HackerNews 编译，转载请注明出处： 研究人员发现，日产Leaf电动汽车存在一系列漏洞，攻击者可利用这些漏洞远程入侵车辆，进行监视甚至接管车辆的多项功能。这项研究由提供汽车和金融服务行业渗透测试及威胁情报服务的公司PCAutomotive开展，并在2025年4月1日举办的Black Hat Asia 2025上进行了详细展示。 研究人员以2020年生产的第二代日产Leaf为研究对象，发现其信息娱乐系统的蓝牙功能存在漏洞，可被攻击者利用作为入侵车辆内部网络的入口。攻击者随后能够提升权限，并通过车载通信模块建立命令与控制（C&C）通道，从而通过互联网直接、隐蔽且持续地访问电动汽车。 研究人员展示了攻击者如何利用这些漏洞监视车主，例如跟踪车辆位置、截取信息娱乐系统屏幕截图以及录制车内人员对话。此外，攻击者还能远程操控车辆的多项物理功能，包括车门、雨刷、喇叭、后视镜、车窗、车灯，甚至方向盘，即使车辆处于行驶状态也不例外。 这些漏洞共被分配了八个CVE编号，从CVE-2025-32056到CVE-2025-32063。研究人员表示，漏洞披露流程始于2023年8月，日产在2024年1月确认了这些发现，但直到最近才完成CVE分配。 日产的一位发言人表示：“PCAutomotive就其研究与日产取得了联系。出于安全原因，我们拒绝透露具体的对策或细节。为了我们客户的出行安全和安心，我们将继续开发并推出对抗日益复杂网络攻击的技术。”     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet公司揭露了一个令人不安的情况：网络攻击者找到了一种方法，即使在最初用于入侵FortiGate设备的漏洞被修复后，他们仍能保持对该设备的只读访问权限。 据推测，攻击者利用了包括但不限于CVE-2022-42475、CVE-2023-27997和CVE-2024-21762在内的已知且现已修复的安全漏洞来实施攻击。 Fortinet在周四发布的安全公告中表示：“攻击者利用已知漏洞，为易受攻击的FortiGate设备设置了只读访问权限。这是通过在用于提供SSL-VPN语言文件的文件夹中创建一个符号链接，连接用户文件系统和根文件系统来实现的。” Fortinet指出，这些修改发生在用户文件系统中，并成功躲避了检测，导致即使在修复了最初入侵的安全漏洞后，该符号链接（也称为symlink）仍然存在。 这使得攻击者能够继续访问设备文件系统中的文件，包括配置文件等，但那些从未启用SSL-VPN功能的客户不受此问题影响。 目前尚不清楚是谁在幕后操纵此次攻击活动，但Fortinet的调查显示，该攻击并非针对特定地区或行业。Fortinet还表示，已直接通知受影响的客户。 为了防止此类问题再次发生，Fortinet推出了一系列FortiOS软件更新： – FortiOS 7.4、7.2、7.0和6.4版本：将符号链接标记为恶意文件，以便由防病毒引擎自动删除。 – FortiOS 7.6.2、7.4.7、7.2.11、7.0.17和6.4.16版本：删除了符号链接，并修改了SSL-VPN用户界面，以防止此类恶意符号链接的传播。 Fortinet建议客户将其系统更新至FortiOS 7.6.2、7.4.7、7.2.11、7.0.17或6.4.16版本，审查设备配置，并将所有配置视为可能已被篡改，采取适当的恢复措施。 美国网络安全与基础设施安全局（CISA）也发布了相关安全公告，敦促用户重置暴露的凭据，并考虑在应用补丁之前禁用SSL-VPN功能。法国计算机应急响应小组（CERT-FR）在类似的公告中表示，他们已知晓此类入侵行为可追溯至2023年初。 watchTowr公司首席执行官Benjamin Harris在接受采访时表示，此次事件令人担忧，原因主要有两个。 首先，网络攻击的实施速度远远超过了组织进行漏洞修复的速度，而且攻击者显然深知这一点。其次，更令人恐惧的是，攻击者在快速入侵后多次部署了能够抵御组织所依赖的漏洞修复、升级和出厂重置等缓解措施的能力和后门，以维持对被入侵组织的持久访问。 Harris还表示，在watchTowr的客户群体中发现了后门部署的情况，并且许多被认定为“关键基础设施”的组织也受到了影响。     