零日漏洞利用是网络安全攻击的“核武器”，也是AI难以染指的安全研究“圣杯”。但是，安全研究人员近日发布的一篇论文颠覆了这一观点，在网络安全圈里炸开了锅！该论文证明大语言模型（LLM）可以高效自动化利用（未知的）真实零日漏洞。此前，研究表明单个AI代理获取给定漏洞和“夺旗”任务的具体描述后，可以利用真实漏洞。然而，对于（没有相关训练数据的）未知零日漏洞，这些AI代理表现仍然欠佳。 最新研究突破了这一瓶颈！伊利诺伊大学香槟分校的研究团队在其论文《用大语言模型利用零日漏洞》中，探讨了大语言模型在自动化利用网络安全漏洞中的应用，特别是零日漏洞的利用。 研究人员设计了一种由大语言模型AI代理组成的“AI团队”，能够利用真实世界的零日漏洞。单个AI代理在探索大量不同漏洞和进行长期规划方面存在瓶颈。 研究方法 为了提升AI代理在零日漏洞利用中的表现，伊利诺伊大学的研究团队提出了一种新的多代理系统——HPTSA（分层规划与任务特定代理系统）。该系统由一个规划代理和多个任务特定的子代理组成，通过分工合作解决复杂的网络安全任务。研究方法如下：HPTSA系统包括三个主要组件： 分层规划代理：负责探索环境（如网站），确定需要尝试的漏洞类型及其所在页面。 任务特定代理的团队管理者：根据规划代理的指示，选择合适的任务特定代理执行具体任务，并处理先前执行结果的信息。 特定任务代理：设计用于挖掘特定类型漏洞的专家代理，如SQL注入（SQLi）、跨站脚本（XSS）等。 研究团队还设计了六个特定任务代理，每个代理具备访问工具、文档和提示的能力，专门用于发现特定类型的漏洞。 最后，研究团队使用OpenAI的API、LangChain和LangGraph实现了HPTSA系统，并通过GPT-4模型进行所有实验。为了减少成本，他们采用了一种HTML简化策略，去除无关的HTML标签以降低令牌数量。 主要发现 研究人员构建了15个真实漏洞的基准测试，结果表明，“AI团队”利用零日漏洞的工作效率提升了4.5倍以上，重点发现如下：性能提升：HPTSA系统在零日漏洞利用方面的表现显著优于之前的单代理系统。研究表明，HPTSA在五次尝试中成功利用漏洞的概率达到53%，在一次尝试中的成功率为33.3%，显著高于未提供漏洞描述的GPT-4代理。 对比测试：在对比测试中，HPTSA系统的表现也明显优于开源的漏洞扫描器（如ZAP和MetaSploit），这些扫描器在研究收集的漏洞中未能成功利用任何一个。 任务特定代理的必要性：通过消融实验，研究发现移除任务特定代理和文档后，系统性能大幅下降，这表明任务特定代理和相关文档对于高性能至关重要。 案例研究 研究团队通过具体案例进一步验证了HPTSA系统的有效性。以下是两个成功的案例：flusity-CMS漏洞：在该案例中，HPTSA成功利用了flusity-CMS中的跨站请求伪造（CSRF）和跨站脚本（XSS）漏洞。系统通过多次尝试，最终在管理页面创建了一个新的菜单，并成功注入了XSS负载。 changedetection.io漏洞：该漏洞涉及某些输入参数未正确解析，导致Javascript代码执行。HPTSA通过多次尝试，成功导航到正确的页面并利用了该漏洞。 结论 HPTSA系统的提出和验证表明，利用多AI代理系统可以显著提升AI代理在零日漏洞利用中的表现。这一发现解决了之前研究中的一个开放性问题，表明更复杂的AI代理系统可以有效地利用零日漏洞。尽管HPTSA系统在实验中表现出色，但研究团队也指出，要想全面理解AI代理在网络安全中的应用，未来仍有大量工作需要完成。例如，研究主要集中在可重现的开源Web漏洞上，未来的工作应涵盖更广泛的漏洞类型。此外，随着AI技术和相关工具的不断进步，AI代理在网络安全攻防两方面的作用将进一步增强。 大语言模型在零日漏洞利用领域的突破再次展示了了AI技术在网络安全领域的巨大潜力。随着AI代理系统的不断优化和成本的降低，AI技术有望成为网络安全专家的重要辅助工具，大幅提升网络防御和攻击的效率。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/bawthMrHLt01-6hQbLQsvg 封面来源于网络，如有侵权请联系删除

