在Linux中广泛使用的PostScript语言和PDF文件开源解释器Ghostscript被发现存在严重远程代码执行漏洞。 该漏洞被标记为CVE-2023-3664，CVSS v3评级为9.8，影响10.01.2之前的所有Ghostscript版本，10.01.2是三周前发布的最新版本。 据Kroll公司的分析师G. Glass和D. Truman称，他们针对该漏洞开发了一个概念验证（PoC）漏洞，在打开恶意特制文件时可触发代码执行。 考虑到许多Linux发行版都默认安装了Ghostscript，而且LibreOffice、GIMP、Inkscape、Scribus、ImageMagick和CUPS打印系统等软件也使用了Ghostscript，因此在大多数情况下，触发CVE-2023-3664的机会非常多。 Kroll还表示，如果Windows上的开源应用程序使用了Ghostscript的端口，那么该漏洞也会影响到这些应用程序。 Ghostscript漏洞 CVE-2023-3664漏洞与操作系统管道有关，管道允许不同的应用程序通过将一个应用程序的输出作为另一个应用程序的输入来交换数据。 问题源于Ghostscript中的 “gp_file_name_reduce() “函数，该函数似乎可以获取多个路径，并通过移除相对路径引用来简化路径以提高效率。 然而，如果向该漏洞函数提供特制的路径，它可能会返回意外的结果，从而导致覆盖验证机制和潜在的漏洞利用。 此外，当Ghostscript尝试打开一个文件时，它会使用另一个名为 “gp_validate_path “的函数来检查其位置是否安全。 然而，由于存在漏洞的函数会在第二个函数检查之前更改位置细节，因此攻击者很容易利用这个漏洞，迫使Ghostscript处理本应禁止的文件。 Kroll公司的分析人员创建了一个PoC，只要在任何使用Ghostscript的应用程序上打开EPS（嵌入式Postscript）文件，就会触发该PoC。 因此，如果你是Linux用户，建议升级到最新版本的Ghostscript 10.01.2。 如果你是在Windows上使用Ghostscript端口的开源软件，则需要更多时间来升级到最新版本。因此，建议在Windows中安装时格外小心。     转自Freebuf，原文链接:https://www.freebuf.com/news/371927.html 封面来源于网络，如有侵权请联系删除

近日，苹果发布了解决iOS，iPadOS，macOS和Safari网络浏览器中的零日漏洞的紧急补丁，以化解漏洞安全问题，据了解该漏洞已被黑客广泛利用。 这一漏洞编目为CVE-2023-37450，存在于WebKit中，漏洞允许黑客在处理特制Web内容时实现任意代码的执行。iPhone制造商表示，它们通过改进检查解决了这个问题。 发现和报告该漏洞的是一位匿名研究人员。与大多数此类情况一样，苹果方面对这次攻击的性质和规模以及攻击背后的黑客身份的细节知之甚少。但在一份简短的公告中它也指出，“意识到有报道称这个漏洞可能已被黑客大范围使用”。 苹果最初通过iOS 16.5.1（a），iPadOS 16.5.1（a），macOS Ventura 13.4.1（a）和Safari 16.5.2的发布解决了这个问题。这些更新适用于以下操作系统版本的设备： iOS 16.5.1 和 iPadOS 16.5.1 macOS Ventura 13.4.1 macOS BigSur和macOS Monterey 据了解，Facebook、Instagram和Zoom等网站在安装补丁时，在Safari上显示“不支持的浏览器”错误后，苹果已经撤回了软件更新。麦克鲁莫斯网站也指出：“苹果已经下架了该软件，可能是由于一个问题导致某些网站在安装RSR后无法运行。” 自2023年以来，苹果公司已解决其软件中的10个零日漏洞，几周前，苹果公司对三个零日漏洞进行了修复，其中两个与一项名为“三角行动”的间谍活动有关，甚至被黑客组织武器化。 库比蒂诺在2023年7月11日发布的一份文件中表示，公司意识到最近的快速安全响应可能会阻止一些网站正常显示，建议遇到问题的客户删除更新。另外，iOS 16.5.1（b）、iPadOS 16.5.1（a）和macOS 13.4.1（b）预计将“很快”发布用以修复该问题。     转自E安全，原文链接:https://mp.weixin.qq.com/s/tvv966xO-n4VLrtpNrmyNw 封面来源于网络，如有侵权请联系删除