消息来源：thehackernews； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： F5 Labs 的研究人员发现了一场针对性攻击活动，该活动利用托管在 AWS EC2 实例上的网站中的服务器端请求伪造（SSRF）漏洞来提取 EC2 元数据，这些元数据可能包括来自 IMDSv1 端点的身份和访问管理（IAM）凭据。 检索 IAM 凭据使攻击者能够提升权限并访问 S3 存储桶或控制其他 AWS 服务，可能导致敏感数据泄露、操作和中断服务。 F5 Labs 的研究人员报告称，恶意活动在 2025 年 3 月 13 日至 25 日之间达到高潮。流量和行为模式强烈表明，这是由单一威胁者实施的。 SSRF 问题是网络漏洞，使攻击者能够“欺骗”服务器代表他们向内部资源发出 HTTP 请求，而这些资源通常是攻击者无法访问的。 在 F5 观察到的活动中，攻击者找到了具有 SSRF 漏洞的 EC2 主机网站，使他们能够远程查询内部 EC2 元数据 URL 并接收敏感数据。 EC2 元数据是亚马逊 EC2（弹性计算云）中的一项服务，提供有关在 AWS 上运行的虚拟机的信息。这些信息可能包括配置详细信息、网络设置，以及潜在的安全凭据。 该元数据服务只能通过连接到内部 IP 地址上的特殊 URL（如 http://169.254.169.254/latest/meta-data/）的虚拟机访问。 首个恶意 SSRF 探测记录在 3 月 13 日，但活动在 3 月 15 日至 25 日之间升级到全面规模，使用了几个位于法国和罗马尼亚的 FBW Networks SAS IP。 在此期间，攻击者轮换了六个查询参数名称（dest、file、redirect、target、URI、URL）和四个子路径（例如，/meta-data/、/user-data），显示出从易受攻击的站点中提取敏感数据的系统性方法。 这些攻击之所以成功，是因为易受攻击的实例运行在 IMDSv1 上，这是 AWS 的旧元数据服务，允许任何对实例有访问权限的人检索元数据，包括任何存储的 IAM 凭据。 该系统已被 IMDSv2 取代，后者需要会话令牌（身份验证）来保护网站免受 SSRF 攻击。 这些攻击在 2025 年 3 月的威胁趋势报告中被强调，F5 Labs 文档记录了过去一个月中被利用最多的漏洞。 按数量计算，被利用最多的前四个 CVE 是： CVE-2017-9841 – 通过 eval-stdin.php 远程执行代码的 PHPUnit（69,433 次尝试） CVE-2020-8958 – 广州 ONU OS 命令注入 RCE（4,773 次尝试） CVE-2023-1389 – TP-Link Archer AX21 命令注入 RCE（4,698 次尝试） CVE-2019-9082 – ThinkPHP PHP 注入 RCE（3,534 次尝试） 报告强调，旧漏洞仍然是高度针对性的，40% 的被利用 CVE 年龄超过四年。 为了缓解威胁，建议应用可用的安全更新、加强路由器和物联网设备配置，并用受支持的型号替换已停产的网络设备。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软发布了安全修复程序，解决了影响其软件产品的 126 个漏洞，其中包括一个正在被积极利用的漏洞。 在 126 个漏洞中，11 个被评为关键漏洞，112 个被评为重要漏洞，2 个被评为低严重性漏洞。其中，49 个漏洞被分类为权限提升漏洞，34 个为远程代码执行漏洞，16 个为信息泄露漏洞，14 个为拒绝服务（DoS）漏洞。   此次更新不包括该公司自上个月发布补丁星期二更新以来，在基于 Chromium 的 Edge 浏览器中修复的 22 个漏洞。   正在遭受攻击的漏洞是一个影响 Windows 公共日志文件系统（CLFS）驱动程序的权限提升（EoP）漏洞（CVE-2025-29824，CVSS 评分：7.8），该漏洞源于一个释放后使用场景，允许授权攻击者在本地提升权限。   自 2022 年以来，CVE-2025-29824 是在同一组件中发现的第六个被利用的 EoP 漏洞，其他漏洞包括 CVE-2022-24521、CVE-2022-37969、CVE-2023-23376、CVE-2023-28252 和 CVE-2024-49138（CVSS 评分：7.8）。   “从攻击者的角度来看，被攻陷后的活动需要获得必要的权限，以便在被攻陷的系统上进行后续活动，例如横向移动，”Tenable 高级研究工程师 Satnam Narang 表示。   “因此，权限提升漏洞在针对性攻击中通常很受欢迎。然而，近年来，CLFS 中的权限提升漏洞在勒索软件运营者中变得特别受欢迎。”   Action1 总裁兼联合创始人 Mike Walters 表示，该漏洞允许权限提升至 SYSTEM 级别，从而使攻击者能够安装恶意软件、修改系统设置、篡改安全功能、访问敏感数据并保持持久访问权限。   “这个漏洞特别令人担忧的是，微软已确认该漏洞在野外被积极利用，但目前尚未为 Windows 10 32 位或 64 位系统发布补丁，”Immersive 首席网络安全工程师 Ben McCarthy 表示。“补丁的缺失为 Windows 生态系统的大部分留下了一个关键的防御缺口。”   “在某些内存操作条件下，可以触发释放后使用漏洞，攻击者可以利用该漏洞在 Windows 中以最高权限级别执行代码。重要的是，攻击者不需要管理员权限即可利用该漏洞——只需要本地访问权限。”   根据微软的说法，该漏洞的积极利用与针对少数目标的勒索软件攻击有关。这一发展促使美国网络安全与基础设施安全局（CISA）将其添加到已知被利用漏洞（KEV）目录中，要求联邦机构在 2025 年 4 月 29 日之前应用修复程序。   本月微软修复的其他一些值得注意的漏洞包括影响 Windows Kerberos 的安全功能绕过（SFB）漏洞（CVE-2025-29809），以及 Windows 远程桌面服务（CVE-2025-27480、CVE-2025-27482）和 Windows 轻量级目录访问协议（CVE-2025-26663、CVE-2025-26670）中的远程代码执行漏洞。   同样值得注意的是，Microsoft Office 和 Excel 中的多个关键严重性远程代码执行漏洞（CVE-2025-29791、CVE-2025-27749、CVE-2025-27748、CVE-2025-27745 和 CVE-2025-27752），这些漏洞可能被攻击者利用，通过特制的 Excel 文档实现对系统的完全控制。   关键漏洞列表还包括影响 Windows TCP/IP（CVE-2025-26686）和 Windows Hyper-V（CVE-2025-27491）的两个远程代码执行漏洞，这些漏洞可能允许攻击者在某些条件下通过网络执行代码。   值得注意的是，一些漏洞尚未为 Windows 10 推出补丁。微软表示，更新将“尽快发布，当它们可用时，客户将通过此 CVE 信息的修订版收到通知。”   其他厂商的软件补丁 除了微软，其他厂商在过去几周也发布了安全更新，以修复多个漏洞，包括：   – Adobe   – Amazon Web Services   – AMD   – Apache Parquet   – Apple   – Arm   – ASUS   – Bitdefender   – Broadcom（包括 VMware）   – Canon   – Cisco   – CrushFTP   – Dell   – Drupal   – F5   – Fortinet   – GitLab   – Google Android   – Google Chrome   – Google Cloud   – Hitachi Energy   – HP   – HP Enterprise（包括 Aruba Networking）   – Huawei   – IBM   – Ivanti   – Jenkins   – Juniper Networks   – Lenovo   – Linux 发行版（Amazon Linux、Debian、Oracle Linux、Red Hat、Rocky Linux、SUSE 和 Ubuntu）   – MediaTek   – Meta WhatsApp   – Minio   – Mitel   – Mitsubishi