当美国航空航天局（NASA）需要两部在轨航天器保持相对静止并完成对接时，时机的把握至关重要。二者的运行必须彼此精确同步，才能防止发生灾难性故障。这意味着负责控制其推进器的计算机网络绝不能有哪怕一瞬间的中断，必须保证每次都能按时交付关于何时/如何移动的明确指示。 宾夕法尼亚大学工程学院计算机与信息科学系副教授Linh Thi Xuan Phan与密歇根大学、NASA的一组研究人员合作，发现了该系统及其他安全关键系统所使用的网络技术中，存在一个严重漏洞“PCspooF”。 这种网络技术被称为“时间触发以太网”，简称TTE，已在航空、航天和重工业领域应用了十多年。在这类场景下，会有多种不同类型的信息持续在计算机网络中传播，但并非所有信息都需要相同级别的计时精度。时间触发以太网能确保最关键的信号获得优先权，因此无需单独部署专用的网络硬件。 对于NASA来说，通过时间触发以太网在同一物理网络上传输多种类型的信号显得尤其重要，因为它必须精打细算航天器的每一克重量。而此次研究结果表明，时间触发以太网的安全保证效果可能因电磁干扰而受到损害。对高优先级信号的计时干扰，足以导致模拟对接程序出现严重故障。   图：PCspooF漏洞攻击过程概述 Phan教授与密歇根大学的Andrew Loveless、Ronald Dreslinski以及Baris Kasikci，共同在2023年IEEE安全与隐私研讨会的论文集上发表了这一发现。 在NASA约翰逊航天中心工作期间，Loveless开始利用模拟数据调查这一潜在安全漏洞。他和密歇根大学的同事们还聘请网络物理系统安全专家Phan来研究时间触发以太网的网络硬件的自身缺陷。 结果表明，低优先级信号的发送方式可以使负责消息传输的以太网线缆产生电磁干扰，进而让恶意消息顺利通过原本会阻止它们的交换机。 Phan表示，“时间触发以太网技术在关键系统中被广泛应用，因为能保证两种类型的信号不会相互干扰。但如果这一假设并不可靠，那么以此为基础建立的一切都会土崩瓦解。” 该团队曾在2021年私下向使用时间触发以太网的主要企业、组织以及设备制造商披露了研究发现和缓解建议，包括将铜缆替换为光纤及其他光频隔离器。 Loveless表示，“各方都非常愿意采取缓解措施。据我们所知，该隐患尚未对任何相关方构成实际安全威胁。我们对行业和政府的积极反应感到欣慰。” 转自 安全内参，原文链接：https://mp.weixin.qq.com/s/Ex-y0w5gR-qkCEwsfaGT7A 封面来源于网络，如有侵权请联系删除

据观察，名为Turla的俄罗斯网络间谍组织搭载了一种已有十年历史的恶意软件使用的攻击基础设施，以乌克兰为目标提供自己的侦察和后门工具。 谷歌旗下的 Mandiant 正在跟踪未分类集群名称UNC4210下的操作，称被劫持的服务器对应于 2013 年上传到 VirusTotal的商品恶意软件变体，称为ANDROMEDA （又名 Gamarue）。 “UNC4210 重新注册了至少三个过期的 ANDROMEDA 命令和控制 (C2) 域，并开始对受害者进行分析，以便在 2022 年 9 月有选择地部署 KOPILUWAK 和 QUIETCANARY，”Mandiant 研究人员在上周发表的一份分析报告中表示。 Turla，也被称为 Iron Hunter、Krypton、Uroburos、Venomous Bear 和 Waterbug，主要针对使用大量自定义恶意软件的政府、外交和军事组织。 自 2022 年 2 月俄乌冲突以来，该组织与一系列针对该国实体的凭证网络钓鱼和侦察工作有关。 2022 年 7 月，谷歌的威胁分析小组 (TAG)透露，Turla 创建了一个恶意 Android 应用程序，据称是为了针对亲乌克兰的黑客活动分子对俄罗斯网站发起分布式拒绝服务 (DDoS) 攻击。 Mandiant 的最新发现表明，Turla 一直在偷偷地将旧感染作为恶意软件分发机制，更不用说利用 ANDROMEDA 通过受感染的 USB 密钥传播这一事实了。这家威胁情报公司表示：“通过 USB 传播的恶意软件仍然是获取组织初始访问权限的有用载体。” 