Cybernews 研究团队发现，哈佛大学课程网站上存在一个 WebLogic Server 漏洞，严重程度高达9.8 分。 WebLogic Server是美国跨国计算机技术公司Oracle公司开发的基于Java的应用服务器。该漏洞发现于 2020 年，编号为 CVE-2020-2551，允许攻击者无需身份验证即可在易受攻击的服务器上远程执行代码。 由于受影响的哈弗网站ourse.my.harvard.edu 要求用户登录，意味着成功的远程代码执行攻击（RCE）攻击可能允许攻击者获取用户登录数据。 对哈佛大学有何影响 研究人员在哈佛大学的子域中发现的 WebLogic Server 漏洞允许在未经身份验证的情况下执行任意代码。换句话说，大门向任何愿意进来的人敞开。 研究人员表示，如果攻击者利用此漏洞，他们就可以访问存储在易受攻击的系统上的敏感数据。这可能包括机密的客户信息、财务数据和知识产权。 此外，攻击者还可以窃取并加密被盗数据，或根据学校 IT 系统的架构对整个系统进行加密。 但Oracle早在3年前，也就是该漏洞被发现后不久就进行了修复，目前还不清楚为何在哈弗的网站中还存在该漏洞。 Cybernews已联系哈佛大学问询，但目前还没有收到回复。     转自Freebuf，原文链接:https://www.freebuf.com/news/371819.html 封面来源于网络，如有侵权请联系删除

昨天（7月11日），微软正式披露了一个未修补的零日安全漏洞，该漏洞存在于多个Windows和Office产品中，可以通过恶意Office文档远程执行代码。 未经身份验证的攻击者可在无用户交互的情况下利用该漏洞(跟踪为CVE-2023-36884)进行高复杂性攻击。 一旦攻击成功，即可导致对方系统的机密性、可用性和完整性的完全丧失，从而允许攻击者访问敏感信息、关闭系统保护并拒绝对受损系统的访问。 目前，微软正在调查并制作一系列影响Windows和Office产品的远程代码执行漏洞的报告。微软已经意识到了这是一系列有针对性的攻击，这些攻击试图利用特制的微软Office文档来利用这些漏洞。 攻击者可以创建一个特制的Microsoft Office文档，使他们能够在受害者的系统中执行远程代码执行。但前提是攻击者必须说服受害者打开恶意文件。 虽然该漏洞尚未得到解决，但微软表示后续将通过每月发布的程序或带外安全更新向客户提供补丁。 可通过启用“阻止所有Office应用程序创建子进程”免于攻击 微软方面表示，在CVE-2023-36884补丁可用之前，使用Defender for Office的客户和启用了“阻止所有Office应用程序创建子进程”攻击面减少规则的客户可以免受网络钓鱼攻击。 不使用这些保护的用户可以将以下应用程序名称添加到HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项中，作为REG_DWORD类型的值，数据为1: Excel.exe Graph.exe MSAccess.exe MSPub.exe PowerPoint.exe Visio.exe WinProj.exe WinWord.exe Wordpad.exe 但是，需要注意的是，设置此注册表项以阻止利用尝试也可能影响到与上面列出的应用程序链接的某些Microsoft Office功能。 设置FEATURE_BLOCK_CROSS_PROTOCOL_FILE_NAVIGATION注册表项（图源：Microsoft) CVE-2023-36884漏洞最新动态 微软方面表示，CVE-2023-36884漏洞在最近针对参加立陶宛维尔纽斯北约峰会的组织的攻击中被利用。 