Electric   – MongoDB   – Moxa   – Mozilla Firefox、Firefox ESR 和 Thunderbird   – QNAP   – Qualcomm   – Rockwell Automation   – Salesforce   – Samsung   – SAP   – Schneider Electric   – Siemens   – SonicWall   – Sophos   – Splunk   – Spring Framework   – Synology   – WordPress   – Zoho ManageEngine   – Zoom   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 微软透露，一个现已修复的安全漏洞影响了 Windows 公共日志文件系统（CLFS），该漏洞被作为零日漏洞利用，用于针对少数目标的勒索软件攻击。 “目标包括美国信息技术（IT）和房地产行业的组织、委内瑞拉的金融行业、一家西班牙软件公司以及沙特阿拉伯的零售行业，”这家科技巨头表示。 相关漏洞是 CVE-2025-29824，这是一个 CLFS 中的权限提升漏洞，攻击者可利用其获得 SYSTEM 权限。微软在 2025 年 4 月的补丁星期二更新中修复了这一漏洞。 微软正在追踪这一活动以及 CVE-2025-29824 被利用后的情况，并将其命名为 Storm-2460，同时发现攻击者还利用了一种名为 PipeMagic 的恶意软件来交付漏洞利用程序和勒索软件载荷。 目前尚不清楚攻击中使用的具体初始访问向量。然而，观察到攻击者使用 certutil 工具从一个先前被攻陷的合法第三方站点下载恶意软件，以部署载荷。 该恶意软件是一个包含加密载荷的恶意 MSBuild 文件，解包后会启动 PipeMagic，这是一个自 2022 年以来在野外被检测到的基于插件的特洛伊木马。 值得一提的是，CVE-2025-29824 是继 CVE-2025-24983（一个 Windows Win32 内核子系统权限提升漏洞）之后，通过 PipeMagic 传递的第二个 Windows 零日漏洞。CVE-2025-24983 由 ESET 发现，并于上个月由微软修复。 此前，PipeMagic 还与利用另一个 CLFS 零日漏洞（CVE-2023-28252）的 Nokoyawa 勒索软件攻击有关。 “在我们归因于同一攻击者的其他攻击中，我们还观察到，在利用 CLFS 提权漏洞之前，受害者的机器已被一个名为‘PipeMagic’的自定义模块化后门感染，该后门通过 MSBuild 脚本启动，”卡巴斯基在 2023 年 4 月指出。 需要强调的是，Windows 11 24H2 版本不受此特定漏洞利用的影响，因为对 NtQuerySystemInformation 中某些系统信息类的访问被限制为具有 SeDebugPrivilege 的用户，而这类权限通常只有管理员级别的用户才能获得。 “漏洞利用针对的是 CLFS 内核驱动中的一个漏洞，”微软威胁情报团队解释道。“漏洞利用随后利用内存损坏和 RtlSetAllBits API 将漏洞利用进程的令牌覆盖为值 0xFFFFFFFF，从而为进程启用所有权限，这允许将进程注入到 SYSTEM 进程中。” 成功利用漏洞后，攻击者会通过转储 LSASS 内存来提取用户凭据，并使用随机扩展名加密系统中的文件。 微软表示，未能获得勒索软件样本进行分析，但指出加密后留下的勒索信中包含一个与 RansomEXX 勒索软件家族相关的 TOR 域。 “勒索软件攻击者重视被攻陷后的提权漏洞利用，因为这些漏洞可以让他们将初始访问权限（包括从商品恶意软件分发者手中接过的访问权限）提升为特权访问权限，”微软表示。“然后他们利用这些特权访问权限在环境中广泛部署和引爆勒索软件。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）已将最近披露的一个影响 CrushFTP 的严重安全漏洞添加到其已知被利用漏洞（KEV）目录中，此前有报告显示该漏洞在野外被积极利用。 该漏洞是一个身份验证绕过漏洞，可能允许未认证的攻击者接管易受攻击的实例。