谷歌在2024年初发布了针对 Android 平台 58 个漏洞的补丁，并修复了 Pixel 设备中的 3 个安全漏洞。 2024年1月的首次安全更新于1月1日发布，着重修补了系统框架和组件中的10个被评定为“高危”的安全漏洞。 谷歌在其公告中指出：“这些问题中最严重的是框架组件中的一个高安全漏洞，可能会导致未授权的本地权限提升。” 该安全更新解决了框架组件中的五个缺陷，包括四个权限提升和一个信息泄露错误。系统组件中还解决了其他五个问题，包括一项特权提升和四项信息泄露缺陷。 更新的第二部分，即 2024 年 1 月 5 日安全补丁级别，包括针对 Arm、Imagination Technologies、MediaTek、Unisoc 和 Qualcomm 组件中的 48 个漏洞的补丁。 虽然大多数已解决的错误的严重性评级为“高”，但高通组件中的三个问题被评级为“严重”。 所有经过2024年1月5日安全补丁更新的设备都已经得到全面修复，不仅解决了这次的问题，还包括之前所有 Android 的安全补丁。 本月，谷歌修复了影响 Pixel 设备的三个安全缺陷，所有缺陷均由高通组件构成，且全部被评为“中等严重性”。 运行安全补丁级别为 2024 年 1 月 5 日的 Pixel 设备已针对这些缺陷进行了修补，同样得到修补的还有 Android 2024 年 1 月安全公告中详细介绍的所有错误。 谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞，该漏洞作为更新的一部分得到解决，该更新还包括 Android 2024 年 1 月安全更新的补丁。 所有这些缺陷也通过 Pixel Watch 设备的 2024-01-05 补丁级别更新得到解决。 尽管谷歌没有提到这些漏洞是否被实际利用，但强烈建议用户尽快更新他们的设备以确保安全。   转自安全客，原文链接：https://www.anquanke.com/post/id/292568 封面来源于网络，如有侵权请联系删除

今天是微软2024 年 1 月补丁日，修复了总共 49 个漏洞，其中包括 12 个远程代码执行漏洞。有两个漏洞被列为严重级别，一个是 Windows Kerberos 安全功能绕过，另一个是 Hyper-V RCE。 按漏洞类别分类为： 10个特权提升漏洞 7个安全功能绕过漏洞 12个远程代码执行漏洞 11个信息泄露漏洞 6个拒绝服务漏洞 3个欺骗漏洞 微软敦促 Windows 集群管理员优先考虑 Windows Kerberos 中的功能绕过问题和 Windows Hyper-V 中的竞争条件问题。 Windows Kerberos 安全功能绕过缺陷（编号为CVE-2024-20674），该漏洞可能导致远程代码执行攻击以及 Windows Hyper-V 中的竞争条件问题。 未经身份验证的攻击者可以通过建立中间机 (MITM) 攻击或其他本地网络欺骗技术来利用此漏洞，然后向客户端受害者计算机发送恶意 Kerberos 消息，将其自身欺骗为 Kerberos 身份验证服务器。 成功利用此漏洞要求攻击者在发起攻击之前首先需要获得对受限网络的访问权限。 Windows Kerberos 漏洞的 CVSS 严重性评级为 9 （满分 10 ）。 微软还敦促立即修补Windows Hyper-V 漏洞（编号：CVE-2024-20700），警告竞争条件会使操作系统遭受远程代码执行攻击。 微软补丁日更新发布还涵盖了 Microsoft Office、Azure、SQL Server、Internet Explorer、Windows LibArchive 和 SharePoint Server 中的其他数十个安全问题。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/JST8pEWDmfHcgNd3W7u9yw 封面来源于网络，如有侵权请联系删除