在 Mandiant 分析的事件中，据说 2021年12月在一个未具名的乌克兰组织中插入了一个受感染的 U 盘，最终导致在启动恶意链接 (.LNK) 文件伪装时在主机上部署遗留仙女座工件作为 USB 驱动器中的文件夹。   威胁行为者通过交付第一阶段KOPILUWAK dropper（一种基于 JavaScript 的网络侦察实用程序），重新利用作为 ANDROMEDA 已失效 C2 基础设施一部分的休眠域之一（它于 2022 年 1 月重新注册）来分析受害者。 两天后，即 2022 年 9 月 8 日，攻击进入了最后阶段，执行了一个名为 QUIETCANARY（又名Tunnus）的基于 .NET 的植入程序，导致 2021 年 1 月 1 日之后创建的文件被泄露。 Turla 使用的交易技巧与此前有关该组织在俄乌战争期间进行广泛的受害者分析工作的报道相吻合，这可能有助于它调整后续的利用工作，以获取俄罗斯感兴趣的信息。 这也是为数不多的情况之一，黑客部门被发现以不同恶意软件活动的受害者为目标，以实现其自身的战略目标，同时也掩盖了其作用。 “随着旧的 ANDROMEDA 恶意软件继续从受损的 USB 设备传播，这些重新注册的域会带来风险，因为新的威胁行为者可以控制并向受害者提供新的恶意软件。”研究人员说。 “这种声称广泛分布的、出于经济动机的恶意软件使用的过期域的新技术可以在广泛的实体中实现后续妥协。此外，较旧的恶意软件和基础设施可能更容易被防御者忽视，对各种警报进行分类” COLDRIVER 瞄准美国核研究实验室 调查结果发布之际，路透社报道称，另一个代号为 COLDRIVER（又名 Callisto 或 SEABORGIUM）的俄罗斯国家支持的威胁组织在 2022 年初将美国的三个核研究实验室作为目标。 为此，数字攻击需要为布鲁克海文、阿贡和劳伦斯利弗莫尔国家实验室创建虚假登录页面，以试图诱骗核科学家泄露他们的密码。 这些策略与已知的 COLDRIVER 活动一致，该活动最近被揭穿欺骗了英国和美国的国防和情报咨询公司以及非政府组织、智库和高等教育实体的登录页面。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/_GZLiJAxsPEEf7ahl4EOmA 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，近 20 家汽车制造商和服务机构存在 API 安全漏洞，这些漏洞允许黑客进行远程解锁、启动车辆、跟踪汽车行踪，窃取车主个人信息的恶意攻击活动。 据悉，API 漏洞主要影响宝马、罗尔斯、奔驰、法拉利、保时捷、捷豹、路虎、福特、起亚、本田、英菲尼迪、日产、讴歌、现代、丰田和创世纪等其知名汽车品牌。此外，漏洞还影响汽车技术品牌 Spireon 和 Reviver 以及流媒体服务 SiriusXM。 谁发现了 AP I安全漏洞？ 网络安全研究员 Sam Curry 和其研究团队，在数十家顶级汽车制造商生产的车辆和车联网服务中，发现了API 漏洞问题。 此前，Sam Curry于 2022 年 11 月披露了现代、Genesis、本田、讴歌、日产、英菲尼迪和 SiriusXM 的安全问题。 目前，受影响的供应商已经修复所有漏洞问题，现在无法利用这些漏洞。在经过了 90 天的漏洞披露期后，Curry 团队发表了一篇关于更详细的 API 漏洞博客文章，展示了黑客如何利用这些漏洞来解锁和启动汽车。 攻击者可以利用漏洞，访问内部系统 宝马和奔驰中发现了最严重的 API 漏洞，这些漏洞受到 SSO（单点登录）漏洞的影响，攻击者可以利用访问内部业务系统。 例如在对梅赛德斯-奔驰的测试中，研究人员可以访问多个私有 GitHub 实例、Mattermost 上的内部聊天频道、服务器、Jenkins 和 AWS 实例，并成功连接到客户汽车的 XENTRY 系统 等。 梅赛德斯-奔驰内部系统（资料来源：Sam Curry） 在对宝马的测试中，研究人员可以访问内部经销商门户网站，查询任何汽车的 VIN，并检索包含敏感车主信息的销售文件。