该漏洞已在版本 10.8.4 和 11.3.1 中修复。 “CrushFTP 在 HTTP 授权头中存在身份验证绕过漏洞，允许远程未认证的攻击者认证到任何已知或可猜测的用户账户（例如 crushadmin），可能导致完全被攻陷，”CISA 在一份公告中表示。 该漏洞已被分配了 CVE 编号 CVE-2025-31161（CVSS 评分：9.8）。值得注意的是，同一漏洞之前被追踪为 CVE-2025-2825，但现在已在 CVE 列表中被标记为拒绝。 这一进展是在与该漏洞相关的披露过程陷入争议和混乱之后发生的，VulnCheck 作为 CVE 编号机构（CNA），分配了一个编号（即 CVE-2025-2825），而实际的 CVE（即 CVE-2025-31161）则一直悬而未决。 Outpost24 负责任地向供应商披露了该漏洞，并澄清说，它在 2025 年 3 月 13 日向 MITRE 请求了一个 CVE 编号，并且正在与 CrushFTP 协调，以确保在 90 天的披露期内推出修复措施。 然而，直到 3 月 27 日，MITRE 才将该漏洞分配为 CVE-2025-31161，而此时 VulnCheck 已经发布了自己的 CVE，且在发布前未联系“CrushFTP 或 Outpost24 以查看是否已经有负责任的披露流程正在进行中。” VulnCheck 方面批评 MITRE 拒绝 CVE-2024-2825 并发布了 CVE-2025-31161，同时指责 CrushFTP 试图掩盖该漏洞。 “CrushFTP, LLC 发布了一则公告，但故意要求在 90 天内不发布 CVE，实际上试图将该漏洞对安全社区和防御者隐瞒，”VulnCheck 安全研究员 Patrick Garrity 在 LinkedIn 的一篇帖子中表示。 “更糟糕的是，MITRE 似乎优先考虑其在编写过程中的参与，而不是及时披露一个在野外被积极利用的漏洞。这开创了一个危险的先例。” 这家瑞典网络安全公司随后发布了触发该漏洞利用的分步说明，但没有透露太多技术细节： 生成一个至少 31 个字符长度的随机字母数字会话令牌 设置一个名为 CrushAuth 的 cookie，其值为步骤 1 中生成的值 设置一个名为 currentAuth 的 cookie，其值为步骤 1 中生成值的最后 4 个字符 使用步骤 2 和 3 中的 cookie 以及将 Authorization 头设置为“AWS4-HMAC=<username>/”（其中 <username> 是要登录的用户，例如 crushadmin）对目标 /WebInterface/function/ 执行 HTTP GET 请求 这些操作的最终结果是，最初生成的会话将作为选定用户进行认证，允许攻击者执行该用户有权执行的任何命令。 Huntress 重新创建了 CVE-2025-31161 的概念验证，并表示在 2025 年 4 月 3 日观察到 CVE-2025-31161 在野外被利用，并发现了进一步的后续攻击活动，包括使用 MeshCentral 代理和其他恶意软件。有证据表明，攻陷可能早在 3 月 30 日就已发生。 这家网络安全公司表示，到目前为止，已观察到针对四家不同公司的四个不同主机的攻击，其中三家受影响的公司由同一家托管服务提供商（MSP）托管。受影响公司的名称未被披露，但它们属于营销、零售和半导体行业。 发现威胁行为者利用该访问权限安装了诸如 AnyDesk 和 MeshAgent 等合法远程桌面软件，同时在至少一个实例中采取措施收集凭证。 在部署 MeshAgent 后，据说攻击者将一个非管理员用户（“CrushUser”）添加到本地管理员组，并交付了另一个 C++ 二进制文件（“d3d11.dll”），这是开源库 TgBot 的一种实现。 “很可能威胁行为者正在利用 Telegram 机器人从受感染的主机收集遥测数据，”Huntress 研究人员表示。 截至 2025 年 4 月 6 日，共有 815 个未修补的实例容易受到该漏洞的影响，其中 487 个位于北美，250 个在欧洲。鉴于该漏洞正在被积极利用，联邦民用行政分支（FCEB）机构必须在 4 月 28 日之前应用必要的补丁以保护其网络。