微闻

标签: 漏洞

  • 迅雷客户端存在多个严重漏洞

    迅雷因懈怠回应导致大量漏洞被研究人员公开

    日前安全研究人员 Wladimir Palant 在自己的网站上指责迅雷客户端存在大量漏洞,同时迅雷对修复工作不积极或者不愿意与研究人员沟通,最终结果是研究人员在行业惯例宽限期满 (90 天) 后公布了这些漏洞。研究人员公布的研究中,迅雷客户端遍布漏洞,因为迅雷为了尽可能留住用户提供了大量功能和广告,这些功能都是拼凑的,例如完整但版本老旧的Chromium浏览器和Flash播放器。

    —— 蓝点网,Palant 的博客

  • Meta Quest 头显存在漏洞可导致黑客攻击

    Meta 的 Quest 头显存在漏洞可以让黑客攻击沉浸式环境

    芝加哥大学的研究人员利用 Meta 的 Quest VR 系统中的一个安全漏洞,劫持用户的头显、窃取敏感信息并在生成人工智能的帮助下操纵社交互动。该攻击尚未在现实网络环境出现(尚未出现在野利用),而且执行门槛也很高,因为它需要黑客访问 Quest VR 头显用户的 Wi-Fi 网络。不过,这种攻击非常复杂,目标用户很容易遭受网络钓鱼、诈骗和诱导等风险。在攻击中,黑客创建了一个应用,将恶意代码注入 Meta Quest VR 系统,然后启动屏幕远程镜像,此时攻击者就可以看到、记录和修改用户所使用的头显。

    —— 麻省理工科技评论、论文地址

  • 蓝牙身份验证漏洞

    蓝牙身份验证漏洞可让黑客控制 Apple、Android 和 Linux 设备

    无人机技术公司 SkySafe 的软件工程师表示,存在多年的蓝牙身份验证绕过漏洞允许不法分子连接到 Apple、Android 和 Linux 设备并注入击键来运行任意命令。

    马克·纽林 (Marc Newlin) 发现了该漏洞并将其报告给了公司,他表示,该漏洞编号为 CVE-2023-45866,不需要任何特殊硬件即可利用,并且可以使用常规蓝牙适配器从 Linux 机器上对 Apple、Google、Canonical 和蓝牙 SIG 发起攻击。

    该攻击允许附近的入侵者在受害者的设备上注入击键并执行恶意操作,只要他们不需要密码或生物识别身份验证。

    在周三发布的 GitHub 帖子中,bug 猎人这样描述了该安全漏洞:“这些漏洞的工作原理是欺骗蓝牙主机状态机在未经用户确认的情况下与假键盘配对。蓝牙规范中定义了底层的未经身份验证的配对机制,并且特定于实现的错误将其暴露给攻击者。”

    —— The Register

  • curl 8.4.0版正式发布 fix严重漏洞

    Curl 正式发布新版本 8.4.0 ,修复 SOCKS5 堆溢出漏洞,请尽快更新。

    Curl 项目的维护者在一周前就发布了漏洞提醒,表示将在 8.4.0 版本中修复这个严重的漏洞。据维护人员称,这可能是他们长期以来见过的最严重的 curl 安全问题,同时影响到 libcurl 库和 curl 工具。

    根据 Curl 作者 Daniel Stenberg 在其个人博客中的介绍,这个高危漏洞是 SOCKS5 堆溢出漏洞(heap buffer overflow),该漏洞(CVE-2023-38545)会导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。

    目前 8.4.0 版本已正式发布,建议用户和开发者立即更新。

    漏洞详情:Daniel Stenberg 博客

  • Notepad++ 多个漏洞让攻击者能执行任意代码

    Notepad++ 多个漏洞让攻击者能执行任意代码

    流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。

    GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5(中危)到 7.8(高危)不等。

    他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC。

    —— solidot

  • Skype 移动应用存在漏洞

    Skype 移动应用存在漏洞,黑客可以轻易获取你的IP地址。但微软并没有着急修复这个问题。

    一位安全研究人员发现,Skype 移动应用存在漏洞,只需要发送一个链接,就可以在目标不点击链接的情况下,揭示用户的IP地址,从而暴露目标其大致的物理位置。

    安全研究人员Yossi于本月早些时候向微软报告了这个漏洞,但微软表示这个问题不需要立即修复。直到404 Media联系微软,微软公司才表示将在即将发布的更新中修复此问题。