此外，攻击者还可以利用 SSO 漏洞，以员工或经销商的身份登录账户，访问保留给内部使用的应用程序。 访问宝马门户网站上的车辆详细信息（资料来源：Sam Curry） 暴露车主详细信息 研究人员利用其它 API 漏洞，可以访问起亚、本田、英菲尼迪、日产、讴歌、梅赛德斯-奔驰、现代、创世纪、宝马、劳斯莱斯、法拉利、福特、丰田、保时捷等汽车品牌车主的个人身份信息。 对于豪华品牌汽车来讲，披露车主信息特别危险，因为在某些情况下，数据中包括销售信息、物理位置和客户居住地址。例如法拉利在其 CMS 上的 SSO 漏洞，暴露了后端 API 路线，使其有可能从 JavaScript 片段中提取凭据。攻击者可以利用这些漏洞访问、修改或删除任何法拉利客户账户，管理他们的车辆资料，甚至可以将自己设定为车主。 披露法拉利用户数据细节（资料来源：Sam Curry） 跟踪车辆 GPS API 漏洞可能允许黑客实时跟踪汽车，带来潜在的物理风险，并影响到数百万车主的隐私，其中保时捷是最受影响的品牌之一，其远程信息处理系统漏洞使攻击者能够检索车辆位置并发送指令。 GPS 跟踪解决方案 Spireon 也易受汽车位置泄露的影响，涉及到 1550 万辆使用其服务的车辆，甚至允许管理员访问其远程管理面板，使攻击者能够解锁汽车、启动引擎或禁用启动器。 Spireon 管理面板上的历史 GPS 数据（资料来源：Sam Curry） 值得一提的是，数字车牌制造商 Reviver 也容易受到未经验证的远程访问其管理面板的影响，该面板可能允许任何人访问 GPS 数据和用户记录、更改车牌信息等。 Curry 表示这些漏洞或允许攻击者在 Reviver 面板上将车辆标记为 “被盗”，这会自动将事件通知警方，从而使车主/驾驶员面临不必要的风险。 远程修改 Reviver 车牌（资料来源：Sam Curry） 最大限度地减少安全风险 车主可以通过最大限度减少存储在车辆或汽车 APP 中的个人信息,来保护自己免受此类漏洞的影响。此外，将车载远程信息处理设置为最高私密等级，并阅读汽车厂家的隐私政策,以了解其数据的使用方式也至关重要。 最后，Sam Curry 着重强调，当购买二手车时，请确保前车主的帐户已被彻底删除。如果有条件的话，尽量使用强密码，并为车辆的应用程序和服务设置双因素认证。   转自 Freebuf，原文链接：https://www.freebuf.com/news/354346.html 封面来源于网络，如有侵权请联系删除  

据BleepingComputer12月14日消息，微软在最近的一次“星期二更新”中修复了一个备受关注的、编号为CVE-2022-44698的零日漏洞，攻击者可用来规避 Windows SmartScreen 安全功能并提供 Magniber 勒索软件和 Qbot 恶意软件的有效负载。 攻击者使用恶意的独立 JavaScript 文件来利用零日漏洞绕过 Windows 显示的 Mark-of-the-Web 安全警告，该警告可以提醒用户应谨慎对待来自 Internet 的文件。 根据微软的说法，攻击者可以制作一个恶意文件来逃避 Web 标记 (MOTW) 防御，从而导致安全功能（例如 Microsoft Office 中的受保护视图）的完整性和可用性受损，这些功能都依赖于 MOTW 标记。微软还列出了该漏洞被利用的三种具体方式： 在基于 Web 的攻击情形中，攻击者可能利用恶意网站进行安全绕过。 在电子邮件或即时消息攻击场景中，攻击者可以向目标用户发送一个特制的 .url 文件，该文件旨在利用绕过漏洞。 受感染的网站或一些接受用户托管的网站可能包含特制内容以利用安全功能绕过。 但无论如何，攻击者都必须诱使目标打开恶意文件或访问具有 CVE-2022-44698 漏洞的网站。 据悉，HP 的威胁情报团队在 今年10 月首次发现并报告了该漏洞，他们发现网络钓鱼攻击正在使用独立的.JS JavaScript文件分发Magniber勒索软件，ANALYGENCE 的高级漏洞分析师 Will Dormann发现该文件的数字签名能够导致 SmartCheck 出错，在没有任何安全警告的情况下允许恶意文件执行并安装 Magniber 勒索软件，即使该文件已拥有MOTW标记。 