The hacker news 网站披露，研究人员发现了一个严重的 Oracle 云基础设施 (OCI) 漏洞，用户可以利用该漏洞访问其他 Oracle 客户的虚拟磁盘，漏洞披露后 24 小时内就修复了。 据悉，该漏洞由 Wiz 安全专家首次发现，其研究主管 Shir Tamari 在推文中表示，甲骨文云中的每个虚拟磁盘都有一个唯一标识符（称为 OCID）。后续，Tamari 补充称，只要攻击者拥有其 Oracle 云标识符(OCID)，就可以读写任何未附加的存储卷或允许多重附加的附加存储卷，从而导致敏感数据被窃取或通过可执行文件操作发起更具破坏性的攻击。 在没有足够权限的情况下使用 CLI 访问卷 从本质上讲，该漏洞的根源在于磁盘可以在没有任何明确授权的情况下通过 Oracle 云标识符 (OCID) 附加到另一个帐户中的计算实例。这意味着拥有 OCID 的攻击者可以利用 AttachMe 访问任何存储卷，从而导致数据泄露、渗漏，或者更改引导卷以获取代码执行。 除了知道目标卷的 OCID 之外，发起攻击的另一个先决条件是攻击者的实例必须与目标处于相同的可用性域 (AD) 中。 Wiz 研究员 Elad Gabay 强调，用户权限验证不足是云服务提供商中常见的错误类别，识别此类问题的最佳方法是在开发阶段对每个敏感 API 执行严格的代码审查和全面测试。 早些时候，Wiz 研究人员还发现了一个 类似的云隔离漏洞，该漏洞影响了 Azure 中的特定云服务。微软修复的这些缺陷存在于 Azure Database for PostgreSQL 灵活服务器的身份验证过程中，一旦被利用，任何 Postgres 管理员可以获得超级用户权限并访问其他客户的数据库。 值得一提的是，上个月，相同类型的 PostgreSQL 漏洞也影响了谷歌云服务。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/345399.html 封面来源于网络，如有侵权请联系删除

最新公布的法庭文件显示，马斯克指责推特欺诈，明明推特数据安全有严重漏洞，但公司却蓄意掩盖。马斯克原计划440亿美元收购推特，但现在他想结束交易。还有，2011年时推特曾就用户数据问题与FTC签署过一份协议，但推特并没有遵守该协议，马斯克认为推特对此有隐瞒也是不合理的。 马斯克一方说：“毋庸置疑，最新披露的信息显示马斯克方面有权放弃合并协议，这样做的理由有很多，相当充分。” 马斯克还强调说，按照推特前安全主管Peiter “Mudge” Zatko透露的内幕，推特明显构成欺诈，它违反了协议。 马斯克要求特拉华州法官裁定他没有义务完成交易，而推特则希望法官强迫马斯克以每股54.20美元完成收购，从10月17日开始双方将参与为期5天的审讯。 推特方面称，公司已经就Zatko的指责进行了内部调查，认定他的说法没有根据。推特还说Zatko是因为表现不佳被开除的。推特律师则说，马斯克引用了Zatko的说辞，这些指责并不能成为结束交易的理由，也没有达到欺诈的标准。   转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1316751.htm 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，比特币 ATM 机制造商 General Bytes 证实其遭到了网络攻击。攻击者利用服务器中的零日漏洞，从用户处掠夺加密货币。 攻击事件发生不久后，General Bytes 在一份公告中表示，自 2020-12-08 版本以来，该零日漏洞一直存在于 CAS 软件中。攻击者通过 CAS 管理界面，利用页面上的 URL 调用，远程创建管理员用户。 CAS CAS，Crypto Application Server 的缩写，是 General Bytes 公司旗下一款自托管产品，能够使用户通过桌面或移动设备上的 Web 浏览器从中央位置管理比特币 ATM（BATM）机器。 