Windows系统现高危漏洞,攻击者可通过Wi-Fi远程入侵设备
根据美国国家漏洞数据库公布的信息,该漏洞存在于 Windows 的 Wi-Fi 驱动程序中,属于远程代码执行漏洞。攻击者只需在物理上接近受害者设备,即可通过 Wi-Fi 接管设备,无需与目标计算机建立物理连接。微软已确认,除了物理接近要求外,攻击者不需要任何特殊访问权限或其他特殊条件即可成功利用该漏洞。
该漏洞被编号为CVE-2024-30078,攻击者无需以用户身份进行身份验证,不需要访问受害者计算机上的任何设置或文件,受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。
由于此漏洞的性质,在设备密集的环境中风险尤为显著,例如酒店、贸易展览会等场所,在这些地方,攻击者可在不引起警觉的情况下对大量用户发动攻击。
—— 美国国家漏洞数据库,LoopDNS资讯
Android/鸿蒙系统被发现高危漏洞:指纹识别可被暴力破解,iOS不受影响
近日,腾讯安全玄武实验室和浙江大学的研究人员,发现在安卓与鸿蒙系统中,存在着一个高危漏洞。该漏洞能够绕开手机指纹识别的次数限制,从而无限次的进行指纹图像提交,通过暴力穷举的方式破解指纹识别。
根据相关论文的信息,研究人员通过 Cancel-After-Match-Fail(CAMF)和Match-After-Lock(MAL)两个零日漏洞,以及指纹传感器的串行外设接口没有得到充分保护,从而破解了手机指纹。
研究人员使用了10款设备进行破解测试,其中包括6款安卓手机,2款华为鸿蒙手机以及2款iPhone。从测试结果来看,所有设备在指纹识别的安全性上都存在缺陷,但只有iOS不会被无限次的暴力破解。
值得一提的是,根据实验数据,当用户在一台设备上录入多个指纹时,暴力破解所需的时间将出现明显下滑,这与多个指纹生成匹配图像的概率更高有关。因此,如非必要,最好不要在手机上录入多个指纹信息。
—— 快科技
美国网络和基础设施安全局(CISA)对被拼多多应用利用的一个 Android 高危漏洞发出警告
编号为 CVE-2023-20963 的 Android Framework 漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的 Android 设备上提权。Google 在三月初释出了补丁修复了漏洞,表示该漏洞正被用于针对性的利用。3 月 21 日 Google 从其应用商店下架了拼多多应用。(Solidot)
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[待确认]昨晚19时起,大量使用宝塔面板的网站被挂马,疑似面板出现高危漏洞
—— LoopDNS
Linux 出现新的本地提权漏洞:
https://www.zdnet.com/article/major-linux-policykit-security-vulnerability-uncovered-pwnkit/
漏洞编号:CVE-2021-4034
影响包括: Ubuntu, Debian, Fedora, and CentOS 等著名linux系统。
危险等级:高危
此漏洞可能就2009年以来就被引入。
twitter上已有人发布利用漏洞的脚本。
正式修复程序未发布。
类似漏洞:CVE-2021-3560 (已修复)
攻击手段可以参考: https://github.blog/2021-06-10-privilege-escalation-polkit-root-on-linux-with-bug/
Windows 11 高危漏洞被公开
近日,有黑客在 GitHub 上上传了 Windows 11 目前高危漏洞的利用方案,并表示由于微软的漏洞赏金大幅缩水,他决定直接公开漏洞。该漏洞可以通过恶意程序,快速让他人获得系统管理员权限。Windows 10 与 Windows Server 2022 亦受此漏洞波及。
https://github.com/klinix5/InstallerFileTakeOver
—— 少数派
微软和Google发布浏览器紧急安全更新 应对风险等级为4级高危漏洞
如果你的浏览器提示你升级,请一定不要拒绝。 微软和Google已经发布了对其基于Chromium的浏览器中的浏览器漏洞的紧急修复,根据BSI的评估,该漏洞可以通过访问网页或点击链接就可以被利用。
Google浏览器和基于微软Chrome的Edge浏览器的几个漏洞已经被披露。攻击者可以利用这一点,目前还没有发现被外部利用来攻击的迹象,但事实上要利用它,只需调用一个恶意设计的网站或点击一个特别设计过的页面链接。这些漏洞被判定为4级风险,意味着它们影响大,容易被利用。
—— CnBeta 频道