告拍卖的计划将使谷歌成为实际控制人。谷歌承诺不会优待自己的产品,这是谷歌与CMA达成协议的一部分。
—— 华尔街日报
再度反转:Telegram Desktop 版本远程代码执行漏洞被复现
该漏洞危害程度很高,建议用户根据文章建议关闭自动下载功能
4月9日一条视频宣称 Telegram Desktop 客户端有漏洞,能轻松实现远程代码执行恶意攻击。当日, Telegram 称无法确认 Desktop 版本远程代码执行漏洞。
4月12日 Rosmontis_Daily 发现:
Telegram Desktop Github 库下一条PR中提到一个 Bug,能通过某种方式发送 pyzw 格文件,Telegram 会将其识别为视频文件,实现伪装视频效果,且客户端默认设置条件下,会自动下载文件,用户看到后常常会下意识点击执行,攻击生效。前置条件: Telegram Desktop Windows <=v4.16.6 + 安装Python环境。
出于安全考虑,请禁用自动下载功能。 按照以下步骤操作:
进入设置(Settings) —— 点击“高级(Advanced)” —— 在“自动下载媒体文件(Automatic Media Download)”部分,禁用所有聊天类型“私聊(Private chats)、群组(Groups)和频道(Channels)”中 “照片(Photos)”、“视频(Videos)”和“文件(Files)”的自动下载。仔细观察,不要随意点击附件。
—— Rosmontis_Daily
Telegram 称无法确认 Desktop 版本远程代码执行漏洞
Telegram 官方刚刚在社交平台 X 上发布消息表示,无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。该视频很可能是一个骗局。并表示:“任何人都可以报告我们应用中的潜在漏洞并获得奖励。” 之前有消息报告称 Telegram 出现高危远程代码执行漏洞,恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。
—— Telegram
数百个网站错误配置的 Firebase 实例暴露了约1.25亿用户的数据
三位安全研究人员解释说,这一切都源于对人工智能招聘系统 Chattr 的黑客攻击,该公司为美国多家机构提供服务。Chattr 的Firebase配置中存在一个漏洞,使得研究人员可以通过注册新用户获得数据库的全部权限。接下来,研究人员开始识别通过配置错误的 Firebase 实例暴露敏感信息的其他网络应用程序,并发现有900个网站暴露了1.25亿用户的信息。已确认的数据库包含 8000 多万个姓名、1 亿多个电子邮件地址、3300 多万个电话号码和 2000 多万个密码,以及 2700 多万个账单信息条目。
研究人员说,他们已经尝试与842个网站联系,但只有85%的电子邮件能够送达。四分之一的网站解决了配置错误问题,1%的网站回复了电子邮件。不过,只有两个网站的所有者提供了漏洞悬赏奖金。
—— env.fail
爱尔兰政府网站的一个漏洞暴露了COVID-19疫苗接种记录,直到两年后才公开披露
安全研究员 Aaron Costello 表示,他于2021年12月 (即爱尔兰开始大规模接种COVID-19疫苗一年后) 发现了爱尔兰卫生服务执行局 (HSE) 运营的 COVID-19 疫苗接种门户中的漏洞。Costello 表示,该漏洞意味着其他任何人都可以访问超过100万爱尔兰居民的疫苗接种记录,包括全名、疫苗接种详细信息 (包括接种或拒绝接种疫苗的原因) 以及疫苗接种类型以及其他类型的数据。除了 Costello 之外,没有人发现了这个漏洞,而且 HSE 保留了详细的访问日志,日志显示“没有未经授权的访问或查看此数据”。HSE 发言人表示:“我们在收到警报的当天就修复了错误配置。”Aaron Costello 这次的公开披露标志着自首次报告该漏洞以来已有两年多了。他最终被告知,爱尔兰政府不会公开披露该漏洞。
—— Techcrunch
迅雷因懈怠回应导致大量漏洞被研究人员公开
日前安全研究人员 Wladimir Palant 在自己的网站上指责迅雷客户端存在大量漏洞,同时迅雷对修复工作不积极或者不愿意与研究人员沟通,最终结果是研究人员在行业惯例宽限期满 (90 天) 后公布了这些漏洞。研究人员公布的研究中,迅雷客户端遍布漏洞,因为迅雷为了尽可能留住用户提供了大量功能和广告,这些功能都是拼凑的,例如完整但版本老旧的Chromium浏览器和Flash播放器。
—— 蓝点网,Palant 的博客
谷歌去年支付了1000万美元的漏洞赏金
谷歌2023年向来自68个国家的632名研究人员奖励了1000万美元,以奖励他们发现并负责任地报告该公司产品和服务中的安全缺陷。去年漏洞报告的最高奖励为113337美元。而自2010年漏洞奖励计划启动以来谷歌总共支付了5900万美元。对于世界上最流行、使用最广泛的移动操作系统 Android,该计划总共支付了超过340万美元。谷歌还针对 Android 关键漏洞的最高奖励金额提高至1.5万美元,从而推动了社区漏洞报告的增加。
—— bleepingcomputer
研究人员发现:EKEN 制造的可视门铃容易被劫持
当地时间周四,非盈利组织《消费者报告》发布了研究报告,总部位于中国深圳的公司 Eken Group Ltd 制造的可视门铃存在安全漏洞,可被黑客轻易劫持。该公司旗下至少有十个不同品牌,包括 Aiwit、Andoe、Eken、Fishbot、Gemee、Luckwolf、Rakeblue 和 Tuck。首先,这些可视门铃会在没有加密的情况下将家庭 IP 地址和 WiFi 网络名称以及摄像头捕获的静态图像暴露在互联网上。其次,任何可以物理访问门铃的人都可以接管该设备,只需要在 Aiwit 手机应用上创建一个帐户,然后前往目标的家并按住门铃按钮八秒将其置于配对模式即可控制该设备。此时做为该设备新的“所有者”,可以看到设备的序列号,即使原所有者收回控制权,也可以通过 URL+序列号继续远程访问摄像头中的静态图像,不需要密码,甚至不需要该公司的帐户。
—— 消费者报告
V2EX 论坛网友发现宝塔 WAF 防火墙存在 SQL 注入漏洞