谷歌计划在 2023-10-06 安全补丁中修复 WebP 编解码器的严重漏洞
最近你应该听说的 WebP 编解码器的严重漏洞(CVE-2023-4863),这个漏洞涉及到 WebP 图像格式中的堆缓冲区溢出。
由于 WebP 0-day 漏洞的严重性以及媒体的关注,Google 和 OEM 制造商正在紧急修复。
Google 计划在 2023-10-06 安全补丁级别的 Android 设备上修复此漏洞。因此,如果你的设备没有接收到更新并且 SPL 显示为“2023-10-06”的安全补丁,那么,你将需要等待 2023-11-01(2023年11月)的 SPL 更新。
—— Mishaal Rahman 频道
著名邮件服务MailChannels被发现重要漏洞,黑客可以免鉴权伪造邮件地址
据SpamChannel分享,黑客可通过cloudflare worker向MailChannels api发送请求来伪造域名发送邮件。造成这一原因主要一点是MailChannels api对所有cloudflare ip进行了加白,不需要在post请求中填入相应的身份验证信息。
MailChannels作为有名的邮件服务商,许多知名企业都有使用。这使得黑客可以通过脚本扫描著名企业的域名txt记录来寻找目标。在Github上用于此漏洞的js请求脚本创建于去年,但在今年才被发现。
演示视频:[ 1 ] [ 2 ]
—— DNSPODT频道
Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day
WebP 编解码器中发现了重大漏洞,促使包括 Google 和 Mozilla 在内的主要浏览器加快发布更新来解决该问题。
这个新发现的漏洞,被标识为CVE-2023-4863,涉及到 WebP 图像格式中的堆缓冲区溢出。Chrome 和 Firefox 等浏览器使用 WebP 来进行高效的图像压缩。对这个漏洞的恶意利用可能会危及数百万互联网用户的安全。
包含修复程序的软件版本号如下:
谷歌: Chrome版本 116.0.5846.187(Mac / Linux);Chrome版本 116.0.5845.187/.188(Windows)
Mozilla: Firefox 117.0.1;Firefox ESR 102.15.1;Firefox ESR 115.2.1;Thunderbird 102.15.1;Thunderbird 115.2.2
微软: Edge版本 116.0.1938.81
Brave: Brave 浏览器版本 1.57.64
请尽快更新到以上新版本。
—— Stack Diary
iOS 16.6.1 更新修复严重漏洞 Apple 呼吁所有用户尽快更新
今天凌晨,苹果发布了 iOS 16.6.1 版本更新,主要专注于修补两大安全漏洞,而非新增任何功能。苹果建议所有支援 iOS 16 版本的 iPhone 用户尽快安装此次更新,以确保系统的安全性。
iOS 16.6.1 版本更新主要针对 ImageIO 和Wallet 两大漏洞进行修复,公民实验室发现,黑客能透过 ImageIO 漏洞制作恶意图像进行攻击,当使用者打开这些图片时,系统将产生安全漏洞 ,使黑客可以执行任意代码。
除了修复 ImageIO 漏洞之外,苹果表示该漏洞会涉及 PassKit 附件错误,PassKit 是一个允许开发人员将 Apple Pay 整合到其应用程序中的框架。 除了推出 iOS 16.6.1 版本之外,也同步推出 iPadOS 16.6.1、watchOS 9.6.2、macOS 13.5.2 更新,以解决相同的安全漏洞。
—— unwire.hk 、citizenlab.ca
Notepad++ 多个漏洞让攻击者能执行任意代码
流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。
GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5(中危)到 7.8(高危)不等。
他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC。
—— solidot
Skype 移动应用存在漏洞,黑客可以轻易获取你的IP地址。但微软并没有着急修复这个问题。
一位安全研究人员发现,Skype 移动应用存在漏洞,只需要发送一个链接,就可以在目标不点击链接的情况下,揭示用户的IP地址,从而暴露目标其大致的物理位置。
安全研究人员Yossi于本月早些时候向微软报告了这个漏洞,但微软表示这个问题不需要立即修复。直到404 Media联系微软,微软公司才表示将在即将发布的更新中修复此问题。
Yossi 表示,这个问题仅适用于 Skype 的移动应用程序。当目标使用 Mac 版 Skype 时,他无法获知目标的IP地址。
—— 404media ( 珊瑚虫QQ? )
QQ Windows 被曝光远程代码执行漏洞
2023 年 8 月 20 日,赛博昆仑发布报告, QQ Windows 桌面客户端有远程执行的漏洞。
该漏洞为逻辑漏洞,攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为,当用户点击消息链接时,QQ 客户端会自动下载并打开文件, 最终实现远程代码执行的目的。
影响范围:QQ Windows 版 9.7.13 及以前版本,建议谨慎点击任何消息链接,并使用安全软件扫描下载文件是否异常。
WPS Office 存在远程代码执行漏洞
WPS 近日发布安全通告,确认 WPS Office 存在代码执行漏洞,建议用户更新到最新版本。
WPS 官方称,攻击者利用本漏洞专门构造出恶意文档,受害者打开该文档并执行相应操作后,才会联网从远程服务器下载恶意代码到指定目录并执行,前提是系统当前用户对该目录具备写权限,攻击者进而控制其电脑。
影响范围
•WPS Office 个人版,Windows 平台,版本号低于 12.1.0.15120(含)
•WPS Office 机构版本(如专业版、专业增强版),Windows 平台,版本号低于 11.8.2.12055(含)
——官方公告
我的世界 (Minecraft) 模组再次被发现存在远程代码执行漏洞(BleedingPipe)。
此漏洞已被多次利用,许多 1.7.10/1.12.2 的整合包都存在漏洞,但如果安装了受影响的 mod,任何其他版本的 Minecraft 都可能受到影响。
该漏洞可通过服务器传播,感染任何可能加入的客户端,尽管不确定是否有类似的恶意软件正在传播。
该漏洞允许在运行 Minecraft mod 的1.7.10/1.12.2 Forge 客户端和服务器上进行完全的远程代码执行(其他版本也可能受到影响)。已经在毫无防备的服务器上观察到 BleedingPipe 漏洞的使用。这是在使用不安全的反序列化代码的 mod 中存在的漏洞,而不是 Forge 本身。
研究者还发现有黑客正在扫描有 IPv4 公网地址的所有 Minecraft 服务器。但是无法预测黑客的目的是怎样的。
在这篇文章中已列出来存在漏洞的模组,服务器管理员应该立即更新或删除这些模组,联网登录游戏服务器的玩家也应该检查可疑文件,进行防病毒扫描。