根据乌克兰计算机应急响应小组(CERT-UA)和黑莓情报团队的研究人员发布的报告，攻击者使用恶意文件冒充乌克兰世界大会组织安装恶意软件，包括MagicSpell加载程序和RomCom后门。 黑莓安全研究人员表示：如果被成功利用，攻击者就可以通过制作恶意的docx或rtf文件来利用该漏洞，进行基于远程代码执行(RCE)的攻击。 攻击是通过利用特制的文档来执行易受攻击的MSDT版本来实现的，这反过来又允许攻击者向实用程序传递命令以执行。 微软周二（7月11日）时也表示：该攻击者在2023年6月发现的最新攻击涉及滥用CVE-2023-36884，提供与RomCom相似的后门。 该漏洞与RomCom组织有所渊源 RomCom是一个总部位于俄罗斯的网络犯罪组织（也被追踪为Storm-0978），该组织以从事勒索软件和勒索攻击以及专注于窃取凭证的活动而闻名。该组织与此前的工业间谍勒索软件行动有关，现在该行动已转向名为“地下”(VirusTotal)的勒索软件。 地下勒索信（图源：BleepingComputer） 2022年5月，在调查工业间谍勒索通知中的TOX ID和电子邮件地址时，MalwareHunterTeam发现了与古巴勒索软件操作的特殊关联。 他观察到，工业间谍勒索软件样本生成了一封勒索信，其TOX ID和电子邮件地址与古巴使用的相同，以及古巴数据泄露网站的链接。 然而，提供的链接并没有将用户引导到工业间谍数据泄露网站，而是指向古巴勒索软件的Tor网站。此外，勒索信使用了相同的文件名，!!READ ME !!.txt，就像之前发现的古巴勒索邮件一样。 在2023年5月，在Trend Micro发布的一份关于RomCom的最新活动报告显示，威胁参与者现在正在冒充Gimp和ChatGPT等合法软件，或者创建虚假的软件开发人员网站，通过谷歌广告和黑色搜索引擎优化技术向受害者推送后门。     转自Freebuf，原文链接:https://www.freebuf.com/news/371814.html 封面来源于网络，如有侵权请联系删除

近日，CISA要求联邦机构尽快修补一个高危的内核驱动特权升级漏洞Arm Mali GPU，该漏洞已被列入到其积极处理的漏洞列表中，并在本月的安卓安全更新中得到解决。  该漏洞（被追踪为CVE-2021-29256）是一种在释放后使用的漏洞，通过允许对GPU内存的不正当操作，让攻击者升级到root权限或者访问目标安卓设备上的敏感信息。Arm在公告中写道：“非特权用户可以对GPU内存进行不当操作，以访问已释放的内存，并可能获得root权限或披露信息。”此问题在Bifrost和Valhall GPU内核驱动程序r30p0以及Midgard内核驱动程序r31p0版本中得到修复。如果用户受到此问题的影响，建议他们尽快升级。 随着本月安卓操作系统的安全更新，谷歌又修补了两个在攻击中被利用的安全缺陷。 CVE-2023-26083是Arm Mali GPU驱动程序中的一个中等程度的内存泄漏缺陷，该漏洞于2022年12月被利用，是向三星设备提供间谍软件的漏洞链的一部分。 第三个漏洞被追踪为CVE-2023-2136，被评为严重级别，是在谷歌的开源多平台2D图形库Skia中发现的整数溢出漏洞。值得注意的是，Skia与谷歌Chrome浏览器一起使用，而该浏览器在4月份被称为零日漏洞。 联邦机构被要求在未来3周内保护安卓设备  据悉，美国联邦民事行政部门机构（FCEB）已被要求在7月28日之前保护他们的设备免受CVE-2021-29256漏洞的攻击，该漏洞今天被列入到CISA积极处理的漏洞列表中。 根据2021年11月发布的具有约束力的操作指令（BOD 22-01），联邦机构必须彻底评估和解决CISA KEV目录中列出的所有安全缺陷。尽管该目录主要关注美国联邦机构，但也强烈建议私营公司优先考虑并修补目录中列出的所有漏洞。CISA也警告称：“这些类型的漏洞是网络中恶意行为者的常见攻击载体，会对联邦企业构成重大风险。” 一周前，网络安全机构警告说，TrueBot恶意软件操作背后的攻击者利用了Netwrix Auditor软件中的一个关键的远程代码执行（RCE）漏洞，对目标网络进行初始访问。CISA也表示，分布式拒绝服务（DDoS）针对性地攻击美国多个行业部门的组织。     转自E安全，原文链接:https://mp.weixin.qq.com/s/2P3qkhXmBOlB1foOT-ZlvQ 封面来源于网络，如有侵权请联系删除