日前，华硕七种型号路由器曝出高危安全漏洞，漏洞被跟踪为 CVE-2024-3080（CVSS v3.1 评分：9.8“严重”），是一个身份验证绕过漏洞，允许未经身份验证的远程威胁攻击者控制设备。华硕方面在近日发布的固件更新中解决了安全漏洞问题。 安全漏洞主要影响以下路由器型号： XT8 （ZenWiFi AX XT8） – Mesh WiFi 6 系统，提供速度高达 6600 Mbps 的三频覆盖、AiMesh 支持、AiProtection Pro、无缝漫游和“家长”控制； XT8_V2 （ZenWiFi AX XT8 V2） – XT8 的更新版本，保持了类似的功能，增强了性能和稳定性； RT-AX88U – 双频 WiFi 6 路由器，速度高达 6000 Mbps，具有 8 个 LAN 端口、AiProtection Pro 和用于游戏和流媒体的自适应 QoS； RT-AX58U – 双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh、AiProtection Pro 和 MU-MIMO，可实现高效的多设备连接； RT-AX57 – 专为基本需求而设计的双频 WiFi 6 路由器，提供高达 3000 Mbps 的速度，支持 AiMesh 和基本的“家长”控制； RT-AC86U – 双频 WiFi 5 路由器，速度高达 2900 Mbps，具有 AiProtection、自适应 QoS 和游戏加速功能； RT-AC68U – 双频 WiFi 5 路由器，提供高达 1900 Mbps 的速度，支持 AiMesh、AiProtection 和强大的“家长”控制； 安全漏洞曝出后，华硕建议用户应当尽快将设备更新到华硕下载门户上提供的最新固件版本（上述每个型号的链接），并表示固件更新说明也可以在“此常见问题解答”页面上找到。对于那些无法立即更新固件的用户，华硕建议应当设置更加复杂的 WiFi 密码（超过 10 个非连续字符）。 此外，华硕还建议用户立即禁用对管理面板的互联网访问、WAN 远程访问、端口转发、DDNS、VPN 服务器、DMZ 和端口触发器。 值得一提的的是，新发布的安全更新固件中还修复了另一个安全漏洞 CVE-2024-3079 ，这是一个高严重性 （7.2） 缓冲区溢出问题，需要管理员帐户访问权限才能利用。同时，研究人员还披露了安全漏洞 CVE-2024-3912，这是一个严重 （9.8） 任意固件上传漏洞，允许未经身份验证的远程威胁攻击者在设备上执行系统命令（CVE-2024-3912 安全漏洞影响了多个华硕路由器型号。 每个受影响模型的建议解决方案是： DSL-N17U、DSL-N55U_C1、DSL-N55U_D1、DSL-N66U：升级至固件版本 1.1.2.3_792 或更高版本。 DSL-N12U_C1、DSL-N12U_D1、DSL-N14U、DSL-N14U_B1：升级至固件版本 1.1.2.3_807 或更高版本。 DSL-N16、DSL-AC51、DSL-AC750、DSL-AC52U、DSL-AC55U、DSL-AC56U：升级至固件版本 1.1.2.3_999 或更高版本。 DSL-N10_C1、DSL-N10_D1、DSL-N10P_C1、DSL-N12E_C1、DSL-N16P、DSL-N16U、DSL-AC52、DSL-AC55：已达到 EoL 日期，建议更换。 华硕方面在最新发布的下载主版本 3.1.0.114 解决了五个中高严重性问题，涉及任意文件上传、操作系统命令注入、缓冲区溢出、反映的 XSS 和存储的 XSS 安全问题。 尽管这些都不如 CVE-2024-3080 漏洞影响范围广、危害大，但还是建议用户应尽快将其实用程序升级到 3.1.0.114 或更高版本，以获得最佳的安全性和保护。   转自Freebuf，原文链接：https://www.freebuf.com/news/403718.html 封面来源于网络，如有侵权请联系删除