目前，涉及 CAS 管理界面的零日漏洞，已经在以下两个版本的服务器补丁中得到了修复： 20220531.38 20220725.22 General Bytes 强调，未知攻击者通过扫描 DigitalOcean 云主机的 IP 地址空间，识别出在端口 7777 或 443 运行的 CAS 服务，随后滥用该漏洞在 CAS 上添加了一个名为 “gb ”的新默认管理员用户。 之后，黑客可以修改“购买”和“出售”加密设置以及“无效支付地址”，这时候客户向 ATM 机发送加密货币，双向 ATM 机则会向黑客钱包地址转发货币。 换句话说，攻击者主要目的是通过修改设置，将所有资金都转到其控制的数字钱包地址里。值得一提的是，目前尚不清楚有多少服务器受到此漏洞影响，以及有多少加密货币被盗。 最后，General Bytes 公司强调，自 2020 年以来，内部已经进行了多次“安全审计”，从未发现这一零日漏洞。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342610.html 封面来源于网络，如有侵权请联系删除

网络安全公司 Avast，刚刚将一个在 Google Chrome 浏览器中被积极利用（现已修复）的零日漏洞，与一家针对中东记者的以色列间谍软件制造商联系了起来。据悉，作为一家总部位于特拉维夫的黑客雇佣公司，Candiru（又称 Saito Tech）与此前被卷入丑闻的 NSO Group 非常相似，主要向政府客户提供强大的间谍软件。 （来自：Avast） 尽管 Candiru 冠冕堂皇地宣称，其软件旨在供政府与执法机构用来阻止潜在的恐怖主义和犯罪。 但研究人员发现，有关部门在利用间谍软件针对记者、不同政见者和镇压制度批评者。 去年 11 月，美政府将四家从事违反美国国家安全活动的外国公司，列入了美国商务部的制裁名单。 除了 NSO Group、Computer Security Initiative Consultancy PTE（COSEINC）和 Positive Technologies，Candiru 也榜上有名。 注入受感染网站（stylishblock[.]com）的恶意代码 Avast 表示，其在 3 月份观察到 Candiru 在利用 Chrome 零日漏洞，向土耳其、也门、巴勒斯坦的个人和黎巴嫩的记者发起了攻击，并且侵入了一家新闻机构员工使用的网站。 Avast 恶意软件研究员 Jan Vojtěšek 表示：“虽然无法确定攻击者的真实目的，但攻击追捕记者或找到泄露消息来源的做法，或对新闻自由构成威胁”。 以植入黎巴嫩新闻机构网站的 Chrome 零日漏洞为例，其旨在从受害者的浏览器中收集大约 50 个数据点。 通过分析语言、时区、屏幕信息、设备类型、浏览器插件和设备内存，来确保只有被特别针对的目标会受到损害。 找到目标后，间谍软件会利用 Chrome 零日漏洞在受害者的机器上扎根，研究人员称之为‘魔鬼舌’（DevilsTongue）。 易受攻击的 ioctl 处理程序之一 与其它此类间谍软件一样，DevilsTongue 能够窃取受害者手机上的内容 —— 包括消息、照片和通话记录，并实时跟踪受害者的位置。 Avast 于 7 月 1 日向 Google 披露了该漏洞（编号为 CVE-2022-2294），并于几天后（7 月 4 日）发布的 Chrome 103 中加以修复。 当时 Google 表示其已意识到在野外的漏洞利用，而自去年 7 月被微软和 Citizen Lab 首次曝光以来，相关调查表明该间谍软件制造商已至少针对百余名目标发起了攻击。 Avast 补充道：在去年 Citizen Lab 更新其恶意软件以躲避安全检测后，Candiru 似乎一直保持着低调，直到最近一轮攻击才又冒头。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1295411.htm 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 消费电子产品制造商联想周二发布了修复措施，解决了其UEFI固件中的三个安全漏洞，这些漏洞影响了70多种产品型号。 