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了亚马逊 EC2 简单系统管理器（SSM）代理中的一个现已修复的安全漏洞。如果成功利用该漏洞，攻击者可能实现权限提升和代码执行。 根据 Cymulate 在一份与《黑客新闻》共享的报告中所述，该漏洞可能允许攻击者在文件系统中意外位置创建目录、以 root 权限执行任意脚本，并可能通过向系统敏感区域写入文件来提升权限或执行恶意活动。 亚马逊 SSM Agent 是亚马逊网络服务（AWS）的一个组件，使管理员能够远程管理、配置和在 EC2 实例及本地服务器上执行命令。 该软件处理在 SSM 文档中定义的命令和任务，这些文档可以包含一个或多个插件，每个插件负责执行特定任务，例如运行 shell 脚本或自动化部署和配置相关活动。 此外，SSM Agent 会根据插件规范动态创建目录和文件，通常依赖插件 ID 作为目录结构的一部分。这引入了一个安全风险：如果插件 ID 的验证不当，可能会导致潜在漏洞。 Cymulate 的发现是一个路径遍历漏洞，源于插件 ID 的验证不当，可能允许攻击者操纵文件系统并以提升的权限执行任意代码。问题根植于名为“ValidatePluginId”的函数（位于 pluginutil.go 文件中）。 “该函数未能正确清理输入，允许攻击者提供包含路径遍历序列（例如 ../）的恶意插件 ID，”安全研究员 Elad Beber 表示。 由于这一漏洞，攻击者可以提供一个特制的插件 ID（例如 ../../../../../../malicious_directory），在创建 SSM 文档时执行底层文件系统上的任意命令或脚本，从而实现权限提升和其他后续攻击行为。 在 2025 年 2 月 12 日负责任地披露该漏洞后，亚马逊于 2025 年 3 月 5 日通过发布 SSM Agent 版本 3.3.1957.0 修复了该问题。 根据项目维护人员在 GitHub 上发布的更新日志，“添加并使用 BuildSafePath 方法以防止在编排目录中发生路径遍历。”   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： Fortinet 已发布安全更新，以修复影响 FortiSwitch 的一个严重安全漏洞，该漏洞可能允许攻击者进行未经授权的密码更改。 该漏洞被追踪为 CVE-2024-48887，CVSS 评分为 9.3（满分 10.0）。 Fortinet 在今日发布的公告中表示：“FortiSwitch GUI 中存在一个未验证的密码更改漏洞 [CWE-620]，可能允许远程未认证的攻击者通过特制请求修改管理员密码。” 以下是受影响的版本： FortiSwitch 7.6.0（升级至 7.6.1 或更高版本） FortiSwitch 7.4.0 至 7.4.4（升级至 7.4.5 或更高版本） FortiSwitch 7.2.0 至 7.2.8（升级至 7.2.9 或更高版本） FortiSwitch 7.0.0 至 7.0.10（升级至 7.0.11 或更高版本） FortiSwitch 6.4.0 至 6.4.14（升级至 6.4.15 或更高版本） 这家网络安全公司表示，该漏洞是由 FortiSwitch Web UI 开发团队的 Daniel Rozeboom 内部发现并报告的。 作为临时措施，Fortinet 建议禁用管理界面的 HTTP/HTTPS 访问，并限制系统访问权限，仅允许受信任的主机访问。 虽然目前没有证据表明该漏洞已被利用，但许多影响 Fortinet 产品的安全漏洞曾被威胁行为者武器化，因此用户必须尽快应用补丁。   消息来源：The Hacker News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 谷歌在 2025 年 4 月的 Android 安全更新中发布了针对 62 个漏洞的补丁，其中包括两个在针对性攻击中被利用的零日漏洞。 其中一个零日漏洞是 Linux 内核 ALSA 设备 USB 音频驱动中的高严重性权限提升安全漏洞（CVE-2024-53197），据报道，塞尔维亚当局利用了这一漏洞来解锁扣押的 Android 设备，这是以色列数字取证公司 Cellebrite 开发的零日漏洞利用链的一部分。 