上个月，攻击者同样利用该零日漏洞，在网络钓鱼攻击中投放 Qbot 恶意软件。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352566.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，近日思科发布了新的安全公告，指出 IP 电话（网络电话） 7800 和 8800 系列某个固件中存在高危漏洞，一旦攻击者成功利用该漏洞，或引发远程代码执行或拒绝服务（DoS）情况。 漏洞被追踪为 CVE-2022-20968（CVSS 评分：8.1），由 Qianxin Group Legendsec Codesafe 团队的 Qian Chen 发现并报告。据悉，漏洞产生的原因是在收到 Cisco 发现协议（CDP）数据包时，存在输入验证不足的情况，思科目前正在积极开发新补丁来解决漏洞问题。 注：通过运行 CDP 协议，思科设备能够在与它们直连的设备之间分享有关操作系统软件版本，以及 IP 地址，硬件平台等相关信息。（默认情况下自动开启。） 漏洞最早要明年一月才能修复 2022 年 12 月 8 日，Cisco 在一份公告中表示，潜在攻击者可以通过向受影响设备发送“精心制作”的思科发现协议流量来利用这一漏洞，若成功利用漏洞，潜在攻击者能够造成堆栈溢出，导致受影响设备上可能出现远程代码执行或拒绝服务（DoS）的情况。 值得一提的是，漏洞主要影响运行固件版本 14.2 及更早版本的Cisco IP 电话，思科方面声称目前暂时没有更新补丁和解决方案来解决该问题，但公司正在加紧开发更新补丁，计划在 2023 年 1 月发布。 此外，在同时支持 CDP 和链路层发现协议（LLDP）用于邻居发现的部署中，用户可以选择禁用 CDP，以便受影响的设备能够切换到 LLDP，向局域网（LAN）中直连的对等设备公布其身份和能力。这种变化可能会带来其它安全风险，需要企业努力评估设备可能会受到的任何潜在影响。 最后，思科强调，CVE-2022-20968 漏洞虽已被公开披露，但迄今为止，没有证据表明该漏洞在野外被积极滥用。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352199.html 封面来源于网络，如有侵权请联系删除  

在Apache软件基金会去年11月披露Log4j漏洞一年后，虽然针对该漏洞本身的攻击数量低于最初的预期，但仍然对企业组织构成重大威胁。 安全研究人员说，仍然有很多系统没有针对该漏洞打补丁，企业在发现、修复和防止该漏洞上仍面临挑战。 “Contrast Security的首席安全信息官 David Lindner说：”Log4j被用于约64%的Java应用程序，而其中只有50%的应用程序已经更新到完全固定的版本，这意味着攻击者将继续针对它。至少现在，攻击者继续在寻找通过Log4j进行攻击的途径。 攻击比预期的要少 Log4j的缺陷（CVE-2021-44228），通常被称为Log4Shell，存在于Log4j用于数据存储和检索的Java命名和目录接口（JNDI）。它可以帮助远程攻击者来控制易受攻击的系统。鉴于Log4J几乎被用于每一个Java应用环境，安全研究人员认为它是近年来最具威胁的漏洞之一，因为它很普遍，而且攻击者可以相对容易地利用它。 在过去的一年里，已经有许多关于攻击者利用该漏洞作为进入目标网络的报道。其中许多攻击涉及来自朝鲜、伊朗和其他国家的由国家支持的APT组织。例如，11月美国网络安全和基础设施安全局（CISA）警告说，一个由伊朗政府支持的APT组织利用未打补丁的VMware Horizon服务器中的Log4j漏洞，在一个联邦网络上部署了加密软件和凭证采集器。微软等其他公司也报告了类似的行为。 