Slovak网络安全公司ESET在一系列推文中表示:“这些漏洞可以在平台启动的早期阶段实现任意代码执行，可能会让攻击者劫持操作系统执行流程，并禁用一些重要的安全功能。” CVE-2022-1890、CVE-2022-1891和CVE-2022-1892这三个漏洞都与缓冲区溢出漏洞有关，联想已将其描述为导致受影响系统上的权限提升。ESET的Martin Smolár报告了这些缺陷。 这些错误源于对三个不同的驱动程序 ReadyBootDxe、SystemLoadDefaultDxe 和 SystemBootManagerDxe 中名为“DataSize”的 NVRAM 变量的验证不足，从而导致缓冲区溢出，可以将其武器化以实现代码执行。 这是联想自今年年初以来第二次着手解决UEFI安全漏洞。今年4月，该公司解决了三个漏洞（CVE-2021-3970、CVE-2021-3971和CVE-2021-3972）——也是由Smolár发现的——可能被用来部署和执行固件植入。 强烈建议受影响设备的用户将其固件更新到最新版本，以缓解潜在威胁。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

在 Chrome 发布紧急更新之后，微软今天也发布了修复补丁，修复了被追踪为 CVE-2022-2294 的高危零日漏洞。微软也没有详细说明修复的细节，只是在 Edge 的更新日志中指出：“此更新包含对 CVE-2022-2294 的修复，Chromium 团队已报告该漏洞被黑客利用”。 目前安装该补丁之后，Edge 稳定版的最新版本是 103.0.1264.48。如果浏览器没有为您自动更新，请单击浏览器窗口右上角的三点菜单，然后导航到帮助和反馈 > 关于 Microsoft Edge 以触发更新。 今天修复的零日漏洞（追踪为CVE-2022-2294）存在于 WebRTC（网络实时通信）组件中，导致基于堆的缓冲区溢出，由 Avast 威胁情报团队的 Jan Vojtesek 于 7 月 1 日星期五报告。成功利用堆溢出的影响范围包括程序崩溃和任意代码执行，如果在攻击过程中实现了代码执行，则可以绕过安全解决方案。 转自 cnBeta，原文链接：https://www.cnbeta.com/articles/tech/1289671.htm 封面来源于网络，如有侵权请联系删除

近期，谷歌发布公告，称已经为Windows用户发布了Chrome 103.0.5060.114更新，以解决在野被攻击者利用的高严重性零日漏洞，这也是2022年谷歌修补的第四个 Chrome 零日漏洞。目前103.0.5060.114版本正在全球范围内的Stable Desktop频道推出，谷歌表示它需要几天或几周的时间才能触达整个用户群。 按照提示，BleepingComputer进入Chrome 菜单>帮助>关于 Google Chrome 检查新更新时，发现更新立即可用。同时Web浏览器还将自动检查新更新并在下次启动后自动安装它们。 上周五，Avast威胁情报团队的Jan Vojtesek报告说，近期修复的零日漏洞(编号为CVE – 222 -2294)是WebRTC (Web实时通信)组件中一个严重的基于堆的缓冲区溢出漏洞。 尽管谷歌表示这个零日漏洞在野被利用，但该公司尚未分享技术细节或有关这些事件的任何信息。谷歌表示：“在大多数用户更新修复之前，对错误详细信息和链接的访问可能会受到限制。如果漏洞存在于第三方中，在尚未修复之前，我们也会保留限制。”由于有关攻击的详细信息延迟发布，Chrome用户有足够的时间来更新和防止利用尝试，直到 Google 提供更多详细信息。 通过此次更新，谷歌解决了自年初以来的第四次 Chrome 零日问题，而在这之前发现并修补的前三个零日漏洞分别是： CVE-2022-1364  – 4 月 14 日 CVE-2022-1096  – 3 月 25 日 CVE-2022-0609  – 2 月 14 日 根据谷歌威胁分析组 (TAG)的说法，2月份修复的CVE-2022-0609在2月补丁发布前几周被朝鲜支持的国家黑客利用，最早的在野漏洞利用是在今年1月4日发现的。它被两个朝鲜资助的威胁组织所利用，并通过网络钓鱼邮件、使用虚假的工作诱饵和提供隐藏iframes服务的网站来传播恶意软件。最后，对于此次漏洞，谷歌方面建议用户尽快安装最新的谷歌浏览器更新。   转自 FreeBuf，原文链接：https://www.freebuf.com/news/338299.html 封面来源于网络，如有侵权请联系删除