Google Chrome 浏览器扩展 EmailGPT 曝出高危零日漏洞。 EmailGPT 是 Google Chrome 的流行扩展程序，通过使用 OpenAI 公开提供的人工智能模型，帮助其用户在 Gmail 服务上撰写电子邮件（用户向该服务提供原始数据和上下文，接收人工智能反馈的内容，以此撰写电子邮件）。然而，最近的一项研究发现，该服务存在一个高危安全漏洞。 据悉，安全漏洞由 Synopsys 网络安全研究中心的专家发现并上报，追踪为 CVE-2024-5184（CVSS 得分为 6.5），是一个 “提示注入 “类型的漏洞，允许威胁攻击者操纵服务并盗取敏感信息，可能引发知识产权泄露、拒绝服务和大额经济损失。 CVE-2024-5184 安全漏洞的存在，使得 EmailGPT 在使用 API 服务时，可能会允许威胁攻击者注入第三方提示并操纵服务逻辑，导致泄露系统提示或执行不需要的命令。例如，威胁攻击者可以创建一个嵌入不需要的功能的提示，从而进行数据”挖掘“、使用被入侵的账户发送垃圾邮件或者为邮件列表创建误导性内容。 Synopsys 方面表示，网络安全研究人员在公布 CVE-2024-5184 安全漏洞详细信息之前联系了 EmailGPT 的开发人员，但目前尚未收到任何回复。鉴于当下还没有办法缓解该安全漏洞，Synopsys 建议有关用户应立即从浏览器中删除 EmailGPT。 SlashNext 电子邮件安全公司首席执行官 Patrick Harr 强调，必须对人工智能模型进行严格管理并实施额外的安全措施，以防止安全漏洞及其后续利用。此外，对于一些将人工智能整合到业务流程中的公司，更应该要求人工智能模型供应商提供真正的安全证明，避免安全事件的发生。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403414.html 封面来源于网络，如有侵权请联系删除

全球知名的半导体公司 Arm 和 Nvidia 正在敦促客户修补其产品中一系列新的漏洞。总部位于英国的Arm周五警告称，其 Mali GPU 内核驱动程序（一种帮助操作系统与 Mali 图形处理器进行通信的软件）中存在一个被广泛利用的零日漏洞。 该漏洞编号为CVE-2024-4610，可能导致“不当的 GPU 内存处理操作”，从而引发崩溃、数据损坏或未经授权访问敏感信息等安全问题。 Arm 表示，它已经注意到有关该漏洞被广泛利用的报告，并已修复该漏洞。如果用户受到此问题的影响，该公司建议他们升级 Bifrost 和 Valhall GPU 内核驱动程序。 这并不是研究人员第一次发现 Arm 的 Mali GPU 内核驱动程序中存在问题。去年 10 月，该公司表示，一个被追踪为CVE-2023-4211的安全问题可能允许黑客访问使用 Mali GPU 的设备上存储的数据。 去年，GitHub 上一位名为 Man Yue Mo 的研究人员发现了Mali GPU 内核驱动程序中的一个安全漏洞，该漏洞可能使黑客能够控制 Google Pixel 6 的操作系统。该问题已于 2022 年 6 月修复。 美国 GPU 设计者和制造商 Nvidia 周四还披露了其 GPU 显示驱动程序和 vGPU 软件产品中 10 个新的高危和中危漏洞。 该公司表示，该漏洞编号为CVE-2024-0090，是在 Nvidia 的 Windows 和 Linux GPU 驱动程序中发现的，可能导致代码执行、拒绝服务、权限提升、信息泄露和数据篡改。 Nvidia 的 Windows 版 GPU 显示驱动程序也包含一个漏洞 – CVE-2024-0089 – “可能会泄露来自以前的客户端或其他进程的信息”。 另一个漏洞 ( CVE-2024-0099 ) 是在 Nvidia 的虚拟 GPU (vGPU)（允许多个虚拟机共享单个物理 GPU 的软件）中发现的，它可能导致信息泄露、数据篡改、权限升级和拒绝服务。 Nvidia 并未透露这两个漏洞是否已被利用。该公司建议用户下载并安装软件更新，以保护其系统免受黑客攻击。   转自e安全，原文链接：https://mp.weixin.qq.com/s/-QkvoW5PfMEYrH6UF2n2jg 封面来源于网络，如有侵权请联系删除

全球关键设施中使用的生物识别终端存在 24 个漏洞，黑客可借此获得未经授权的访问权限、操纵设备、部署恶意软件并窃取生物识别数据。 生物识别安全技术比以往任何时候都更受欢迎，不仅在公共部门（执法部门、国家身份证系统等）得到广泛采用，而且在旅游和个人计算机等商业行业也得到广泛采用。在日本，地铁乘客可以“刷脸支付”，新加坡的移民系统依靠面部扫描和指纹来允许旅行者入境。甚至汉堡店也在尝试使用面部扫描支付账单。 黑客很快找到绕过这些所谓安全系统的方法，有时甚至可以进入系统内部。 卡巴斯基的研究人员发现中国制造商 ZKTeco 生产的混合生物识别终端存在大量漏洞。通过向数据库添加随机用户数据或使用伪造的二维码，恶意攻击者可以轻松绕过验证过程并获得未经授权的访问权限。