苹果于7月10日发布了新一轮快速安全响应 (RSR) 更新，以解决在攻击中利用的一个新零日漏洞。 苹果在iOS和macOS的更新公告中引用了一位匿名安全专家对该漏洞（CVE-2023-37450）的描述，表示“苹果已获悉有关此漏洞可能已被积极利用的报告”。苹果在更新公告中也表示这是一个重要修复，建议所有用户进行安装。 此次漏洞发现于苹果开发的WebKit 浏览器引擎中，允许攻击者通过钓鱼方式诱导受害者打开包含恶意内容的网页，在目标设备上获得任意代码执行。需要更新的系统软件版本包括了macOS 13.4.1、iOS 16.5.1、iPadOS 16.5.1以及Safari 16.5.2。 今年的第十个零日漏洞 自 2023 年初以来，Apple 已修复了 10 个被广泛利用来攻击 iPhone、Mac 或 iPad 的零日漏洞。 6月初，苹果修复了三个零日漏洞（CVE-2023-32434、CVE-2023-32435 和 CVE-2023-32439），这些漏洞可通过 iMessage 零点击漏洞在 iPhone 上部署 Triangulation 间谍软件。 5 月，苹果修复了由国际特赦组织和 Google 威胁分析小组报告的3个零日漏洞（CVE-2023-32409、CVE-2023-28204 和 CVE-2023-32373），这些漏洞可能用于安装雇佣兵间谍软件。 4月，苹果修复了两个能够被用作 Android、iOS 和 Chrome 零日和 N日漏洞利用链一部分的两个零日漏洞（CVE-2023-28206 和 CVE-2023-28205）。 2月，苹果修复了另一个WebKit 零日漏洞(CVE-2023-23529)，该漏洞能够在易受攻击的 iPhone、iPad 和 Mac 上执行任意代码。     转自Freebuf，原文链接:https://www.freebuf.com/news/371623.html 封面来源于网络，如有侵权请联系删除

全球数万个太阳能光伏发电站所采用的太阳能发电监控系统曝出严重漏洞，远程攻击者目前正积极利用该漏洞破坏运营或在系统中驻留。 曝出漏洞的设备是日本大阪的Contec（康泰克）公司生产的SolarView太阳能发电监控系统，可帮助太阳能光伏电站内的人员监控产生、存储和配电。Contec表示，全球大约3万个发电站已经引进了这些设备，根据运营规模和使用的设备类型不同，SolarView设备提供不同的封装形式。 Solar View此次共曝出两个漏洞（CVE-2022-29303和CVE-2023-293333），严重性评分高达9.8，其中CVE-2022-29303是一个未经身份验证的远程命令注入漏洞，影响Contec SolarView系列。该漏洞源于未能消除用户输入中包含的恶意内容，攻击者可执行恶意命令发动远程攻击。 CVE-2022-29303影响Web服务器的conf_mail.php端点，但版本6.20（曝出漏洞的6.00版本之后的版本）并未修复该问题。不仅6.00版本受到影响，6.20也受到影响。研究人员发现至少从4.00版本conf_mail.php开始就存在非常直接的命令注入漏洞。 安全公司VulnCheck研究人员在Shodan上搜索发现，目前可通过开放互联网访问其中600多个光伏发电站（上图）。研究人员指出，目前超过三分之二的使用Contec设备的光伏电站尚未安装漏洞CVE-2022-29303的补丁更新。 安全公司Palo Alto Networks上个月曾透露，该漏洞正被Mirai的运营商积极利用，Mirai是一个由大量路由器和其他物联网设备组成的开源僵尸网络。