安全内参6月30日消息，微软修复了旗下应用程序托管平台Service Fabric（SF）的容器逃逸漏洞“FabricScape”。利用此漏洞，恶意黑客可以提升至root权限，夺取主机节点控制权，进而危及整个SF Linux集群。 微软公布的数据显示，Service Fabric是一套关键业务应用程序托管平台，目前托管的应用总数已超百万。 该平台还支持多种微软产品，包括但不限于Azure SQL Database、Azure Cosmos DB、Microsoft Intune、Azure Event Hubs、Azure IoT Hub、Dynamics 365、Skype for Business Cortana、Microsoft Power BI及其他多项核心Azure服务。 这个漏洞编号为CVE-2022-30137，由Palo Alto Networks公司的Unit 42团伙发现，并于今年1月30日报告给微软的。 该漏洞之所以出现，是因为Fabric的数据收集代理（DCA）服务组件（以root权限运行）包含竞争条件下的随意写入机制，导致恶意黑客可通过创建符号链接的方式，利用恶意内容覆盖节点文件系统中的文件，获取代码执行权限。 Unit 42的报告详细介绍了CVE-2022-30137执行代码漏洞的利用方法，以及接管SF Linux集群的更多细节。 微软公司表示，“微软建议客户持续审查一切有权访问其主机集群的容器化工作负载（包括Linux与Windows）。” “默认情况下，SF集群是单租户环境，各应用程序之间不存在隔离。但您可以在其中创建隔离，关于如何托管不受信代码的更多指南，请参阅Azure Service Fabric安全最佳实践页面。” 图：FabricScape恶意利用流程（Unit 42） 漏洞修复花了五个月 根据Unit 42的报告，微软公司于6月14日发布了Microsoft Azure Service Fabric 9.0 Cumulative Update，最终解决了这个漏洞（微软则表示，相关修复程序已在5月26日发布）。 微软为该漏洞发布安全公告后，从6月14日开始，已将修复程序推送至Linux集群的自动更新通道。 在Linux集群上启用自动更新的客户，无需采取任何额外处理措施。 对于没有为Azure Service Fabric开启自动更新的用户，建议大家尽快将Linux集群升级至最新Service Fabric版本。 Palo Alto Networks公司表示，“虽然我们并未发现任何成功利用该漏洞的在野攻击，但仍然希望能敦促各组织立即采取行动，确认自身环境是否易受攻击，并迅速安装补丁。” 微软公司表示，对于尚未启用自动更新的客户，他们已经通过Azure Service Health门户发出关于此问题的安全通知。   转自 安全内参，原文链接：https://www.secrss.com/articles/44177 封面来源于网络，如有侵权请联系删除

近期，Checkmarx的网络安全研究人员发现了一个影响安卓上的Amazon Photos 应用程序严重漏洞，如果该漏洞被行为威胁者利用的话，就可能导致被安装在手机上的恶意应用程序窃取用户的亚马逊访问令牌。 从技术角度来看，当各种Amazon应用程序接口(API)对用户进行身份验证时，就需要Amazon访问令牌，其中一些接口在攻击期间可能会暴露用户的个人身份信息(PII)。其他一些应用程序接口，像Amazon Drive API，可能允许威胁参与者获得对用户文件的完全访问权限。 根据Checkmarx的说法，该漏洞源于照片应用程序组件之一的错误配置，这将允许外部应用程序访问它。每当启动此应用时，它会触发一个带有客户访问令牌的HTTP请求，而接收该请求的服务器就能被其控制。 