苹果周一推出了以安全为主题的 iOS 和 iPadOS 更新，以解决使移动用户遭受恶意黑客攻击的多个严重漏洞。 最新的iOS 17.2 和 iPadOS 17.2包含至少 11 个已记录的安全缺陷的修复程序，其中一些缺陷严重到足以导致任意代码执行或应用程序沙箱逃逸。 根据库比蒂诺安全响应团队的报告，最严重的问题是 ImageIO 中的内存损坏，可能会导致在处理某些图像时执行任意代码。 iOS 17.2 的推出还解决了 WebKit 渲染引擎中的代码执行缺陷以及允许应用程序突破设备沙箱的内存安全问题。 该公司还修复了帐户中的隐私问题、AVEVideoEncoder 中的信息泄露问题、允许访问敏感用户数据的扩展套件，以及允许具有物理访问权限的攻击者使用语音机器人访问敏感用户数据的 Siri 缺陷。 苹果还推出了iOS 16.7.3和iPadOS 16.7.3，为运行旧版本操作系统的设备提供了一批安全修复程序。这些更新还包括修复之前记录的通过野外利用捕获的 WebKit 零日漏洞。   转自安全客，原文链接https://www.anquanke.com/post/id/291798 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 警告黑客积极利用 Adobe ColdFusion 中的一个关键漏洞（CVE-2023-26360）来获取对政府服务器的初始访问权限。 该安全问题允许在运行 Adobe ColdFusion 2018 Update 15 及更早版本以及 2021 Update 5 及更早版本的服务器上执行任意代码。在 Adobe 在 3 月中旬发布 ColdFusion 2018 Update 16 和 2021 Update 6 修复该问题之前，它曾被用作0day漏洞。 当时，CISA 发布了有关黑客组织利用该缺陷的通知，并敦促联邦组织和国家服务机构应用安全更新。 在今天的警报中，美国网络安全与基础设施安全局警告称，CVE-2023-26360 仍在攻击中被利用，并展示了 6 月份影响两个联邦机构系统的事件。 “在这两起事件中，Microsoft Defender for Endpoint (MDE) 都警告称，该机构的预生产环境中面向公众的 Web 服务器上可能存在 Adobe ColdFusion 漏洞被利用的情况” – CISA 该机构指出，“两台服务器都运行过时的软件版本，这些软件容易受到各种 CVE 的攻击。” CISA 表示，黑客组织利用该漏洞，使用 HTTP POST 命令将恶意软件投放到与 ColdFusion 关联的目录路径中。 第一起事件发生在 6 月 26 日，利用严重漏洞破坏了运行 Adobe ColdFusion v2016.0.0.3 的服务器。 攻击者进行进程枚举和网络检查，并安装了一个 Web shell ( config.jsp )，允许他们将代码插入 ColdFusion 配置文件并提取凭据。 他们的活动包括删除攻击中使用的文件以隐藏其存在，以及在 C:\IBM 目录中创建文件以避免恶意操作不被发现。 攻击者在第一次攻击中使用的工具 （CISA） 第二起事件发生在 6 月 2 日，当时黑客在运行 Adobe ColdFusion v2021.0.0.2 的服务器上利用了 CVE-2023-26360。 在这种情况下，攻击者在删除解码为远程访问木马 ( d.jsp ) 的文本文件之前收集了用户帐户信息。 接下来，他们试图窃取注册表文件和安全帐户管理器（SAM）信息。攻击者滥用可用的安全工具来访问 SYSVOL，这是域中每个域控制器上都存在的特殊目录。 在这两起事件中，安全人员都在入侵者能够窃取数据或横向移动之前检测到并阻止了攻击，并在 24 小时内将受感染的资产从关键网络中删除。 CISA 的分析将这些攻击归类为侦察活动。然而，尚不清楚这两次入侵是否是同一攻击者所为。 为了降低风险，CISA 建议将 ColdFusion 升级到最新可用版本，应用网络分段，设置防火墙或 WAF，并强制执行签名的软件执行策略。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/9nd08sOf8ZKd5lZTb67NqQ 封面来源于网络，如有侵权请联系删除