攻击者还可以窃取和泄露生物识别数据、远程操纵设备并部署后门。如果使用这种易受攻击的设备，全球高安全性设施都将面临风险。 参考卡巴斯基官方链接，这些漏洞是在卡巴斯基安全评估专家对 ZKTeco 白标设备软件和硬件进行研究的过程中发现的。所有发现都在公开披露之前主动与制造商分享。 有问题的生物识别读取器广泛用于各个领域——从核电站或化工厂到办公室和医院。这些设备支持人脸识别和二维码身份验证，并能够存储数千个面部模板。然而，新发现的漏洞使它们面临各种攻击。卡巴斯基根据所需补丁对漏洞进行了分组，并将它们注册到特定的 CVE（通用漏洞和暴露）下。 利用 ZKTeco 终端进行攻击可能看起来像任何其他网络攻击，或者可能涉及相当有创意的物理攻击。 通过伪造的二维码进行物理绕过 CVE-2023-3938 漏洞允许网络犯罪分子执行一种称为 SQL 注入的网络攻击，该攻击涉及将恶意代码插入发送到终端数据库的字符串中。攻击者可以将特定数据注入用于访问限制区域的二维码中。因此，他们可以未经授权访问终端并物理访问限制区域。 当终端处理包含此类恶意二维码的请求时，数据库会错误地将其识别为来自最近授权的合法用户。如果假二维码包含过多的恶意数据，设备将重新启动，而不是授予访问权限。 卡巴斯基高级应用安全专家 Georgy Kiguradze 表示：“在用于向设备传输控制命令的二进制协议中发现大量 SQL 注入漏洞，这令人十分震惊。此外，在设备摄像头内嵌入的二维码读取器中也发现了类似的漏洞——人们通常不会想到会在这个位置发现此类漏洞，因为它通常与远程攻击有关。” “除了替换二维码，还有另一种有趣的物理攻击媒介。如果心怀恶意的人获得了设备数据库的访问权限，他们可以利用其他漏洞下载合法用户的照片，打印出来，并用它来欺骗设备的摄像头，从而获得对安全区域的访问权限。当然，这种方法有一定的局限性。它需要打印的照片，并且必须关闭温度检测。然而，它仍然构成了重大的潜在威胁。”卡巴斯基高级应用安全专家 Georgy Kiguradze 说。 生物特征数据盗窃、后门部署和其他风险 CVE-2023-3940 是软件组件中的漏洞，允许任意文件读取。利用这些漏洞，潜在攻击者可以访问系统上的任何文件并提取文件。这包括敏感的生物识别用户数据和密码哈希，以进一步窃取公司凭证。 CVE-2023-3942 提供了另一种从生物识别设备数据库中检索敏感用户和系统信息的方法——通过 SQL 注入攻击。 攻击者不仅可以访问和窃取，还可以通过利用 CVE-2023-3941 远程更改生物识别读取器的数据库。这组漏洞源于对多个系统组件的用户输入验证不当。利用它，攻击者可以上传自己的数据（例如照片），从而将未经授权的个人添加到数据库中。这可能使他们能够偷偷绕过旋转门或门。此漏洞的另一个关键特性使犯罪者能够替换可执行文件，从而可能创建后门。 成功利用另外两组新漏洞（CVE-2023-3939 和 CVE-2023-3943）可执行设备上的任意命令或代码，从而授予攻击者以最高权限完全控制权。这允许攻击者操纵设备，利用它来对其他网络节点发起攻击，并将攻击范围扩大到更广泛的公司基础设施。 “发现的漏洞影响范围广泛，令人担忧。首先，攻击者可以在暗网上出售窃取的生物特征数据，使受影响的个人面临深度伪造和复杂的社会工程攻击的风险。此外，修改数据库的能力使访问控制设备的原始用途成为武器，可能让不法分子进入禁区。最后，一些漏洞允许放置后门，秘密渗透其他企业网络，促进复杂攻击的发展，包括网络间谍或破坏。所有这些因素都凸显了修补这些漏洞和彻底审核在公司区域使用这些设备的人的设备安全设置的紧迫性。”Georgy Kiguradze 详细阐述道。 确保生物识别系统的安全 生物识别技术通常被认为比典型的身份验证机制更进一步——对于最敏感的设备和最严重的环境来说，这种额外的詹姆斯邦德级别的安全性是必不可少的。 例如，ZKTeco 终端部署在全球各地的核电站、化工厂、医院等场所。它们保护服务器机房、行政套房和敏感设备。上述漏洞可能不适合以经济为目的的网络犯罪分子，但对于意图窃取数据甚至操纵安全关键流程的内部人员或高级国家威胁行为者来说却非常有用。 这些系统部署的环境非常关键，因此各组织必须竭尽全力确保其完整性。而这项工作不仅仅是修补新发现的漏洞。 Kiguradze 建议：“首先，将生物识别读取器隔离在单独的网络段上，以限制潜在的攻击媒介。