Microsoft Azure AD OAuth 中的严重“nOAuth”缺陷导致黑客可以使用他人帐户登录第三方网站
该安全缺陷绰号为 nOAuth,被描述为身份验证实现缺陷,攻击者只需将其Azure AD管理账户上的电子邮件改为受害者的电子邮件地址,并使用 ” 使用 Microsoft 登录 “功能就可以在有漏洞的应用程序或网站上进行授权。
“在通常的 OAuth 和 OpenID Connect 实施中,用户的电子邮件地址被应用程序用作唯一标识符。然而,在 Microsoft Azure AD 中,返回的“电子邮件”声明是可变的且未经验证,因此不可信,”Descope 解释道。
—— descope.com
vmess+tcp+tls在某些省份
据悉,某科学技术vmess+tcp+tls在某些省份已经完全屏蔽,某些机场的该协议已经完全挂掉。此前社区中争论该方法已经被轻松识别。
#生产力 #vmess
微软称黑客组织 Anonymous Sudan 是本月 Office 中断的幕后黑手
6 月 5 日Outlook 电子邮件、OneDrive 和云计算平台都受到零星中断的困扰,一个神秘的黑客组织声称对此负责。
最初,微软不愿证实这次攻击,但该公司现在表示,一个名为 Anonymous Sudan 的组织是此次中断的幕后黑手。
该组织当时在其 Telegram 频道声称对这次攻击负责,攻击原因是抗议美国政府插手苏丹问题。
微软在一篇博客文章中表示,这些攻击“暂时影响了”某些服务的可用性。但没有发现任何客户数据被访问或泄露的证据。
国家网信办就《近距离自组网信息服务管理规定(征求意见稿)》公开征求意见
本规定所称近距离自组网信息服务,是指利用蓝牙、Wi-Fi等信息技术,近距离即时组建网络并提供发布、接收信息的服务。…
第三条 提供近距离自组网信息服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。
第五条 近距离自组网信息服务提供者应当遵守法律法规和国家有关规定,采取必要的安全管理制度和技术措施,提升风险防范能力,依法处置违法信息,防范和抵制传播不良信息,保存有关记录,并向网信等有关主管部门报告。
近距离自组网信息服务使用者不得利用该服务发布、转发违法信息;应当采取措施,防范和抵制制作、复制、发布不良信息;接收到违法和不良信息的,不得转发,有权向网信等有关主管部门投诉、举报。
第六条 近距离自组网信息服务提供者在提供服务过程中,应当依照《中华人民共和国网络安全法》的规定,要求近距离自组网信息服务使用者提供真实身份信息。
第十七条 近距离自组网信息服务提供者应当依法配合网信部门、工信主管部门、公安部门开展监督检查工作,并提供必要的技术、数据等支持和协助。
—— 扬子晚报 节选
俄罗斯称美国利用 iOS 入侵了数千部 iPhone
俄罗斯网络安全公司卡巴斯基表示,其网络上的一些 iPhone 被黑客利用 iOS 漏洞入侵,该漏洞通过 iMessage 零点击漏洞安装恶意软件。
消息的传递利用了一个漏洞,该漏洞导致无需任何用户交互即可执行代码,从而导致从攻击者的服务器下载其他恶意软件。
随后,消息和附件将从设备中擦除。同时,有效负载留在后面,以root权限运行以收集系统和用户信息并执行攻击者发送的命令。
卡巴斯基表示,该活动始于2019年,并报告说攻击仍在进行中。这家网络安全公司将此次活动命名为“三角行动”,并邀请任何对此有更多了解的人分享信息。
在一份与卡巴斯基报告一致的声明中,俄罗斯联邦安全局情报和安全机构声称,苹果公司故意向美国国家安全局提供后门,可以用来在该国的 iPhone 上感染间谍软件。
FSB 声称 ,它发现数以千计的 Apple iPhone 感染了恶意软件,这些 iPhone 属于俄罗斯政府官员以及以色列、中国和几个北约成员国驻俄罗斯大使馆的工作人员。
—— BleepingComputer
V2fly下个版本中将包含新传输协议 meek