Zyxel在其网络附加存储 ( NAS )设备中发现了多个严重漏洞，其中包括三个关键漏洞，这些漏洞可能允许未经身份验证的攻击者在受影响的设备上执行任意命令 。 合勤科技的 NAS 系统用于网络上的集中数据存储，旨在处理大量信息。它们提供备份、媒体流和共享选项定制等功能。 典型的合勤科技 NAS 用户包括寻求数据管理、远程和协作解决方案的中小型企业。除了企业领域之外，一些处理大文件的 IT 专业人士、摄像师和数字艺术家也需要 NAS。 在 11 月 30 日发布的安全公告 中，制造商警告以下漏洞影响固件版本 5.21(AAZF.14)C0 及更早版本的 NAS326 设备以及固件版本 5.21(ABAG.11)C0 及更早版本的 NAS542 设备： CVE-2023-35137 ： Zyxel NAS 设备身份验证模块中的漏洞允许未经身份验证的攻击者通过特制 URL 获取系统信息（CVSS评分7.5）； CVE-2023-35138 ：Zyxel NAS 设备的“show_zysync_server_contents”函数中的命令注入漏洞允许未经身份验证的攻击者通过特制的 HTTP POST 请求执行操作系统命令（CVSS 评分 9.8）； CVE-2023-37927 ：Zyxel NAS 设备的 CGI 程序中存在漏洞，允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）； CVE-2023-37928 ：Zyxel NAS 设备的 WSGI 服务器中的身份验证后命令注入漏洞允许经过身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 8.8）； CVE-2023-4473 ：Zyxel NAS 设备的 Web 服务器中存在命令注入漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）； CVE-2023-4474 ：Zyxel NAS 设备的 WSGI 服务器中存在漏洞，允许未经身份验证的攻击者通过特制 URL 执行操作系统命令（CVSS 评分 9.8）。 攻击者可以利用上述漏洞获得未经授权的访问、执行操作系统命令、获取敏感系统信息或完全控制受影响的 Zyxel NAS 设备。 为了解决这些风险，建议NAS326用户升级到V5.21(AAZF.15)C0或更高版本。NAS542用户应将固件更新至V5.21(ABAG.12)C0或更高版本以解决上述安全漏洞。 制造商尚未提供缓解或解决方法建议，建议将固件更新作为主要保护措施。   转自安全客，原文链接：https://www.anquanke.com/post/id/291628 封面来源于网络，如有侵权请联系删除

来自不同供应商（包括英特尔、宏碁和联想）的数百种消费级和企业级 x86 和 ARM 型号可能容易受到 Bootkit 和接管的影响。 研究人员发现了“LogoFAIL”，这是PC统一可扩展固件接口 (UEFI) 生态系统中存在的一组关键漏洞。 利用这些漏洞会使基本的端点安全措施失效，并使攻击者能够对受影响的系统进行深度控制。 根据将于下周在伦敦举办的 Black Hat Europe 上正式发布的 Binarly Research 报告，这些缺陷源自启动过程中的图像解析库，影响了 x86 和基于 ARM 设备的所有主要设备制造商。 研究人员警告说，LogoFAIL 的广泛影响加剧了其严重性，并指出它影响整个生态系统，而不仅仅是个别供应商。这些发现是通过 CERT/CC VINCE 系统报告的，预计供应商补丁计划于 12 月 6 日发布，与题为“ LogoFAIL：系统期间图像解析的安全影响”的黑帽演讲同时进行。 使用LogoFAIL劫持启动过程 Binarly 研究人员发现，通过在 EFI 系统分区 (ESP) 或未签名的固件更新部分嵌入受损映像，威胁参与者可以在启动期间执行恶意代码，从而劫持启动过程。 这种利用绕过了安全启动和英特尔启动防护等关键安全措施，有助于插入在操作系统级别下运行的持久固件启动套件。 