Log4j 版本下载 (Sonatype) 根据 Veracode 的调查结果，79%的开发人员选择在第三方库首次纳入代码库后则不再更新，以避免破坏功能。值得一提的是，即使65% 的开源库更新包含不太可能导致功能问题的小改动和修复，开发人员也不愿意更新。

此外，研究还表明 50% 的项目需要 65 天以上的时间来解决高严重性安全漏洞，...

HackerNws编译，转载请注明出处： 来自阿姆斯特丹自由大学的研究人员披露了一种名为SLAM的新侧信道攻击，可被利用来从当前和即将推出的Intel、AMD和Arm处理器的内核存储器中泄漏敏感信息。 该攻击是一种基于Spectre的端到端利用，利用了Intel处理器中称为线性地址掩码（LAM）的新功能，以及AMD（称为Upper Address Ignore或UAI）和Arm（称为Top Byte Ignore或TBI）的类似对应功能。
“SLAM 利用未屏蔽的gadgets，...

HackerNws编译，转载请注明出处： 研究人员Jose Rodriguez在 Android 14和13中发现了一个能绕过锁屏的漏洞，该漏洞可能会暴露用户 Google 帐户中照片、联系人、浏览记录等多项敏感数据。 几个月前，该研究人员在多个平台上发布消息，包括Twitter、Reddit和Telegram，询问是否可能从锁屏界面打开Google Maps链接，因为他无法在他的Pixel上锁定的情况下完成这个操作。...

境外地理信息系统软件绘制的城市管网图 专项排查整治斩断黑手

地理信息数据属于高价值情报，是境外间谍情报机关情报窃密的重点。通过窃取我国高精度地理信息数据，可还原出我交通、能源、军事等重要领域特定区域的三维地貌图，为侦察监视、军事行动提供关键支持，将严重威胁我军事安全。

近期，国家安全机关工作发现，...

Akamai 警告说，许多网络都面临着遭受攻击的风险，这些攻击可能会欺骗 DNS 记录并窃取 Active Directory 中的秘密，而 Microsoft 没有计划解决这一缺陷。 Akamai 的安全研究人员 发现Microsoft Active Directory 系统中存在严重威胁。针对这些系统的攻击可能允许攻击者欺骗 DNS 记录、破坏 Active Directory 并窃取其中存储的机密。 这些攻击对于运行标准 Microsoft 动态主机配置协议 ( DHCP ) 配置的服务器尤其危险。值得注意的是，它们不需要用户凭据。...

紫骆驼实施方案 作为新版本的一部分，Meta 声称这是“业界第一套针对大型语言模型 (LLM) 的网络安全评估”。该综合体包括：

量化法学硕士网络安全的指标；
用于评估不安全代码提案频率的工具；
使生成恶意代码或协助网络攻击变得困难的工具。

主要目标是将系统集成到模型工作流程中，...

研究人员表示，影响大多数计算机的固件漏洞使黑客能够执行恶意代码并绕过启动安全系统。 研究人员表示，可能影响95%计算机的固件漏洞使黑客能够无视启动安全并在启动时执行恶意软件。这些缺陷源于 UEFI 系统固件中用于在启动屏幕上加载徽标图像的图像解析器，因此被称为“LogoFAIL”。 发现这些漏洞的固件供应链安全公司 Binarly 的研究人员警告说：
“包括英特尔、宏碁和联想在内的不同供应商的数百种消费级和企业级设备可能容易受到攻击。”
LogoFAIL 首次在11月29日的博客文章中披露，...

一种隐蔽的恶意软件正在感染泰国的电信和其他垂直行业的系统，在其代码首次出现在 VirusTotal 上后两年内一直处于低调状态。 攻击者可能与 XorDdos Linux 远程访问木马（RAT）的创建者捆绑在一起，近两年来一直在使用单独的 Linux RAT 而未被发现，使用它来瞄准泰国的组织并保持对受感染系统的恶意访问。 Group-IB的研究人员在12月7日发表的一篇博客文章中报告说，这种被称为Krasue的RAT以东南亚民间传说中的一种夜间土著精神命名，它使用多种隐蔽技术，包括使用嵌入七个编译版本的rootkit来支持各种版本的Linux内核。...

使用 Microsoft 帐户登录大学门户 Android自动填充管理的内部结构 具体来说，AutoSpill 问题源于 Android 未能强制执行或明确定义安全处理自动填充数据的责任，这可能导致数据泄露或被主机应用程序捕获。...

起诉书还称，公开名称为"Callisto Group"的共谋者针对英国和其他地方的军方和政府官员、智库研究人员和工作人员以及记者，使用了复杂的鱼叉式网络钓鱼电子邮件，这些电子邮件声称来自电子邮件提供商，暗示用户违反了服务条款。

根据司法部的起诉书，...