这一漏洞利用链还包括一个 USB 视频类零日漏洞（CVE-2024-53104，已于 2 月修复）和一个人机接口设备零日漏洞（CVE-2024-50302，上个月修复），该链由大赦国际的安全实验室于 2024 年中期发现，当时他们正在分析塞尔维亚警方解锁设备上的日志。 谷歌在 2 月告诉 BleepingComputer，这些修复程序已于 1 月与原始设备制造商（OEM）合作伙伴共享。 “我们在这些报告之前就已知晓这些漏洞及利用风险，并迅速为 Android 开发了修复程序。修复程序已于 1 月 18 日通过合作伙伴咨询共享，”谷歌发言人告诉 BleepingComputer。 本月修复的第二个零日漏洞（CVE-2024-53150）是 Android 内核信息泄露漏洞，由越界读取弱点引起，使本地攻击者无需用户交互即可访问易受攻击设备上的敏感信息。 2025 年 3 月的 Android 安全更新还修复了另外 60 个安全漏洞，其中大多数是高严重性的权限提升漏洞。 谷歌发布了两组安全补丁，分别是 2025-04-01 和 2025-04-05 安全补丁级别。后者提供了第一批的所有修复程序以及针对封闭源第三方和内核子组件的安全补丁，这些补丁不一定适用于所有 Android 设备。 谷歌 Pixel 设备立即接收这些更新，而其他厂商通常需要更长时间来测试和优化安全补丁，以适应其特定的硬件配置。 2024 年 11 月，谷歌还修复了另一个 Android 零日漏洞（CVE-2024-43047），该漏洞最初于 2024 年 10 月被谷歌 Project Zero 标记为已被利用，并被塞尔维亚政府在 NoviSpy 间谍软件攻击中用于针对活动人士、记者和抗议者的 Android 设备。   消息来源：Bleeping Computer；  本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 2025年4月5日，Ionut Ilascu报道，WinRAR文件压缩解决方案中的一个漏洞可能被利用来绕过Windows的“网络标记”（Mark of the Web，MotW）安全警告，并在Windows机器上执行任意代码。 该安全问题被追踪为CVE-2025-31334，影响所有WinRAR版本，除了最新的7.11版本。 Windows的“网络标记”是一种安全功能，它通过一个元数据值（一个名为“区域标识符”的备用数据流）来标记从互联网下载的文件，以标识这些文件可能不安全。 当打开带有MotW标记的可执行文件时，Windows会警告用户该文件是从互联网下载的，可能有害，并提供继续执行或终止的选项。 CVE-2025-31334漏洞允许威胁行为者在打开指向可执行文件的符号链接（symlink）时绕过MotW安全警告，该符号链接在任何7.11版本之前的WinRAR中都存在。攻击者可以利用特制的符号链接执行任意代码。需要注意的是，在Windows上创建符号链接通常需要管理员权限。 该安全问题获得了6.8的中等严重性评分，并已在WinRAR的最新版本中修复，如WinRAR的应用程序变更日志中所指出的： “如果从WinRAR shell启动指向可执行文件的符号链接，则忽略可执行文件的MotW数据” – WinRAR 该漏洞由三井物产Secure Directions的Shimamine Taihei通过日本的信息技术促进机构（IPA）报告。日本的计算机安全事件响应小组协调了与WinRAR开发者的负责任披露。 从7.10版本开始，WinRAR提供了从MotW备用数据流中移除信息的可能性（例如位置、IP地址），这些信息可能被视为隐私风险。 包括国家支持的威胁行为者在内的攻击者过去曾利用MotW绕过漏洞来投放各种恶意软件，而无需触发安全警告。 最近，俄罗斯黑客利用了7-Zip压缩工具中的类似漏洞，该漏洞在双重压缩（在一个文件内压缩另一个文件）时不会传播MotW，以运行Smokeloader恶意软件投放器。   消息来源：Bleeping Computer； 本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文