此协议可以将连接转换为一般 HTTP 请求回复, 以期使用任何支持转发 HTTP 请求的服务来转发 meek 连接,无需再担心 IP 被封锁,许多CDN服务提供商都支持HTTP请求转发,包括但不限于:Cloudflare,Akamai,CloudFront,Fastly,CDNetworks等。
详细请看: https://t.me/v2fly/94
流媒体服务器软件Emby 警告有黑客利用漏洞渗透到了用户自托管服务器
2023年5月25日 Emby 官方发布自部署服务器安全警告的通知。
该通知告知用户从 2023 年 5 月中旬开始,一名黑客设法渗透了用户托管的 Emby Server 服务器,这些服务器可通过公共互联网访问,并且管理用户帐户的配置不安全。结合最近在 beta 通道中修复的“代理标头漏洞”,这使攻击者能够获得对此类系统的管理访问权限。最终,这使得攻击者可以安装自己的自定义插件,从而在 Emby Server 的运行过程中建立后门。
问题原因:大量 emby 搭建者会开启本地无需密码登录等不安全设置,但是服务器存在标头漏洞,攻击者可以通过伪造标头来实现无密码登录,再通过插件安装实现后门安装,后门会持续性的转发每次登录的密码/用户名到攻击者的后台
—— emby官方通告 , LoopDNS
Android/鸿蒙系统被发现高危漏洞:指纹识别可被暴力破解,iOS不受影响
近日,腾讯安全玄武实验室和浙江大学的研究人员,发现在安卓与鸿蒙系统中,存在着一个高危漏洞。该漏洞能够绕开手机指纹识别的次数限制,从而无限次的进行指纹图像提交,通过暴力穷举的方式破解指纹识别。
根据相关论文的信息,研究人员通过 Cancel-After-Match-Fail(CAMF)和Match-After-Lock(MAL)两个零日漏洞,以及指纹传感器的串行外设接口没有得到充分保护,从而破解了手机指纹。
研究人员使用了10款设备进行破解测试,其中包括6款安卓手机,2款华为鸿蒙手机以及2款iPhone。从测试结果来看,所有设备在指纹识别的安全性上都存在缺陷,但只有iOS不会被无限次的暴力破解。
值得一提的是,根据实验数据,当用户在一台设备上录入多个指纹时,暴力破解所需的时间将出现明显下滑,这与多个指纹生成匹配图像的概率更高有关。因此,如非必要,最好不要在手机上录入多个指纹信息。
—— 快科技
美光公司在华销售的产品未通过网络安全审查
日前,网络安全审查办公室依法对美光公司在华销售产品进行了网络安全审查。
审查发现,美光公司产品存在较严重网络安全问题隐患,对我国关键信息基础设施供应链造成重大安全风险,影响我国国家安全。为此,网络安全审查办公室依法作出不予通过网络安全审查的结论。按照《网络安全法》等法律法规,我国内关键信息基础设施的运营者应停止采购美光公司产品。
此次对美光公司产品进行网络安全审查,目的是防范产品网络安全问题危害国家关键信息基础设施安全,是维护国家安全的必要措施。中国坚定推进高水平对外开放,只要遵守中国法律法规要求,欢迎各国企业、各类平台产品服务进入中国市场。
—— 网信中国公众号,Telegraph
美国最高法院裁定不重新审查第 230 条,社交平台“保护伞”得以保留
最高法院拒绝考虑重新解释基础互联网法第 230 条,称这对于决定与恐怖主义有关的案件“冈萨雷斯诉谷歌案”没有必要。
在今天发布的一份未经签署的意见中,法院表示,无论第 230 条的适用性如何,冈萨雷斯案中的基本申诉都很薄弱。该案件涉及一名在恐怖袭击中丧生的女子的家人起诉谷歌,该家人声称谷歌在 YouTube 上推荐恐怖主义内容违反了法律。他们试图根据反恐法追究谷歌的责任。
然而,在法官克拉伦斯·托马斯 (Clarence Thomas) 撰写的一项裁决中,法院宣布,这些指控“不足以证明这些被告协助和教唆了 ISIS”进行有关袭击。
—— TheVerge
编注:美国《通信规范法》(Communications Decency Act) 第230条规定,互联网服务供应商无需为第三方使用者的言行负法律责任。该条款被认为是互联网言论自由的基石。