OpenAI 开始为 ChatGPT 提供漏洞赏金 – 但越狱聊天机器人没有奖励
OpenAI 推出了漏洞赏金,鼓励公众发现并披露其AI服务 (包括ChatGPT) 中的漏洞。奖励从”低严重性”的200美元到”特殊发现”的20000美元不等,报告可通过众包网络安全平台 Bugcrowd 提交。
值得注意的是,赏金不包括越狱 ChatGPT 或导致其生成恶意代码或文本的奖励。OpenAI 表示,这种”模型安全问题不适合漏洞赏金计划,因为它们不是可以直接修复的单个离散错误。解决这些问题通常涉及大量研究和更广泛的方法,此类问题的报告应通过公司的模型反馈页面提交。”
—— The Verge
微软被发现重大漏洞,黑客能够改变 Bing 搜索结果和主页内容,并且能够读取 Office 365 用户的数据
Wiz Research 在 Azure Active Directory 中发现了一种新的攻击媒介,它会将配置错误的应用程序暴露给未经授权的访问。
我们(指 Wiz Research )发现了几个具有高影响力且易受攻击的 Microsoft 应用程序。其中一个应用程序是内容管理系统 (CMS),它为 Bing.com 提供支持,使我们不仅可以修改搜索结果,还可以对 Bing 用户发起高影响 XSS 攻击。这些攻击可能会损害用户的个人数据,包括 Outlook 电子邮件和 SharePoint 文档。
在这篇博文中,我们将展示 Microsoft 本身如何成为 AAD 配置挑战的牺牲品,并无意中将内部应用程序暴露给外部攻击者。这些应用程序允许我们查看和更改各种类型的敏感 Microsoft 数据。在一个特定案例中,我们能够操纵 Bing.com 上的搜索结果并对 Bing 用户执行 XSS 攻击,从而可能暴露客户的 Office 365 数据,例如电子邮件、聊天和文档。此博客还将提供有关错误配置的详细信息,以及如何在您的环境中检测和缓解它们。
—— Wiz Research
Windows 自带截图工具被发现存在可被还原到全屏图片的漏洞
继 Google Pixel 截图工具之后,Twitter 用户 David Buchanan 指出,Windows 的系统自带截图工具也存在可被还原全屏图片的问题,即使只在工具中框选了部分区域,依然可能从源文件还原出整个屏幕的截图。(层叠频道)
编注:由于TG等聊天软件会在用户发送图片时进行压缩,从而破坏掉图片的部分信息,这些被压缩的图片是无法被还原的。不过选择发送原图则另当别论。
有微博网友说,拼多多在被爆出APP非法利用漏洞侵犯用户隐私后已在最新的版本中去掉了非法提权有关的代码。另外有TG频道说云控部分代码被混淆处理了,未被剔除。
代码混淆是将计算机程序的源代码转换成功能上等价,但是人工难于阅读和理解的形式的一种行为。
Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞
Clash for Windows 的开发者确认了一个被反馈的远程代码执行漏洞,包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。
GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。
该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。
有消息说,著名机场面板V2B(覆盖市面80%以上机场)出现漏洞,攻击者已经将三个机场全站的用户数据发到tg频道,数据包含了邮箱、hash过的密码、套餐信息、订阅链接等敏感信息。
攻击者声称获得了大约100个站点的400余万条数据。HostLoc
宝塔面板的官方Demo疑被黑,HostLoc的网友认为这似乎印证了近期宝塔面板存在重大漏洞的传言。宝塔面板此前曾发布公告称“经过排查没有发现漏洞”。该Demo已经下线。HostLoc
宝塔官方回复用户疑问,说DEMO没有防护,而且能登陆要改很容易。否认这是由于安全漏洞造成的。
安卓关键漏洞曝光数月后,三星、小米、谷歌等公司仍未进行修复
谷歌披露了配备 Mali GPU 的手机存在的几个安全漏洞,例如配备 Exynos SoC 的手机。该公司的Project Zero团队表示,它在今年夏天将问题报告给了ARM (设计 GPU 的公司)。ARM 在 7 月和 8 月结束时解决了这些问题。然而,Project Zero 表示,截至本周早些时候,包括三星、小米、Oppo 和谷歌在内的智能手机制造商尚未部署补丁来修复这些漏洞。
研究人员在 6 月和 7 月发现了五个新问题,并立即将它们标记为 ARM。“其中一个问题导致内核内存损坏,一个导致物理内存地址被泄露给用户空间,其余三个导致物理页面释放后使用情况,”Project Zero 的 Ian Beer在一篇博文中写道。“这些将使攻击者能够在物理页面返回系统后继续读写物理页面。”
比尔指出,黑客有可能获得对系统的完全访问权限,因为他们能够绕过 Android 上的权限模型并获得对用户数据的“广泛访问”。攻击者可以通过强制内核将上述物理页面重新用作页表来实现。
—— engadget
有开发者公布了 Google Pixel 手机的一个严重锁屏绕过漏洞,攻击者只需要交换手机的sim卡,故意输错3次SIM卡PIN码使其被锁定,再利用PUK码重置PIN码就能立即解锁手机,获得全部访问权限。
该漏洞被跟踪为CVE-2022-20465,它还可能影响其它品牌的安卓手机。谷歌在11月5日的更新中修复了该漏洞。漏洞详情
微软严重漏洞:Microsoft Teams 在 Windows、Linux、Mac中以明文形式存储授权令牌
安全分析师在Microsoft Teams的桌面应用程序中发现了一个严重的安全漏洞,使威胁者能够访问认证令牌和开启了多因素认证(MFA)的账户。
Microsoft Teams是一个通信平台,包括在365产品系列中,有超过2.7亿人使用,用于交换文本信息、视频会议和存储文件。
新发现的安全问题影响到Windows、Linux和Mac的应用程序版本,指的是Microsoft Teams以明文存储用户认证令牌而不保护对它们的访问。
在安装了Microsoft Teams的系统上拥有本地访问权的攻击者可以窃取令牌并使用它们来登录受害者的账户。
网络安全公司Vectra的康纳-皮珀斯(Connor Peoples)在本周的一份报告中解释说:”这种攻击不需要特殊的权限或高级恶意软件就可以逃脱重大的内部破坏。”
—— BLEEPINGCOMPUTER