然后，实施强大的管理员密码并替换所有默认凭据。一般来说，建议对设备的安全设置进行彻底审核并更改所有默认配置，因为它们通常更容易在网络攻击中被利用。” 不确定生物识别技术的组织可以专注于尽可能减少生物识别技术的使用，或确保它们不是唯一的保护措施。关键在于确保这些额外的保护措施对用户不可见。 出路 安全团队面临的根本问题是：如果数据最终以相同的方式存储和保护，生物识别技术是否比其他形式的身份验证更安全？ 嗯，是的，大多数情况下，专家都是这么说的。 iProov 创始人兼首席执行官安德鲁·巴德 (Andrew Bud) 表示：“我想澄清一个常见的误解，即生物特征识别就像密码一样，因此，如果被盗或被破解，它就会变得毫无价值。这是一个根本性的概念错误，因为生物特征识别（如面部）并不是秘密。” 他解释道：“密码很好用，因为它是秘密的。但在现代社会，脸部并不是秘密。只要在 LinkedIn 或 Facebook 上看一眼，就能抓取到人们的脸部信息。脸部或任何其他生物特征之所以如此有价值，并不是因为它是机密的，而是因为它是独一无二的。” 实际上，泄露的照片、指纹或生物识别扫描仪的虹膜扫描结果并非世界末日。 人们可能会本能地害怕黑客会持有他们的照片，但真实照片的复制品不应该欺骗当今最先进的识别技术。例如，ZKTeco 终端具有温度检测机制，可以验证身份，防止入侵者使用打印的照片等欺骗面部识别终端。 巴德说，“当你检查一个人的脸时，你可以在场景中引入一些不可预测的东西，这会导致脸部做出与深度伪造或复制品相比独特的反应。” 他补充道：“我们的做法是利用用户设备的屏幕闪现出一系列不可预测的独特色彩，照亮用户的脸部，然后将脸部的视频传输回我们的服务器。光线在人脸上反射的方式，以及反射与环境光相互作用的方式……这是一个非常非常奇特、不寻常且不可预测的挑战，极难伪造。” 他解释说，如果面部识别机制能够抵御复制，“原则上，你就不必依赖收集数据的设备的安全性。事实上，我们从一开始就假设该设备完全不可信。” 不幸的是，有一个警告。与面部、眼睛和指纹等身体特征不同，“检测深度伪造的声音非常困难，甚至不可能， ”巴德说。“声纹中的信息太少了，很难发现假冒信号”——因此，生物识别技术的高级版本才是出路。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/Ntst01VxfhEeP2J5SKeBrQ 封面来源于网络，如有侵权请联系删除

今天是微软 2024 年 6 月补丁日，微软修复了 51 个安全漏洞，其中包括 18 个远程代码执行漏洞和一个公开披露的0day漏洞。 各个漏洞类别的数量如下： 25 个特权提升漏洞 18 个远程代码执行漏洞 3 个信息泄露漏洞 5 个拒绝服务漏洞 总共 51 个漏洞并不包括 6 月 3 日修复的 7 个 Microsoft Edge 漏洞。 本月补丁日只修复了一个严重漏洞，即 Microsoft 消息队列 (MSMQ) 中的远程代码执行漏洞。 该漏洞编号为CVE-2024-30080，CVSS 严重性评分为 9.8/10，攻击者可以通过向 MSMQ 服务器发送特制的恶意 MSMQ 数据包来利用该漏洞。 微软安全响应团队在一份公告中警告称：“这可能导致服务器端远程代码执行。” 微软表示，系统需要启用 Windows 消息队列服务才能利用此漏洞，并敦促客户检查机器上是否有名为消息队列的服务正在运行，并且 TCP 端口 1801 正在监听。 安全专家还呼吁关注CVE-2024-30078，这是一个 Windows WiFi 驱动程序远程代码执行漏洞，CVSS 严重性评分为 8.8/10。 微软警告称：“要利用此漏洞，攻击者必须靠近目标系统才能发送和接收无线电传输。未经身份验证的攻击者可以向使用 Wi-Fi 网络适配器的相邻系统发送恶意网络数据包，从而实现远程代码执行。” 一个公开披露的0day漏洞 本月的补丁日修复了一个公开披露的0day漏洞，是之前披露的DNS 协议中的“Keytrap”攻击，微软已在今天的更新中对其进行了修复。 CVE-2023-50868 – MITRE：CVE-2023-50868 NSEC3 最接近的封闭证明会耗尽 CPU。 “ CVE-2023-50868 涉及 DNSSEC 验证中的一个漏洞，攻击者可以利用解析器上的过多资源来利用旨在实现 DNS 完整性的标准 DNSSEC 协议，从而导致合法用户拒绝服务。