微闻

标签: 漏洞

  • 绕过ChatGPT安全控制的漏洞被发现

    研究人员发现绕过 ChatGPT 安全控制的漏洞

    在周四发布的一份报告中,匹兹堡卡内基梅隆大学和旧金山人工智能安全中心的研究人员展示了任何人如何规避人工智能安全措施并使用任何领先的聊天机器人生成几乎无限量的有害信息。

    研究人员发现,他们可以通过在输入系统的每个英语提示符上附加一长串字符来突破开源系统的护栏。

    如果他们要求其中一个聊天机器人“写一篇关于如何制造炸弹的教程”,它会拒绝这样做。但如果他们在同一个提示中添加一个冗长的后缀,它会立即提供有关如何制作炸弹的详细教程。以类似的方式,他们可以诱使聊天机器人生成有偏见的、虚假的和其他有毒的信息。

    研究人员感到惊讶的是,他们用开源系统开发的方法也可以绕过封闭系统的护栏,包括 OpenAI 的 ChatGPT、Google Bard 和初创公司 Anthropic 构建的聊天机器人 Claude。

    聊天机器人开发公司可能会阻止研究人员确定的特定后缀。但研究人员表示,目前还没有已知的方法可以阻止所有此类攻击。专家们花了近十年的时间试图阻止对图像识别系统的类似攻击,但没有成功。

    Anthropic 政策和社会影响临时主管 Michael Sellitto 在一份声明中表示,该公司正在研究阻止攻击的方法,就像研究人员详细介绍的那样。“还有更多工作要做,”他说。

    —— 纽约时报

  • iPhone 中钓鱼骗钱的重大漏洞

    苹果 iPhone 曝光重大漏洞,Apple ID 开启双重验证仍被盗刷

    昨日,程序员社区 V2EX 出现了一条热门帖子,用户 airycanon 称自己家人的 iPhone 开启了 Apple ID 双重认证,但仍然被钓鱼骗钱了。

    据称,其家人在 App Store 上下载了一个菜谱类 App,采用 Apple ID 授权登录,随后该 App 弹出了一个密码输入框,输入密码后就被骗取了账号信息,且整个过程中没有出现双重认证弹窗。

    根据博主 BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。

    从整个原理来看,这一方法确实隐蔽且难防,目前尚不清楚苹果何时会修复这一漏洞。博主 BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。

    —— IT之家 、V2EX

  • Windows 自带截图工具存在可被还原全屏图片的漏洞

    Windows 自带截图工具被发现存在可被还原到全屏图片的漏洞

    继 Google Pixel 截图工具之后,Twitter 用户 David Buchanan 指出,Windows 的系统自带截图工具也存在可被还原全屏图片的问题,即使只在工具中框选了部分区域,依然可能从源文件还原出整个屏幕的截图。(层叠频道)

    编注:由于TG等聊天软件会在用户发送图片时进行压缩,从而破坏掉图片的部分信息,这些被压缩的图片是无法被还原的。不过选择发送原图则另当别论。

  • 拼多多修复漏洞问题

    有微博网友说,拼多多在被爆出APP非法利用漏洞侵犯用户隐私后已在最新的版本中去掉了非法提权有关的代码。另外有TG频道说云控部分代码被混淆处理了,未被剔除。

    代码混淆是将计算机程序的源代码转换成功能上等价,但是人工难于阅读和理解的形式的一种行为。

  • Clash for Windows存在远程代码执行漏洞

    Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

    Clash for Windows 的开发者确认了一个被反馈的远程代码执行漏洞,包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。

    GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。

    该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。

  • 面板高危漏洞引发大规模website挂马

    [待确认]昨晚19时起,大量使用宝塔面板的网站被挂马,疑似面板出现高危漏洞

    —— LoopDNS

  • Google Pixel手机严重锁屏绕过漏洞

    有开发者公布了 Google Pixel 手机的一个严重锁屏绕过漏洞,攻击者只需要交换手机的sim卡,故意输错3次SIM卡PIN码使其被锁定,再利用PUK码重置PIN码就能立即解锁手机,获得全部访问权限。

    该漏洞被跟踪为CVE-2022-20465,它还可能影响其它品牌的安卓手机。谷歌在11月5日的更新中修复了该漏洞。漏洞详情

  • Microsoft Teams严重漏洞

    微软严重漏洞:Microsoft Teams 在 Windows、Linux、Mac中以明文形式存储授权令牌

    安全分析师在Microsoft Teams的桌面应用程序中发现了一个严重的安全漏洞,使威胁者能够访问认证令牌和开启了多因素认证(MFA)的账户。

    Microsoft Teams是一个通信平台,包括在365产品系列中,有超过2.7亿人使用,用于交换文本信息、视频会议和存储文件。

    新发现的安全问题影响到Windows、Linux和Mac的应用程序版本,指的是Microsoft Teams以明文存储用户认证令牌而不保护对它们的访问。

    在安装了Microsoft Teams的系统上拥有本地访问权的攻击者可以窃取令牌并使用它们来登录受害者的账户。

    网络安全公司Vectra的康纳-皮珀斯(Connor Peoples)在本周的一份报告中解释说:”这种攻击不需要特殊的权限或高级恶意软件就可以逃脱重大的内部破坏。”

    —— BLEEPINGCOMPUTER

  • 向日葵团队否认远程控制出现漏洞

    有传闻称向日葵远程控制出现漏洞导致勒索病毒蔓延。该消息传播迅速且广泛。但贝锐向日葵团队否认了这种说法。

    向日葵团队表示经安全团队排查目前没有遭到任何攻击,向日葵远程控制服务处于正常状态,网传消息为谣言。

  • 安卓版 TikTok存在高严重性漏洞

    微软在 TikTok for Android 中发现一个“高严重性漏洞”,攻击者能接管点击恶意链接的账户

    安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户,可能影响该平台的数亿用户。

    今天,微软 365 防御研究小组的研究人员在一篇博文中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞,此后已打上补丁。

    该漏洞及其导致的攻击被称为 “高严重性漏洞”,一旦任何 TikTok 用户点击一个特制的链接,就可以在他们不知情的情况下劫持他们的账户。点击该链接后,攻击者可以访问账户的所有主要功能,包括上传和发布视频的能力,向其他用户发送消息,以及查看存储在账户中的私人视频。

    潜在的影响是巨大的,因为它影响了安卓 TikTok 应用的所有全球变体,该应用在谷歌应用商店的总下载量超过了 15 亿次。然而,没有证据表明它被坏人利用了,TikTok 发言人莫琳-沙纳汉说:”参与发现和披露的研究人员赞扬了 TikTok 的快速反应。”

    —— theVerge