研究人员表示，在掌握这一点后，安装在受害者手机上的恶意应用程序可能会发送一个指令，并发送请求到攻击者控制的服务器上。当攻击者有足够的操作空间，勒索软件就很容易成为可能的攻击载体，恶意操作人员可以读取、加密和重写客户的文件，同时还能删除他们的历史记录。 此外，Checkmarx说，他们在研究中只分析了整个亚马逊生态系统里的一小部分API，这就意味着使用相同令牌的攻击者也有可能访问其他Amazon API。 在发现这组漏洞后，Checkmarx第一时间联系了Amazon Photos开发团队。“由于该漏洞的潜在影响很大，并且在实际攻击场景中成功的可能性很高，亚马逊认为这是一个严重程度很高的问题，并在报告后不久就发布了修复程序。”   转自 Freebuf，原文链接：https://www.freebuf.com/news/337760.html 封面来源于网络，如有侵权请联系删除

安全研究人员揭露甲骨文在今年1月及4月，所分别修补2项影响Fusion Middleware的重大漏洞细节，并指后者花了6个月才修复。 VNG公司的PeterJson和VNPT的Nguyen Jang去年10月发现Fusion Middleware 2项漏洞，分别为影响Oracle JDeveloper内ADF Faces framework的前远端程序码执行（pre-auth RCE）漏洞，以及影响Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞。 研究人员当月已向甲骨文揭露2漏洞，但甲骨文今年才修补，因此漏洞皆列为2022年。SSRF漏洞命名为CVE-2022-21497，甲骨文今年1月先以第1季安全更新修补OAM中。而RCE漏洞则被命名CVE-2022-21445，但是要等到4月的第2季安全更新修补。距离当初通报已是6个月的事，也超出了一般标准的90天，他们认为这家软体巨人的动作太迟缓。 ADF Faces框架包括超过150个支援Ajax的JavaServer Faces（JSF）元件及开发框架，可用于在Fusion Middleware上开发应用程序。研究人员最初在测试攻击中证实Oracle BI（Oracle Business Intelligence）的前远端程序码执行（pre-auth RCE）漏洞，该漏洞可让未经授权的攻击者经由HTTP连线呼叫开采，最严重可接管JDeveloper。这项漏洞风险值达9.8。 但研究人员最后发现，该漏洞还影响多个甲骨文产品，包括Oracle Enterprise Manager、Identity Management、SOA Suite、WebCenter Portal、Application Testing Suite、Transportation Management。此外，而且任何以ADF Faces framework开发的网站也会受影响，包括许多甲骨文线上系统及Oracle Cloud Infrastructure。 Fusion Middleware的Oracle Access Manager（OAM）的伺服器端请求伪造（Server Side Request Forgery，SSRF）漏洞则是Jang找到。OAM是单一签入（SSO）元件。这漏洞可和CVE-2022-21497串联起来，在OAM达成远端程序码执行，让未经授权的攻击者可经由Oracle Web Services/OAM新增、删除或修改资料，风险值为8.1。研究人员强调这十分严重，因为VMWare、华为及高通都使用OAM的SSO，且甲骨文许多Oracle线上服务也使用OAM作为SSO。 ADF framework及OAM两漏洞皆影响Oracle Fusion Middleware 12.2.1.3.0 和12.2.1.4.0版。尽管研究人员批评甲骨文动作太慢，但甲骨文已释出更新版，研究人员也呼吁企业用户尽速安装最新版本。   转自 E安全，原文链接：https://mp.weixin.qq.com/s/u78-LspaS2dhUTR-_eGaHg 封面来源于网络，如有侵权请联系删除