谷歌发布了一项紧急更新，旨在修复 Chrome 浏览器中的三个高度严重的安全漏洞，并警告其中一个漏洞已被广泛利用。 被利用的零日漏洞被标记为 CVE-2024-0519，被描述为 V8 JavaScript 引擎中的越界内存访问问题。 按照惯例，谷歌未提供关于攻击范围的详细信息，也没有共享遥测数据来帮助防御者寻找妥协的迹象。
谷歌的一份简要声明指出：“谷歌已经获知了与 CVE-2024-0519 漏洞相关的报告。”
公司表示，这个零日漏洞是匿名报告的。...

自2023年2月在暗网上首次推出专门的数据泄露网站以来，美杜莎勒索软件家族逐渐加大其网络攻击的力度。相关研究人员称，该组织采用了多重勒索策略，为受害者提供了不同价格的多种选择，如延长时间、数据删除或下载所有数据等。 美杜莎勒索软件家族在2022年底“萌芽”，并在2023年开始“崭露头角”，以对高科技、教育、制造、医疗保健和零售等行业的广泛攻击而出名。据估计，2023年有多达74个组织（主要位于美国、英国、法国、意大利、西班牙和印度）受到勒索软件的影响。 该组织精心策划的勒索软件攻击始于利用面向互联网的资产或具有已知未修补漏洞的应用程序以及劫持合法帐户，通常使用初始访问代理来获得目标网络的立足点。...

Bitdefender 警告物联网设备所有者面临新风险。 Bitdefender发现了 广泛使用的博世 BCC100家用Wi -Fi恒温器中的一个漏洞。该漏洞允许攻击者远程操纵设备设置（包括温度）并安装恶意软件。 所有物联网 ( IoT ) 设备，从咖啡机到安全摄像头，都可能面临黑客攻击的风险。Bitdefender 实验室创建了第一个智能家居网络安全中心，定期审核流行的物联网设备是否存在漏洞。他们的最新研究揭示了影响博世 BCC100 恒温器版本 1.7.0 到 HD 版本 4.13.22 的漏洞。...

Anonymous Sudan（匿名苏丹）是一个亲俄罗斯的黑客活动组织，其出现与乌克兰战争开始以来其他亲俄罗斯网络行为者的崛起相一致。 Anonymous Sudan（匿名苏丹）在 Telegram 上声称对伦敦互联网交换中心 (LINX) 的网络攻击负责。 Anonymous Sudan（匿名苏丹）由不同背景的成员组成，该组织声称对伦敦互联网交换中心 (LINX) 的网络攻击负责。它是世界上最大的交换点之一。...

近期，华天动力OA被爆存在未授权访问漏洞，攻击者可以读取用户信息及敏感信息等，利用 ZoomEye搜索引擎进行搜索，发现影响资产9000+。 华天动力协同办公系统将先进的管理思想、管理模式和软件技术、网络技术相结合，为用户提供了低成本、高效能的协同办公和管理平台。睿智的管理者通过使用华天动力协同办公平台，在加强规范工作流程、强化团队执行、推动精细管理、促进营业增长等工作中取得了良好的成效。 未授权访问漏洞在企业内部属于常见问题，其通常是由于安全配置不当、认证页面存在缺陷，或者根本就没有认证导致的。...

据网络安全公司趋势科技报告，Windows SmartScreen 中的一个最新漏洞在导致 Phemedrone Stealer 感染的攻击中被积极利用。 这一安全漏洞被标识为 CVE-2023-36025（CVSS 评分为 8.8），于 2023 年 11 月 14 日被曝光。微软当时发布了相应的补丁，而美国网络安全机构 CISA 也将其列入已知被利用漏洞目录，证实了在野外攻击中存在相关证据。...

HackerNews 编译，转载请注明出处： Bishop Fox 的研究人员发现超过 178,000 个 SonicWall 下一代防火墙 (NGFW) 被公开利用。 SonicWall 下一代防火墙 (NGFW) 6 和 7 系列设备存在两个未经身份验证的拒绝服务漏洞（分别为 CVE-2022-22274 和 CVE-2023-0656），可能会导致远程代码执行。尽管 CVE-2023-0656 的PoC已公开发布，但截至目前，...

GrapheneOS 团队开发了一个专注于隐私和安全的 Android 操作系统版本，并提出在 Android 中引入自动重启功能。这一功能将使得利用固件漏洞变得更加困难。 该团队最近报告了影响 Google Pixel 和三星 Galaxy 智能手机的 Android 漏洞。当设备处于非活动状态时，该漏洞可用于窃取数据并监视用户。 当设备关闭或打开后未解锁时，设备被视为“静止”。在这种状态下，隐私保护非常高，并且设备的功能受到限制，因为加密密钥尚未被可供安装的应用程序使用。...

Balada Injector 恶意软件对数千个使用 Popup Builder 插件的 WordPress 网站进行了攻击。 Doctor Web 专家于去年 1 月首次记录该恶意活动，该活动由一系列攻击组成，这些攻击利用 WordPress 插件中的安全缺陷引入后门，旨在将受感染网站的访问者重定向到虚假技术支持页面、欺诈性彩票中奖和推送通知诈骗。...

“MyFlaw”攻击方案 研究人员表示：“尽管在孤立的环境中运行，扩展程序仍然可以成为黑客的强大工具，使他们能够窃取信息并突破浏览器的安全边界。”
Opera在2023年11月22日修复了这个漏洞，仅在漏洞被披露的5天后。开发人员还进行了服务器端修复，并采取了一系列措施来防止将来出现类似问题。出于安全原因，...