尽管还有其他一些关于有经济动机的网络犯罪团伙利用Log4j的报道， 但公开报道的涉及Log4的破坏事件的实际数量仍然比较低，特别是与涉及Exchange Server漏洞（如ProxyLogon和ProxyShell）的事件相比。Tenable公司的首席安全官Bob Huber说，相比于该漏洞的简单性和普遍的攻击路径，报告的攻击规模和范围出乎意料地低于预期。Huber说：只是在近期，我们才看到一些有针对性的重要报道，如最近CISA的民族性国家活动。 威胁未减弱 然而，安全研究人员指出，这并不意味着Log4j的威胁在过去一年中已经减弱。 首先，很大一部分企业仍然像一年前一样容易受到威胁。根据Tenable最近进行的一项与该漏洞有关的遥测分析显示，截至到10月1日，72%的企业容易受到Log4j的攻击，全球仅有28%的组织已经对该漏洞进行了全面修复。但当这些企业在向其环境中添加新的资产时，经常又一次地遭到Log4j的漏洞攻击。 Huber说：假设企业在软件的构建管道中建立修复，那么再一次地遭到Log4j漏洞攻击的概率会减少。是否会再一次地遭到Log4j漏洞攻击很大程度上取决于一个企业的软件发布周期。 此外，尽管网络安全界对这个漏洞的认识几乎无处不在，但由于应用程序如何使用Log4j，在许多企业中仍然很难找到有漏洞的版本。Sonatype公司首席技术官Brian Fox说，一些应用程序可能将开源日志组件作为其应用程序的直接依赖项，而在其他情况下，一些应用程序可能将Log4j作为一个交叉依赖项或另一个依赖项的依赖。 Fox说：由于过渡性依赖是从你的直接依赖项的选择中引入的，它们可能并不总是被你的开发人员所了解或直接看到。 Fox说，当Apache基金会首次披露Log4Shell时，公司不得不发出成千上万的内部电子邮件，在电子表格中收集结果，并递归扫描文件系统。这不仅仅花费了公司宝贵的时间和资源来修补该组件，而且延长了该漏洞的恶意影响程度。 来自Sonatype维护的Maven Central Java仓库的数据显示，目前35% 的 Log4 下载仍来自该软件的易受攻击版本。许多公司甚至在开始响应之前仍在尝试建立他们的软件清单，并且没有意识到传递依赖性的影响。 根据上述所有的问题，美国国土安全部审查委员会今年早些时候得出结论：Log4是一个地方性的安全风险，企业将需要与之抗衡多年。委员会成员评估说，Log4j的脆弱实例将在未来许多年里留在系统中，并使企业面临攻击的风险。 正面的影响 跟踪该漏洞的安全研究人员说，Log4j的积极成果是它引起了人们对软件构成分析和软件材料清单（SBOM）等实践的高度关注。企业在确定他们是否有漏洞或在他们的环境中可能存在的漏洞时所面临的挑战，促进了人们更好地理解对其代码库中所有组件的可见性需要，特别是那些来自开源和第三方的组件。 ReversingLabs的CISO Matthew Rose说：对Log4J问题的调查再次证实，除了跟上DevOps速度的SBOMs之外，还需要更好的软件供应链证明。应用安全和架构团队已经意识到，仅仅在源代码、API或开放源码包等部分寻找风险是不够的。他们现在意识到，全面了解应用程序的架构与寻找SQLI或跨站脚本错误（XSS）一样重要。   转自 Freebuf，原文链接：https://www.freebuf.com/news/352218.html 封面来源于网络，如有侵权请联系删除

上周五，Google开始为Windows、Mac和Linux上的Chrome浏览器推出紧急稳定通道更新，以修补一个已经被利用于外部的零日漏洞。如果你还没有这样做，请检查并确保你的浏览器在Mac和Linux上至少更新到108.0.5359.94版本，在Windows上至少更新到108.0.5359.94/.95。 Google的Prudhvikumar Bommana在Chrome发布的博客上说，CVE-2022-4262是Chrome的V8 JavaScript引擎的一个高严重性的类型混淆弱点。如果这听起来很熟悉，那是因为这是今年Chrome浏览器中的第三个此类漏洞。 正如我们之前解释的那样，如果攻击者利用类型混淆漏洞，可以让他们在浏览器中执行任意代码。如果他们有必要的权限，他们还可以查看、编辑或删除数据。