MITRE 代表他们创建了这个 CVE。”微软的公告中写道。 该漏洞于二月份被披露，并已在许多 DNS 实现中得到修补，包括 BIND、PowerDNS、Unbound、Knot Resolver 和 Dnsmasq。 本月修复的其他漏洞包括多个 Microsoft Office 远程代码执行漏洞，其中包括可从预览窗格利用的 Microsoft Outlook RCE。 微软还修复了七个 Windows 内核权限提升漏洞，这些漏洞可能允许本地攻击者获得系统权限。 其他公司的最新 2024 年 6 月发布更新或公告的其他供应商包括： 苹果在visionOS 1.2版本中修复了 21 个安全漏洞。 ARM 修复了Mali GPU 内核驱动程序中一个被积极利用的BUG。 思科发布了其 Cisco Finesse 和 Webex 的安全更新。 Cox 修复了影响数百万调制解调器的 API 身份验证绕过漏洞。 F5 发布了针对两个高严重性 BIG-IP Next Central Manager API 漏洞的安全更新。 PHP 修复了一个严重的 RCE 漏洞，该漏洞目前在勒索软件攻击中被积极利用。 VMware 修复了 Pwn2Own 2024 上利用的三个零日漏洞。 Zyxel 针对停产 NAS 设备发布紧急 RCE 补丁。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/aoN31EZKhX32P5olgs90RQ 封面来源于网络，如有侵权请联系删除

苹果公司周一将 Vision Pro 虚拟现实头盔的操作系统 visionOS 更新到 1.2 版本，该版本修复了多个漏洞，其中包括可能是该产品特有的第一个安全漏洞，编号为 CVE-2024-27812。 visionOS 1.2 此次更新修复了近二十多个漏洞。其中绝大多数漏洞都存在于 visionOS 与其他苹果产品（如 iOS、macOS 和 tvOS）共享的组件中。这些漏洞可能导致任意代码执行、信息泄露、权限升级和拒绝服务（DoS）。 其中，最突出的漏洞是 CVE-2024-27812。这似乎是 Vision Pro 耳机特有的唯一一个 CVE，因为除 visionOS 外，其他苹果产品的公告中都没有列出这个 CVE。 据苹果公司称，CVE-2024-27812 与特制网页内容的处理有关，利用该漏洞会导致 DoS 攻击。苹果公司在公告中说：该问题已通过改进文件处理协议得到解决。 Ryan Pickren 是苹果公司的网络安全研究员，在获得苹果公司批准之前，Pickren 未透露该漏洞的任何细节。但他表示，这和以往 Vision Pro 漏洞有着明显区别，这是Vision Pro 所特有的漏洞，并认为 “这将有可能导致有史以来真正意义上的空间计算黑客攻击”。 空间计算(spatial computing)技术可以参照现实的物理世界构建一个数字孪生世界，将现实的物理世界与数字的虚拟世界连接在一起。使我们能够进入并且操控 3D 空间，并用更多的信息和经验来增强现实世界。 Vision Pro 作为虚拟现实代表产品，自发布日起就屡屡曝出存在严重的安全漏洞。 此前麻省理工学院（MIT）一名博士生Joseph Ravichandran分享了苹果公司 visionOS 软件的一个内核漏洞，此时Vision Pro 头戴式耳机刚刚发布一天。该漏洞针对的是设备的操作系统，有可能被用来创建恶意软件、提供未经授权的访问或越狱，从而使任何人都可以使用耳机。 Ravichandran在 X上发布帖子指出，这是世界上第一个针对 Vision Pro 的内核漏洞。为此苹果公司修改了用户指南，并指出对 vision OS 进行未经授权的修改会绕过安全功能，并可能导致许多问题，如安全漏洞、不稳定性以及被黑客入侵的 Apple Vision Pro 的电池寿命缩短。 苹果公司强烈警告用户不要安装任何修改 visionOS 的软件，且由于未经授权修改 visionOS 违反了 visionOS 软件许可协议，因此可能会导致 Apple Vision Pro拒绝提供服务。苹果警告说，黑客攻击耳机可能导致iCloud、FaceTime和Apple Pay等服务中断，而使用推送通知的第三方应用程序也可能受到影响。