Contec设备的漏洞可能会导致使用它们的光伏电站设施失去对运营的可见性，可能会导致严重后果，具体取决于易受攻击的设备的部署位置。 VulnCheck研究员Jacob·Baines指出：“事实上，光伏电站的许多类似系统都是面向互联网的，而且漏洞利用公开的时间已经足够长，足以被纳入Mirai变体中，这并不是一个好消息。光伏发电企业应注意哪些系统出现在公共IP空间中，并密切跟踪其这些系统的公开漏洞。” Baines表示，许多Solar View类似设备也容易受到漏洞CVE-2022-29303影响，后者是一种较新的命令注入漏洞，严重性评分高达9.8。自今年2月份以来，该漏洞的利用代码已公开发布。 Baines指出，由于漏洞CVE-2022-29303和CVE-2023-293333的CVE描述有误，导致很多光伏发电企业的漏洞修补失败。这两个漏洞的描述中声称SolarView 8.00和8.10版本都已修复漏洞，但事实上只有8.10版本针对上述两个漏洞进行了修补。 Palo Alto Networks表示，对漏洞CVE-2022-29303的利用只是更大规模的攻击活动的一部分。该活动利用了一系列物联网设备中的22个漏洞，试图传播Marai变种。这些攻击始于今年3月份，攻击者试图利用这些漏洞安装shell接口远程控制设备。一旦被利用，设备就会下载并执行为各种Linux架构编写的bot客户端。 有迹象表明漏洞CVE-2022-29303可能更早之前就已成为攻击目标，其漏洞利用代码自2022年5月起就已出现。当时有黑客在youtube上公布了用Shodan搜索并攻击SolarView系统的视频（下图）。 对于第二个漏洞CVE-2023-23333，虽然没有迹象表明攻击者正在积极利用，但GitHub上已经发布了该漏洞的多个利用代码。 截止发稿，Contec的官方网站上尚没有关于这两个漏洞的安全咨文，任何使用受影响设备的企业都应尽快更新（到Solar View 8.10版本）。光伏电站还应检查存在漏洞的设备是否暴露在互联网上，如果是，则需要更改其配置确保仅能从内网访问这些设备。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/ZF2evkQrVxZRhwajtOAXOQ 封面来源于网络，如有侵权请联系删除

今年6月，文件共享工具MOVEit Transfer曾曝出SQL 注入漏洞，能让远程攻击者访问其数据库并执行任意代码。最近，MOVEit Transfer 母公司Progress Software又披露了三个新漏洞。 这三个漏洞分别是 CVE-2023-36932、CVE-2023-36933 和 CVE-2023-36934，其中CVE-2023-36932和 CVE-2023-36934都和SQL 注入漏洞有关。 SQL 注入漏洞能让攻击者利用它操纵数据库并运行他们想要的任何代码。攻击者可以将专门设计的有效负载发送到受影响应用程序的某些端点，从而更改或暴露数据库中的敏感数据。 这其中最为严重的漏洞为CVE-2023-36934，能够无需登录即被利用，意味着即使没有有效凭证的攻击者也有可能利用该漏洞，但到目前为止，还没有关于攻击者积极利用此漏洞的报告。 而CVE-2023-36932能让登录的攻击者利用该漏洞来获得对 MOVEit Transfer 数据库的未经授权的访问；CVE-2023-36933 则是一个允许攻击者意外关闭 MOVEit Transfer 程序的漏洞。 MOVEit于今年6月披露的漏洞显示它们已经被Clop 勒索软件组织利用，数千家使用该服务的企业组织受到影响。一直在跟踪局势的 Emsisoft 威胁分析师布雷特·卡洛 (Brett Callow) 表示，至少有 20 所美国学校和超过 1750 万人的信息受到影响。 其他企业，石油巨头壳牌曾在6月15日证实自己受到了MOVEit漏洞的影响，英国广播公司BBC 和英国航空公司 (BA) 、南非零售巨头Clicks等企业也表示自己是受害者。 此次新批露的漏洞影响多个 MOVEit Transfer 版本，但目前均已被MOVEit Transfer修复。Progress Software 已为所有主要 MOVEit Transfer 版本提供了必要的更新，强烈建议用户更新到 MOVEit Transfer 的最新版本，以降低这些漏洞带来的风险。     转自Freebuf，原文链接：https://www.freebuf.com/news/371525.html 封面来源于网络，如有侵权请联系删除