Binarly 首席执行官兼创始人 Alex Matrosov 解释道：“由于攻击者正在将特权代码执行权写入固件，因此它在设计上绕过了安全边界，就像安全启动一样。” “英特尔 Boot Guard 和其他可信启动技术不会在运行时扩展，并且在验证固件后，它只是在系统启动流程中进一步启动。” 他说，Binarly 研究团队最初是在实验室的一台联想设备上尝试修改徽标。 “有一天，它在显示启动徽标后突然开始重新启动，”他说。“我们意识到问题的根本原因是原始标志的改变，这导致了更深入的调查。” 他补充道，“在这种情况下，我们正在处理修改后的启动徽标图像的持续利用，在运行时触发有效负载交付，其中所有完整性和安全性测量都在加载固件组件之前进行。” 这并不是第一次发现安全启动绕过；2022 年 11 月，五款 Acer 笔记本电脑型号中发现固件缺陷，可用于禁用安全启动并允许恶意攻击者加载恶意软件；BlackLotus或BootHole威胁之前已经为引导进程劫持打开了大门。然而，Matrosov 表示，LogoFAIL 与之前的威胁不同，因为它不会通过修改引导加载程序或固件组件来破坏运行时完整性。 事实上，他说 LogoFAIL 是一种纯数据攻击，当恶意输入来自固件映像或在系统启动过程中从 ESP 分区读取徽标时就会发生-因此很难检测到。 “这种使用 ESP 攻击向量的方法在固件本身内部留下了零证据，因为该徽标来自外部来源，”他解释道。 大多数 PC 生态系统都很脆弱 配备来自三个主要独立 BIOS 供应商 (IBV) Insyde、AMI 和 Phoenix 的固件的设备很容易受到影响，这表明不同硬件类型和架构之间存在潜在影响。Matrosov 表示，这三者合计覆盖了 BIOS 生态系统的 95%。 事实上，Matrosov 表示，LogoFAIL 影响“全球大多数设备”，包括来自不同供应商的消费级和企业级 PC，包括宏碁、技嘉、惠普、英特尔、联想、微星、三星、超微、富士通和“许多其他供应商”。 “受影响设备的确切列表仍在确定中，但值得注意的是，所有三个主要 IBV（AMI、Insyde 和 Phoenix）都受到与图像解析器相关的多个安全问题的影响，这些安全问题是作为固件的一部分提供的”，Binarly 报告警告说。“我们估计 LogoFAIL 会以某种方式影响这些供应商提供的几乎所有设备。” Phoenix Technologies 本周发布了一份早期安全通知（现已删除，但可作为缓存使用，直到 12 月 6 日恢复），详细说明该错误 (CVE-2023-5058) 存在于低于 1.0 的所有版本中.5 的 Phoenix SecureCore Technology 4，这是一种 BIOS 固件，可为各种设备提供高级安全功能。 通知称，“该缺陷存在于系统启动期间处理用户提供的启动屏幕中，可以被对设备进行物理访问的攻击者利用”，并指出有更新版本可用。“通过提供恶意启动屏幕，攻击者可以引发拒绝服务攻击或在 UEFI DXE 阶段执行任意代码，绕过安全启动机制并损害系统完整性。” LogoFAIL 还被 Insyde 跟踪为 CVE-2023-40238，并被 AMI 跟踪为 CVE-2023-39539 和 CVE-2023-39538。 Matrosov 表示，该公司正在与多家设备供应商积极合作，协调整个领域的披露和缓解工作。 固件更新是最大限度降低风险的关键 为了最大限度地降低固件风险，用户应及时了解制造商的建议并及时应用固件更新，因为它们通常可以解决关键的安全缺陷。 此外，审查供应商也是必须的。Matrosov 补充道：“对您每天依赖的个人设备或跨企业基础设施的设备供应商要挑剔。” “不要盲目信任供应商，而是验证供应商的安全承诺，并找出设备库存及其他方面的差距。”   转自安全客，原文链接：https://www.anquanke.com/post/id/291618 封面来源于网络，如有侵权请联系删除