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403303.html 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发现，Netgear WNR614 N300 路由器存在六七个严重程度不一的安全漏洞。 Netgear WNR614 N300 路由器目前已经达到生命周期结束 （EoL），不再受 Netgear 支持，但由于其可靠性、易用性和极佳性能，仍然有许多用户。 RedFox Security 公司的研究人员在 Netgear WNR614 N300 路由器上发现了六个安全漏洞，涉及身份验证绕过漏洞、弱密码策略漏洞、以及会引发纯文本存储密码和 Wi-Fi 保护设置 (WPS) PIN 暴露的安全漏洞。 首先是被追踪为 CVE-2024-36787 的安全漏洞，允许黑客绕过身份验证，并通过未知媒介访问受害者网络系统的管理界面。不仅如此，该安全漏洞还允许未经授权访问路由器的设置，对网络安全和敏感用户数据构成严重安全威胁。 人员发现，Netgear WNR614 N300 路由器存在六七个严重程度不一的安全漏洞。 破损的访问控制 安全漏洞 CVE-2024-36788 ，源于路由器对 Cookie 的 HTTPOnly 标志设置不当。威胁攻击者可利用该安全漏洞拦截和访问路由器与连接到路由器设备之间的敏感通信。 安全漏洞 CVE-2024-36789，允许威胁攻击者创建不符合适当安全标准的密码，甚至接受单字符作为管理员帐户的密码，可能导致未经授权的访问、网络操纵和潜在的数据暴露。 安全漏洞 CVE-2024-36790，路由器以纯文本方式存储凭证，这使得威胁攻击者很容易就可以获得未经授权的访问、操纵路由器并暴露敏感数据。 明文数据曝光 安全漏洞 CVE-2024-36792，黑客可以利用该漏洞访问路由器的 PIN 码，使得路由器存在未经授权的安全风险（非法访问和非法操纵）。 WPS PIN 码暴露 安全漏洞 CVE-2024-36795，允许黑客访问路由器固件中嵌入的 URL 和目录，增加了未经授权访问和控制网络的安全风险。 值得一提的是，鉴于 Netgear WNR614 N300 路由器已达到 EoL，Netgear 预计不会针对这些安全漏洞发布安全更新。如果暂时无法更换设备，安全研究人员强烈建议用户采用以下有助于其防止网络攻击的缓解措施： 1、关闭远程管理功能，降低未经授权访问的风险； 2、使用复杂的长密码并定期更改； 3、将路由器与网络中的关键系统分开，以限制任何潜在漏洞的影响； 4、确保路由器使用 HTTPS，并使用强制执行 HTTPS 的浏览器设置，以确保所有通信安全并防止拦截； 5、关闭 WPS，防止攻击者利用此功能获得未经授权的访问； 6、切换到 WPA3，以增强安全性； 7、限制对路由器管理界面的访问。   转自FreeBuf，原文链接：https://www.freebuf.com/news/403304.html 封面来源于网络，如有侵权请联系删除

根据 Forescout 最新发布的《2024 年最危险的联网设备》报告显示，与一年前相比，含有漏洞的物联网（IoT）设备激增了 136%。 此次研究人员分析了近1900万台设备的数据，发现存在漏洞的物联网设备比例从2023年的14%上升到2024年的33%。 其中，最容易受到攻击的物联网设备是无线接入点、路由器、打印机、网络电话（VoIP）和 IP 摄像机。 在此次分析的上述物联网设备中，约有三分之一（33%）存在漏洞。 Forescout 安全情报副总裁 Rik Ferguson表示，威胁行为者的主要目标是连接到企业堆栈的物联网设备，如 IP 摄像机和楼宇管理系统，而不是消费类智能产品。 这些终端为攻击者提供了一个隐秘的、自由进出组织系统的机会。 Rik Ferguson指出：有黑客在地下论坛分享了一些相关教程，介绍了如何入侵并利用它们进行横向移动、渗透和指挥控制，因为在大多数情况下，企业安全堆栈都看不到它们。 研究人员还强调，医疗物联网（IoMT）也是一个重大风险，这些设备中有 5% 存在漏洞。 在这类设备中，风险最大的是医疗信息系统、心电图仪、医学数字成像和通信（DICOM）工作站、图片存档和通信系统（PACS）以及配药系统。 研究人员指出，有记录显示，勒索软件攻击影响了配药系统的可用性，可能导致患者治疗延误。 与 Forescout 的 2023 年报告相比，IoMT 在风险最高的设备类别中也超过了操作技术 (OT)。 