不过我们不确定攻击者如何利用这个具体的漏洞，因为Google希望大家在分享细节之前更新Chrome。 “对错误细节和链接的访问可能会保持限制，直到大多数用户都更新了修复程序，”Google解释说。”如果该漏洞存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留限制。” 这是Google在2022年修补的第九个Chrome零日漏洞。在此之前的一次是在11月25日浮出水面，涉及GPU的堆缓冲区溢出。 当你打开浏览器时，Chrome浏览器并不总是应用最新的更新，所以如果你想检查并查看你正在运行的版本，请进入设置界面，然后在屏幕左侧的菜单栏底部的”关于Chrome”。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7172756651026907659/ 封面来源于网络，如有侵权请联系删除

Google威胁分析小组（TAG）的一篇新博文显示，2022年10月，朝鲜积极利用了一个Internet Explorer零日漏洞。这次攻击以韩国用户为目标，将恶意软件嵌入参考最近首尔梨泰院人群踩踏惨案的文件中。 Internet Explorer浏览器早在今年6月初就正式退役了，此后被微软Edge取代。然而，正如TAG的技术分析所解释的那样，Office仍在使用IE引擎来执行启用攻击的JavaScript，这就是为什么它在没有安装2022年11月新的安全更新的Windows7至11和Windows Server 2008至2022机器上依然存在漏洞。 当题为”221031首尔龙山梨泰院事故应对情况（06:00）.docx”的恶意微软Office文档于2022年10月31日被上传到VirusTotal时，TAG意识到来自IE的漏洞依然阴魂不散。这些文件利用了10月29日在梨泰院发生的悲剧的广泛宣传，在这场悲剧中，151人在首尔的万圣节庆祝活动中因人群踩踏而丧生。 TAG认为这次攻击是由朝鲜政府支持的一个名为APT37的组织所为，该组织以前曾在针对朝鲜叛逃者、政策制定者、记者、人权活动家和韩国IE用户的攻击中使用类似的IE零日漏洞。 该文件利用了在”jscript9.dll”（Internet Explorer的JavaScript引擎）中发现的Internet Explorer零日漏洞，在渲染攻击者控制的网站时，该漏洞可被用来传递恶意软件或恶意代码。 TAG在博文中说，它”没有获得这次攻击活动的最终载荷”，但指出之前观察到APT37使用类似的漏洞来输送恶意软件，如Rokrat、Bluelight和Dolphin。在这种情况下，该漏洞在10月31日被发现后的几个小时内就被报告给了微软，并在11月8日被修补。   转自 cnbeta，原文链接：https://www.toutiao.com/article/7174457484654936580/ 封面来源于网络，如有侵权请联系删除

日前，谷歌Project Zero报告披露了三个三星手机漏洞，分别为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370，目前已被一家监控公司利用。 这三个漏洞具体表现为： CVE-2021-25337： SMR Mar-2021第1版之前的三星移动设备中剪贴板服务的访问控制不当，允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369： SMR MAR-2021第1版之前的sec_日志文件中存在一个不正确的访问控制漏洞，将暴露用户空间内敏感的内核信息。 CVE-2021-25370: SMR Mar-2021第1版之前，dpu驱动程序中处理文件描述符的实现不正确，导致内存损坏，内核死机。 而这家监控供应商正是将上述的三个漏洞链接起来，以危害三星手机。 目前TAG团队只获得了三星手机可能处于测试阶段的部分漏洞链，研究人员指出，这家监控公司在其间谍软件中包含了对这三个漏洞的攻击，这些漏洞在被攻击时为零日漏洞。