近日，安全研究人员发布的一篇论文给“百模大战”的生成式人工智能开发热潮浇了一盆冷水。研究发现，黑客可利用新的数据提取攻击方法从当今主流的大语言模型（包括开源和封闭，对齐和未对齐模型）中大规模提取训练数据。 论文指出，当前绝大多数大语言模型的记忆（训练数据）可被恢复，无论该模型是否进行了所谓的“对齐”。黑客可以通过查询模型来有效提取训练数据，甚至无需事先了解训练数据集。 研究者展示了如何从Pythia或GPT-Neo等开源语言模型、LLaMA或Falcon等主流半开放模型以及ChatGPT等封闭模型中提取数以GB计的训练数据。 研究者指出，已有技术足以攻击未对齐的模型，对于已经对齐的ChatGPT，研究者开发了一种新的发散数据提取攻击，该攻击会导致大语言模型改变聊天机器人的内容生成方式，以比正常行为高150倍的速率疯狂输出训练数据（下图）： 图1:发散攻击导致对齐后的chatGPT以150倍的速度输出训练数据 研究者表示：发散数据提取攻击方法在实际攻击中可恢复的训练数据大大超出了事前的预期，同时也证明当前的大语言模型对齐技术并不能真正消除记忆。 研究者利用偏差攻击提取训练数据中的隐私信息 据研究者介绍，大型语言模型（LLMs）会从其训练数据集中记忆样本，可被攻击者利用提取隐私信息（上图）。先前的安全研究工作已经对开源模型记忆的训练数据总量进行了大规模研究，并且通过手动标注示记忆和非记忆样本，开发并验证了针对（相对）小型模型如GPT-2的训练数据提取攻击。 在最新发布的论文中，研究者将“成员推断攻击”（用于确定数据样本是否训练数据）和数据提取攻击两种方法统一起来，对语言模型中的“可提取记忆”进行了大规模研究。 研究者开发了一种可扩展方法，通过与TB级数据集比对，检测模型输出的数万亿个token的记忆内容，并对流行的开源模型（例如Pythia，GPT-Neo）和半开源模型（例如LLaMA，Falcon）进行了分析。研究者发现，无论开源还是闭源的大语言模型都无法避免新的数据提取攻击，而且参数和Tokens规模更大、性能更强劲的模型更容易受到数据提取攻击： 九个开源大语言模型测试结果 九个半开源（训练算法和训练数据不公开）大语言模型的测试结果 研究者发现，“对齐模型”也不能避免新的数据提取攻击。例如，gpt-3.5-turbo对常规数据提取攻击免疫，看上去似乎成功“忘记了”训练数据。研究者推测是因为ChatGPT已经通过RLHF进行了对齐，目的是使其成为“安全高效”的，可推向市场（生产环境）的个人聊天助手。 但研究者开发了新的提示策略（仅适用于GPT3.5turbo），成功绕过了gpt-3.5-turbo的对齐技术，使其“偏离”预设的聊天机器人风格，表现得像一个基础语言模型，以典型的web文本格式大量输出文本。 为了检查这些输出的文本是否是此前从互联网上采集的训练数据，研究者将几个公开可用的大型网络训练数据集合并成一个9TB大小的数据集。通过与这个数据集匹配，研究者以200美元的查询成本从ChatGPT对话中恢复了一万多个训练数据集样本。研究者粗略估计，通过更多的查询可以提取超过10倍的（训练）数据。 研究者在论文中透露，在7月11日发现该漏洞后，通知了包括OPT、Falcon、Mistral和LLaMA等模型开发者，并在8月30日向OpenAI披露了其漏洞，并根据90天漏洞披露规则，于11月30日发布论文，希望能唤起业界对大语言模型数据安全和对齐挑战的关注。 最后，研究者警告大语言模型应用开发者，渗透测试结果表明现有的大语言模型安全措施（模型对齐和内容记忆测试）难以发现大语言模型的隐私漏洞，更不用说那些隐藏在模型算法代码中的“休眠漏洞”。如果没有极端的安全措施，现阶段不应训练和部署涉及隐私和敏感信息的大模型应用（编者：例如医疗、法律、工程）。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/lmvVLEK9D4q32Q4WwpniiQ 封面来源于网络，如有侵权请联系删除