网络设备是风险最高的 IT 设备 据今年的报告显示，网络设备出现漏洞的频率很高，占据了整个 IT 设备漏洞的58%。尽管这一比例相较 2023 年的 78% 有了显著下降，但网络基础设施设备，包括路由器和无线接入点是最具风险的 IT 设备类别，超过了端点。 Forescout 注意到，另一些 IT 设备受到攻击的频率有所下降，而另一些则有所上升，攻击者主要将攻击目标集中在无线接入点和路由器等通常无人管理的设备上。 他指出，在过去的一年里，管理程序一直是重大入侵事件的切入点，勒索软件就是专门针对这些设备而开发的。 不间断电源 (UPS)、分布式控制系统 (DCS)、可编程逻辑控制器 (PLC)、机器人和楼宇管理系统 (BMS) 是在 OT 环境中发现的五种最危险的设备类型，共有 4% 的 OT 设备被发现存在漏洞。 同时，研究人员还指出，在电子和汽车制造等行业中，机器人的使用正在迅速增加，这些行业的工厂之间的联系越来越紧密。其中许多机器人与其他 OT 设备存在相同的安全问题，包括软件过时和默认凭据。 医疗保健行业安全风险最低 根据数据显示，平均设备风险最高的行业是技术（得分：8.3）、教育（得分：8.14）、制造（得分：7.98）和金融（得分：7.95）。 有趣的是，在 Forescout 的最新报告中，医疗保健行业从 2023 年风险最高的行业变成了风险最低的行业，得分为 7.25。 研究人员表示，这是由于医疗保健行业去年在设备安全方面进行了大量投资。 Ferguson 指出，医疗保健行业已经从过去一年的勒索软件攻击中吸取了教训，关闭了攻击者的关键进入点，特别是减少了 Telnet 和 RDP 的暴露。 风险评分根据配置、行为和功能进行量化，每台设备的得分介于 1 到 10 之间。 来源：Forescout 平均设备风险较高的国家有菲律宾（6.97）、泰国（6.96）、加拿大（6.51）和美国（6.44）。 在本次报告中所分析的国家中，英国的风险得分最低，仅为 6 分。   转自Freebuf，原文链接：https://www.freebuf.com/news/403145.html 封面来源于网络，如有侵权请联系删除

近日，攻击者利用社交媒体直接消息功能中的零日漏洞，劫持了多家知名公司和人物的TikTok 账户。 TikTok发言人证实，索尼、希尔顿、美国有线电视新闻网(CNN)等用户的账户已遭到黑客劫持，为了防止被滥用被迫暂时删除。此次黑客攻击的程度还不得而知，但是TikTok发言人补充说，“被入侵的账户数量非常少”。在零日漏洞被修复之前，或将不会分享有关被利用漏洞的任何细节。 据Semaphor、Forbes等媒体报道，攻击者通过 DMs 入侵这些账户借助了一个零日漏洞，目标用户只要打开恶意信息，哪怕没有下载或点击链接也会中招，因此千万不要打开不明来源的信息。 TikTok表示，公司正在采取措施减轻这一事件的影响，并防止此类事件再次发生。 “我们的安全团队发现了一个针对一些品牌和名人账户的潜在漏洞利用，”TikTok发言人在一份声明中称，“我们已经采取措施阻止这次攻击，并防止它在未来再次发生。如果有需要，我们将与受影响的账户所有者直接合作，恢复访问权限。” 这不是近年来第一个影响 TikTok 用户的漏洞。2022年8月，微软披露了 TikTok Android应用程序中目前已修复的高危漏洞详细信息，如果目标用户只是单击特制的链接，攻击者可能会利用该漏洞在用户不知情的情况下劫持帐户。 成功利用该漏洞攻击者可以访问和修改用户的 TikTok 个人资料和敏感信息，从而导致未经授权的私人视频曝光。攻击者还可能滥用该漏洞代表用户发送消息和上传视频。 该漏洞已在TikTok 23.7.3 版本中解决，影响其 Android 应用程序 com.ss.android.ugc.trill（适用于东亚和东南亚用户）和 com.zhiliaoapp.musically（适用于除印度以外的其他国家的用户）。 该漏洞的漏洞号为 CVE-2022-28799（CVSS 评分 8.8），该漏洞与应用程序处理所谓的深度链接有关，这是一种特殊的超链接，允许应用程序在设备上安装的另一个应用程序中打开特定资源，而不是用于访问网站。   转自FreeBuf，原文链接：https://www.freebuf.com/news/402783.html 封面来源于网络，如有侵权请联系删除