报道称，Linux内核中出现了一个新的安全漏洞，可能允许用户在目标主机上获得更高的权限。 该漏洞被称为StackRot（CVE-2023-3269，CVSS评分：7.8），影响Linux 6.1至6.4版本。迄今为止，没有证据表明该漏洞已经在野外被利用。 北京大学安全研究员李瑞晗说：”由于StackRot是一个在内存管理子系统中发现的Linux内核漏洞，它几乎影响到所有的内核配置，且仅需要最少的功能来触发”。 在2023年6月15日漏洞披露之后，经过两周努力，截至2023年7月1日，该漏洞已经在稳定版本6.1.37、6.3.11和6.4.1中得到解决。 一个概念验证（PoC）漏洞和有关该漏洞的其他技术细节预计将在本月底公开。 该漏洞的根源在于一个名为maple tree的数据结构，它在Linux内核6.1中被引入，作为rbtree的替代品，用于管理和存储虚拟内存区域（VMA），这是一个连续的虚拟地址范围，可以是磁盘上的文件内容或程序执行时使用的内存。 具体来说，它被描述为一个使用后的错误，本地用户可以利用maple tree在没有正确获得MM写锁的情况下进行节点替换，从而来破坏内核并提升他们的权限。 Torvalds指出：我想将所有堆栈扩展代码移动到自己的全新文件中，而不是将其拆分为 mm/mmap.c 和 mm/memory.c，我试图保持补丁最小化，但由于无论如何都必须回传到最初的maple treeVMA 介绍中。     转自Freebuf，原文链接：https://www.freebuf.com/news/371340.html 封面来源于网络，如有侵权请联系删除

此前，Fortinet在今年的6月8日更新FortiOS作业系统，以修补旗下防火墙设备FortiGate的多个安全漏洞，其中风险最高的CVE-2023-27997在修补当时已遭到黑客利用，而根据另一个网络安全公司Bishop Fox的调查，在全球曝露于网络上的49万台FortiGate中，现今仍有多达33.6万台尚未修补该漏洞，占比69%。 调查发现，一个问题 ( FG-IR-23-097 ) 可能在有限的案例中被利用，我们正在与客户密切合作以监控情况。”  Fortinet 发布的报告指出 。因此，如果客户启用了 SSL-VPN，Fortinet 建议客户立即采取行动升级到最新的固件版本。如果客户没有运行 SSL-VPN，则此问题的风险会减轻 – 但是，Fortinet 仍然建议升级。 Bishop Fox的能力发展总监Caleb Gross指出，有别于坊间以SSL凭证进行搜寻，找到了全球25万台位于公开网路上的FortiGate，他们使用不同的搜寻字串，利用Shodan发现49万台曝露SSL-VPN介面的FortiGate，再检查这些设备的韧体更新日期，却发现部署最新更新的只有153,414台，等于尚有69%并未修补安全漏洞。 对 Last-Modified 标头值的分析显示，2018 年及之前存在很多 异常值，研究人员注意到互联网上有少数设备运行 8 年前的 FortiOS。这些设备存在多个严重漏洞，该公司多年来已解决这些漏洞，并且具有公开的概念验证漏洞利用代码。 有很多版本 7（2021 年初发布），还有大量版本 6 正在 逐渐达到生命周期的终点。专家建议使用 FortiGate 防火墙或由 FortiOS 提供支持的其他任何设备的组织遵循 Fortinet 针对此问题的建议并立即升级其固件。     转自E安全，原文链接：https://mp.weixin.qq.com/s/-VL8UGtZgWaNKXxTiexKUQ 封面来源于网络，如有侵权请联系删除