研究人员称：“这条攻击链是一个很好的例子，值得进一步分析。它与我们过去看到的许多Android攻击相比，具有不同的攻击面和“形状”。此链中的所有3个漏洞都在制造商的定制组件中，而不是AOSP平台或Linux内核中。值得注意的是，3个漏洞中有2个是逻辑和设计漏洞，而不是内存安全。” 专家们进一步解释说，该漏洞样本针对的是运行内核为4.14.113和Exynos SOC的三星手机。这种特定的SOC常被于欧洲和非洲销售的手机使用。该漏洞依赖于针对Exynos三星手机的马里GPU驱动程序和DPU驱动程序。据悉，该样本可以追溯到2020年底，而在2020年底运行4.14.113内核的三星手机为S10、A50和A51。 在2020年底发现这些漏洞后，谷歌立即向三星报告了这些漏洞，该供应商也于2021年3月份解决了这些漏洞。谷歌没有透露监控供应商的名字，只是强调了与其他针对Android用户的活动的相似之处。 Project Zero指出，三星发布的关于这些问题的建议没有提到它们在野外的开发。报告总结道：“当已知漏洞在野外被利用时，标记对目标用户和安全行业都很重要。当在野零日漏洞未被透明披露时，我们无法使用该信息进一步保护用户，只能使用补丁分析和变体分析来了解攻击者已经了解的情况。” 经历了此次事件之后，研究人员说：“对这一漏洞链的分析为我们提供了新的见解，它让我们进一步了解攻击者是如何针对Android设备展开攻击的。这也突出了对制造商特定组件进行更多研究的必要性。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/ALP8lEK7GgpM26ExYHn9Aw 封面来源于网络，如有侵权请联系删除

据The Record报道，研究人员在宜家的智能照明系统中发现了两个漏洞，允许攻击者控制该系统并使灯泡快速闪烁，还可能导致恢复出厂设置。 两个漏洞影响了宜家的E1526型Trådfri网关1.17.44及之前版本。该产品的价格约为80美元，通常用于照亮书架和梳妆台。 Synopsys网络安全研究中心的Kari Hulkko和Tuomo Untinen表示，他们在2021年6月就将这两个漏洞（CVE-2022-39064和CVE-2022-39065）告知宜家。CVE-2022-39064的CVSS评分为7.1，其核心是Zigbee协议，一种用于无线电、医疗设备和家庭自动化工具等低功率、低数据率设备的无线网络类型。 该漏洞允许攻击者通过该协议发送一个恶意帧，使宜家的TRÅDFRI灯泡闪烁。如果攻击者多次重发该恶意信息，灯泡就会执行出厂重置。 2021年10月底，宜家回应称，正在制作一个漏洞修复程序。该公司在2022年2月16日公布了CVE-2022-39065的修复方案，并在6月公布了CVE-2022-39064的部分补救措施。 宜家的一位发言人向媒体表示，自披露以来，该公司已与Synopsys合作，以改善其智能设备的安全和功能。该发言人表示，由于Zigbee协议的设计，所发现的问题并没有危及客户安全，攻击者不能获得TRÅDFRI网关或智能设备内的敏感信息。 Hulkko和Untinen说，虽然CVE-2022-39065已经在所有1.19.26或更高版本的软件中得到解决，但CVE-2022-39064还没有得到完全处理。“V-2.3.091版本修复了一些畸形帧的问题，但不是所有已知的畸形帧，”他们说，并分享了该漏洞的一个视频。宜家没有回应关于何时发布完整补丁的评论请求。 物联网安全公司Viakoo首席执行官Bud Broomhead解释说，像这样的漏洞的危险性在于它可以导致出厂重置。对于许多Zigbee和相关的物联网设备，这可能会导致物联网设备连接到威胁行为者控制的Zigbee网络。 他指出：“很庆幸这只是灯泡，而不是门锁、摄像机或工业控制系统，所有这些都可以通过Zigbee连接，被攻破和利用后会产生更多的破坏性后果。”   转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/346423.html 封面来源于网络，如有侵权请联系删除