    Yossi 表示,这个问题仅适用于 Skype 的移动应用程序。当目标使用 Mac 版 Skype 时,他无法获知目标的IP地址。

    —— 404media ( 珊瑚虫QQ? )

  • 绕过ChatGPT安全控制的漏洞被发现

    研究人员发现绕过 ChatGPT 安全控制的漏洞

    在周四发布的一份报告中,匹兹堡卡内基梅隆大学和旧金山人工智能安全中心的研究人员展示了任何人如何规避人工智能安全措施并使用任何领先的聊天机器人生成几乎无限量的有害信息。

    研究人员发现,他们可以通过在输入系统的每个英语提示符上附加一长串字符来突破开源系统的护栏。

    如果他们要求其中一个聊天机器人“写一篇关于如何制造炸弹的教程”,它会拒绝这样做。但如果他们在同一个提示中添加一个冗长的后缀,它会立即提供有关如何制作炸弹的详细教程。以类似的方式,他们可以诱使聊天机器人生成有偏见的、虚假的和其他有毒的信息。

    研究人员感到惊讶的是,他们用开源系统开发的方法也可以绕过封闭系统的护栏,包括 OpenAI 的 ChatGPT、Google Bard 和初创公司 Anthropic 构建的聊天机器人 Claude。

    聊天机器人开发公司可能会阻止研究人员确定的特定后缀。但研究人员表示,目前还没有已知的方法可以阻止所有此类攻击。专家们花了近十年的时间试图阻止对图像识别系统的类似攻击,但没有成功。

    Anthropic 政策和社会影响临时主管 Michael Sellitto 在一份声明中表示,该公司正在研究阻止攻击的方法,就像研究人员详细介绍的那样。“还有更多工作要做,”他说。

    —— 纽约时报

  • iPhone 中钓鱼骗钱的重大漏洞

    苹果 iPhone 曝光重大漏洞,Apple ID 开启双重验证仍被盗刷

    昨日,程序员社区 V2EX 出现了一条热门帖子,用户 airycanon 称自己家人的 iPhone 开启了 Apple ID 双重认证,但仍然被钓鱼骗钱了。

    据称,其家人在 App Store 上下载了一个菜谱类 App,采用 Apple ID 授权登录,随后该 App 弹出了一个密码输入框,输入密码后就被骗取了账号信息,且整个过程中没有出现双重认证弹窗。

    根据博主 BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。

    从整个原理来看,这一方法确实隐蔽且难防,目前尚不清楚苹果何时会修复这一漏洞。博主 BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。

    —— IT之家 、V2EX

  • Windows 自带截图工具存在可被还原全屏图片的漏洞

    Windows 自带截图工具被发现存在可被还原到全屏图片的漏洞

    继 Google Pixel 截图工具之后,Twitter 用户 David Buchanan 指出,Windows 的系统自带截图工具也存在可被还原全屏图片的问题,即使只在工具中框选了部分区域,依然可能从源文件还原出整个屏幕的截图。(层叠频道)

    编注:由于TG等聊天软件会在用户发送图片时进行压缩,从而破坏掉图片的部分信息,这些被压缩的图片是无法被还原的。不过选择发送原图则另当别论。

  • 拼多多修复漏洞问题

    有微博网友说,拼多多在被爆出APP非法利用漏洞侵犯用户隐私后已在最新的版本中去掉了非法提权有关的代码。另外有TG频道说云控部分代码被混淆处理了,未被剔除。

    代码混淆是将计算机程序的源代码转换成功能上等价,但是人工难于阅读和理解的形式的一种行为。