一个利用最近披露的 WinRAR 软件零日安全漏洞的黑客组织现已被归类为全新的高级持续威胁（APT）。 网络安全公司 NSFOCUS 将 DarkCasino 描述为一个 “出于经济动机 “的行为者，该威胁行为者于 2021 年首次曝光。 该公司在一份分析报告中说：DarkCasino是一个APT威胁行为体，具有很强的技术和学习能力，善于将各种流行的APT攻击技术整合到其攻击流程中。 APT组织DarkCasino发起的攻击非常频繁，显示其窃取网络财产的强烈愿望。 DarkCasino最近与CVE-2023-38831（CVSS评分：7.8）的零日利用有关，该安全漏洞可被武器化以传播恶意有效载荷。 2023 年 8 月，Group-IB 披露了将该漏洞武器化的真实攻击，至少自 2023 年 4 月以来，该攻击一直瞄准在线交易论坛，以交付名为 DarkMe 的最终有效载荷，这是一个 Visual Basic 木马，归属于 DarkCasino。 该恶意软件可以收集主机信息、截图、操作文件和 Windows 注册表、执行任意命令，并在被入侵主机上进行自我更新。 虽然DarkCasino之前被归类为EvilNum组织针对欧洲和亚洲在线赌博、加密货币和信贷平台策划的网络钓鱼活动，但NSFOCUS表示，通过对对手活动的持续跟踪，它已经排除了与已知威胁行为者的任何潜在联系。 目前尚不清楚该威胁行为者的确切出处。 早期，DarkCasino 主要在地中海周边国家和其他亚洲国家利用在线金融服务开展活动。 最近，随着网络钓鱼方式的改变，其攻击已波及全球加密货币用户，甚至包括韩国和越南等非英语亚洲国家。 最近几个月，多个威胁行为体加入了 CVE-2023-38831 漏洞利用的行列，包括 APT28、APT40、Dark Pink、Ghostwriter、Konni 和 Sandworm。 据观察，Ghostwriter 利用该漏洞的攻击链为 PicassoLoader 铺平了道路，PicassoLoader 是一种中间恶意软件，充当其他有效载荷的加载器。 APT组织DarkCasino带来的WinRAR漏洞CVE-2023-38831给2023年下半年的APT攻击形势带来了不确定性。很多APT组织利用这个漏洞的窗口期攻击政府等关键目标，希望绕过目标的防护系统，达到自己的目的。   转自Freebuf，原文链接：https://www.freebuf.com/news/384114.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌的研究人员发现，黑客利用 Zimbra 电子邮件产品的一个漏洞，攻击了希腊、突尼斯、摩尔多瓦、越南和巴基斯坦的政府机构。 谷歌的威胁分析团队在 6 月份首次发现了这个漏洞，编号为 CVE-2023-37580。从 6 月开始，四个不同的组织利用零日漏洞攻击了 Zimbra Collaboration，这是一个许多组织用来托管电子邮件的电子邮件服务器。 该漏洞是一个跨站点脚本(XSS)漏洞，允许黑客向受害者网站注入恶意脚本。 黑客窃取了电子邮件信息、用户凭证和认证令牌。Zimbra 于 7 月 5 日在 GitHub 上发布了针对该问题的修复程序，并于 7 月 13 日发布了一份带有修复指导的咨询。官方补丁于 7 月 25 日发布。 谷歌表示，针对希腊政府机构的攻击发生在 6 月 29 日，而针对摩尔多瓦和突尼斯的攻击发生在 7 月 11 日。越南和巴基斯坦分别在 7 月 20 日和 8 月 25 日遭到袭击。 在官方补丁发布之前，谷歌观察到有三个威胁组织利用了这个漏洞，其中包括在修复程序最初在 Github 上公开之后可能已经了解到这个漏洞的组织。 “在官方补丁发布后，我们发现了第四次使用 XSS 漏洞的攻击。其中三次活动是在修复程序最初公开之后开始的，这强调了组织尽快应用修复程序的重要性。” 对希腊的攻击始于一封带有恶意链接的电子邮件。当用户在登录Zimbra时点击这个按钮，黑客就可以访问用户的电子邮件和附件。黑客也可以用它来设置一个自动转发规则到攻击者控制的电子邮件地址。 第二次针对摩尔多瓦和突尼斯政府的攻击被认为是一个臭名昭著的黑客组织 Winter Vivern 所为，该组织被怀疑与俄罗斯有联系。该组织此前曾被指控以乌克兰、波兰和印度的组织为目标。上个月，该组织被发现利用了一个零日漏洞，影响了欧洲各国政府使用的另一个流行的网络邮件服务。在对摩尔多瓦和突尼斯的攻击中，电子邮件中的恶意 url“包含了这些政府中特定组织的唯一官方电子邮件地址”。 第三次攻击是针对越南的一个政府组织，黑客试图通过网络钓鱼获取用户凭证。