Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞
Clash for Windows 的开发者确认了一个被反馈的远程代码执行漏洞,包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。
GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。
该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。
有消息说,著名机场面板V2B(覆盖市面80%以上机场)出现漏洞,攻击者已经将三个机场全站的用户数据发到tg频道,数据包含了邮箱、hash过的密码、套餐信息、订阅链接等敏感信息。
攻击者声称获得了大约100个站点的400余万条数据。HostLoc
宝塔面板的官方Demo疑被黑,HostLoc的网友认为这似乎印证了近期宝塔面板存在重大漏洞的传言。宝塔面板此前曾发布公告称“经过排查没有发现漏洞”。该Demo已经下线。HostLoc
宝塔官方回复用户疑问,说DEMO没有防护,而且能登陆要改很容易。否认这是由于安全漏洞造成的。
安卓关键漏洞曝光数月后,三星、小米、谷歌等公司仍未进行修复
谷歌披露了配备 Mali GPU 的手机存在的几个安全漏洞,例如配备 Exynos SoC 的手机。该公司的Project Zero团队表示,它在今年夏天将问题报告给了ARM (设计 GPU 的公司)。ARM 在 7 月和 8 月结束时解决了这些问题。然而,Project Zero 表示,截至本周早些时候,包括三星、小米、Oppo 和谷歌在内的智能手机制造商尚未部署补丁来修复这些漏洞。
研究人员在 6 月和 7 月发现了五个新问题,并立即将它们标记为 ARM。“其中一个问题导致内核内存损坏,一个导致物理内存地址被泄露给用户空间,其余三个导致物理页面释放后使用情况,”Project Zero 的 Ian Beer在一篇博文中写道。“这些将使攻击者能够在物理页面返回系统后继续读写物理页面。”
比尔指出,黑客有可能获得对系统的完全访问权限,因为他们能够绕过 Android 上的权限模型并获得对用户数据的“广泛访问”。攻击者可以通过强制内核将上述物理页面重新用作页表来实现。
—— engadget
有开发者公布了 Google Pixel 手机的一个严重锁屏绕过漏洞,攻击者只需要交换手机的sim卡,故意输错3次SIM卡PIN码使其被锁定,再利用PUK码重置PIN码就能立即解锁手机,获得全部访问权限。
该漏洞被跟踪为CVE-2022-20465,它还可能影响其它品牌的安卓手机。谷歌在11月5日的更新中修复了该漏洞。漏洞详情
微软严重漏洞:Microsoft Teams 在 Windows、Linux、Mac中以明文形式存储授权令牌
安全分析师在Microsoft Teams的桌面应用程序中发现了一个严重的安全漏洞,使威胁者能够访问认证令牌和开启了多因素认证(MFA)的账户。
Microsoft Teams是一个通信平台,包括在365产品系列中,有超过2.7亿人使用,用于交换文本信息、视频会议和存储文件。
新发现的安全问题影响到Windows、Linux和Mac的应用程序版本,指的是Microsoft Teams以明文存储用户认证令牌而不保护对它们的访问。
在安装了Microsoft Teams的系统上拥有本地访问权的攻击者可以窃取令牌并使用它们来登录受害者的账户。
网络安全公司Vectra的康纳-皮珀斯(Connor Peoples)在本周的一份报告中解释说:”这种攻击不需要特殊的权限或高级恶意软件就可以逃脱重大的内部破坏。”
—— BLEEPINGCOMPUTER
有传闻称向日葵远程控制出现漏洞导致勒索病毒蔓延。该消息传播迅速且广泛。但贝锐向日葵团队否认了这种说法。
向日葵团队表示经安全团队排查目前没有遭到任何攻击,向日葵远程控制服务处于正常状态,网传消息为谣言。
微软在 TikTok for Android 中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户
安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户,可能影响该平台的数亿用户。
今天,微软 365 防御研究小组的研究人员在一篇博文中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞,此后已打上补丁。
该漏洞及其导致的攻击被称为 “高严重性漏洞”,一旦任何 TikTok 用户点击一个特制的链接,就可以在他们不知情的情况下劫持他们的账户。点击该链接后,攻击者可以访问账户的所有主要功能,包括上传和发布视频的能力,向其他用户发送消息,以及查看存储在账户中的私人视频。
潜在的影响是巨大的,因为它影响了安卓 TikTok 应用的所有全球变体,该应用在谷歌应用商店的总下载量超过了 15 亿次。然而,没有证据表明它被坏人利用了,TikTok 发言人莫琳-沙纳汉说:”参与发现和披露的研究人员赞扬了 TikTok 的快速反应。”
—— theVerge
研究人员称 iOS VPN 存在流量泄露漏洞,该漏洞存在已超过2年
一名安全研究人员说,苹果的iOS设备并不像用户所期望的那样,完全通过VPN路由所有的网络流量,这个潜在的安全问题,设备制造商已经知道多年了。
迈克尔-霍洛维茨(Michael Horowitz)是一位长期从事计算机安全的博主和研究员,他在一篇持续更新的博文中直截了当地提出了这个问题。他说:”iOS上的VPN已经坏了。”
霍洛维茨写道:”任何第三方VPN一开始似乎都能工作,给设备一个新的IP地址、DNS服务器和一个新流量的隧道。但是,在激活VPN之前建立的会话和连接不会终止,而且根据霍洛维茨对高级路由器记录的发现,当VPN隧道处于激活状态时,它仍然可以向外发送数据。”
换句话说,你可能希望VPN客户端在建立安全连接之前,会杀死现有的连接,这样它们就可以在隧道内重新建立。但iOS的VPN似乎无法做到这一点,霍洛维茨说,这一发现得到了2020年5月的一份类似报告的支持。
“数据在VPN隧道外离开iOS设备,”霍洛维茨写道。”这不是一个经典/传统的DNS泄漏,这是一个数据泄漏。我使用多种类型的VPN和多个VPN供应商的软件证实了这一点。我测试的最新版本的iOS是15.6″。
—— arsTechnica
研究人员发现英特尔和 AMD CPU 的一个新漏洞可取得加密密钥
研究人员周二说,英特尔、AMD和其他公司的微处理器含有一个新发现的弱点,远程攻击者可以利用这个弱点获得加密密钥和其他通过硬件传输的秘密数据。
硬件制造商早已知道,黑客可以通过测量芯片在处理这些数值时消耗的功率,从芯片中提取机密的密码学数据。幸运的是,利用电源分析攻击微处理器的手段是有限的,因为攻击者几乎没有可行的方法来远程测量处理秘密材料时的耗电量。现在,一个研究小组已经想出了如何将功率分析攻击转化为一种不同类型的侧信道攻击,这种攻击的要求相当低。
该团队发现,动态电压和频率缩放(DVFS)–一种添加到每个现代CPU中的电源和热管理功能–允许攻击者通过监测服务器响应特定的仔细查询所需的时间来推断功耗的变化。该发现大大减少了所需的内容。在了解了DVFS功能的工作原理后,电源侧信道攻击就变得更加简单,可以远程进行计时攻击。
研究人员将他们的攻击称为 Hertzbleed,因为它利用对 DVFS 的洞察力来暴露或泄露预计将保持私密的数据。该漏洞被跟踪为 Intel 芯片的 CVE-2022-24436 和 AMD CPU 的 CVE-2022-23823。
—— arstechnica