谷歌表示：“在这种情况下，利用 url 指向一个脚本，该脚本显示了一个钓鱼页面，要求用户的 webmail 凭证，并将窃取的凭证发布到一个托管在官方政府域名上的 url 上，攻击者可能会破坏这个域名。” 第四次攻击是针对巴基斯坦的一个政府组织，黑客试图窃取Zimbra认证令牌。 谷歌表示，这些黑客攻击是攻击者如何监控开源存储库的例子，这些存储库发布了漏洞修复程序，但尚未向用户发布。 研究人员补充说，这是继 2022 年利用另一个 XSS 漏洞 CVE-2022-24682 之后，第二个影响津巴布韦邮件服务器的漏洞被用于对政府的攻击。 他们表示：“邮件服务器中经常出现的跨站攻击漏洞也表明，需要对这些应用程序进行进一步的代码审计，尤其是针对跨站攻击漏洞。” “我们敦促用户和组织迅速应用补丁，并保持软件的最新状态，以获得全面的保护。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

近日，Intel修复了其现代台式机、服务器、移动和嵌入式 CPU（包括最新的 Alder Lake、Raptor Lake 和 Sapphire Rapids 微体系结构）中的一个高严重性 CPU 漏洞。 攻击者可以利用CVE-2023-23583漏洞提升权限、访问敏感信息或触发拒绝服务状态，这可能会让云提供商为此付出高昂的代价。 Intel公司表示：在某些微体系结构条件下发现，在某些情况下，执行以冗余 REX 前缀编码的指令 (REP MOVSB) 可能会导致不可预测的系统行为，造成系统崩溃/挂起，或者在某些有限的情况下，可能会允许从 CPL3 到 CPL0 的权限升级 (EoP)。 Intel公司表示，任何非恶意的实际软件都不会遇到这个问题。多余的 REX 前缀不会出现在代码中，也不会由编译器生成。黑客在恶意利用此漏洞前需要执行任意代码。Intel在受控的Intel实验室环境中进行内部安全验证时，发现在有限的情况下存在权限升级的可能性。使用受影响处理器的特定系统，包括使用 Alder Lake、Raptor Lake 和 Sapphire Rapids 的系统，已经在 2023 年 11 月之前收到了更新的微代码，目前并未观察到性能影响或预期问题。 此外，为了解决其他 CPU 的问题，Intel公司还发布了微码更新，并建议用户更新 BIOS、系统操作系统和驱动程序，以便从原始设备制造商 (OEM)、操作系统供应商 (OSV) 和管理程序供应商那里获得最新的微码。 Intel公司建议广大用户尽快将受影响的处理器更新到下面受影响处理器表中列出的微码版本，以缓解这一冗余前缀问题。OSV 也可尽快提供包含此新微码的更新。 Reptar 是一个 “非常奇怪 “的漏洞 谷歌漏洞研究员Tavis Ormandy透露，谷歌信息安全工程和 silifuzz 团队等多个研究团队也独立发现了这个安全漏洞，并将其命名为 Reptar。 谷歌云副总裁兼首席信息安全官Phil Venables提到，该漏洞与 “CPU如何解释冗余前缀有关，如果利用成功，将导致绕过CPU的安全边界”。通常情况下，冗余前缀应该被忽略，但 Ormandy 在测试过程中发现，由于这个漏洞，冗余前缀引发了 “非常奇怪的行为”。 Tavis Ormandy称在测试过程中发现了一些非常奇怪的行为。比如分支到意外位置，无条件分支被忽略，处理器不再准确记录 xsave 或调用指令中的指令指针。这表明这其中可能存在严重问题，在实验中，我们发现当多个内核触发同一个错误时，处理器就会开始报告机器检查异常并停止运行。 今年早些时候，谷歌安全研究人员发现了影响现代英特尔CPU的Downfall漏洞和Zenbleed漏洞，攻击者可以从使用AMD Zen2 CPU的系统中窃取密码和加密密钥等敏感数据。 昨天（11月14日），AMD 还修补了一个名为 CacheWarp 的漏洞，该漏洞可让恶意行为者入侵 AMD SEV 保护的虚拟机，从而提升权限并获得远程代码执行。     转自Freebuf，原文链接：https://www.freebuf.com/news/383884.html 封面来源于网络，如有侵权请联系删除