一个影响Chrome、Firefox和Safari的浏览器漏洞在最近的Chrome软件发布后被发现。Google开发人员发现了这个基于剪贴板的攻击，当用户访问一个被攻击的网页时，恶意网站可以覆盖用户的剪贴板内容。该漏洞也影响到所有基于Chromium的浏览器，但似乎在Chrome浏览器中最为普遍，目前用于复制内容的用户手势被列为了问题报告。 Google开发人员杰夫-约翰逊解释了该漏洞是如何被触发的，几种方式都是授予页面覆盖剪贴板内容的权限。一旦授予权限，用户可以通过主动触发剪切或复制动作，点击页面中的链接，甚至采取在有关页面上向上或向下滚动这样简单的动作来影响。 浏览器之间的区别在于，Firefox和Safari用户必须使用Control+C或⌘-C主动将内容复制到剪贴板，而Chrome用户只需查看一个恶意页面不超过几分之一秒就可以受到影响。 约翰逊的博文引用了Šime的视频例子，Šime是一家专门面向网络开发者的内容创作者。Šime的演示揭示了Chrome浏览器用户受到影响的速度有多快，只要在活动的浏览器标签之间切换，就会触发该漏洞。无论用户进行了多长时间或何种类型的互动，恶意网站都会立即用威胁者决定提供的内容取代任何剪贴板内容。 约翰逊的博客提供了技术细节，描述了一个页面如何获得写到系统剪贴板的权限。一种方法是使用现在已被废弃的命令，即document.execCommand。 另一种方法是利用最近的navigator.clipboard.writetext API，它有能力将任何文本写入剪贴板而不需要额外的操作。一个演示说明了针对同一漏洞的两种方法如何工作。 虽然这个漏洞表面上听起来没有什么破坏性，但用户应该保持警惕，恶意行为者可以利用内容交换来利用毫无戒心的受害者。例如，一个欺诈性网站可以用另一个欺诈性URL替换之前复制的URL，在不知情的情况下将用户引向旨在获取信息和破坏安全的其他网站。 该漏洞还为威胁者提供了将复制的加密货币钱包地址保存在剪贴板上的能力，替换为由恶意第三方控制的另一个钱包的地址。一旦交易发生，资金被发送到欺诈性钱包，受害的用户通常几乎没有能力追踪和收回他们的资金。 Google已经意识到了这个漏洞，并有望在不久的将来发布一个补丁。在此之前，用户应谨慎行事，避免使用基于剪贴板的复制内容打开网页，并在继续进行任何可能危及其个人或财务安全的活动之前验证其复制内容的输出。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1312115.htm 封面来源于网络，如有侵权请联系删除

据The Verge 8月31日消息，TikTok安卓版存在一个高危漏洞，攻击者可能借此实现一键式账户劫持，影响数亿用户。 微软365防御研究小组在一篇博文中披露了该漏洞的细节，影响范围为23.7.3之前的安卓版本。在微软向TikTok报告后，该漏洞已打上补丁。 博文披露，一旦TikTok用户点击一个特制链接，攻击者就可以在用户不知情的情况下劫持账户，访问和修改用户的个人资料、敏感信息、发送消息、上传视频。 该漏洞影响了安卓应用的deeplink（深度链接）功能。这种深度链接会指令操作系统如何处理链接，例如用户点击嵌入在网页中的 “关注此账户 “按钮后，会跳转到推特关注某用户。 这种链接处理还包括一个验证过程，但研究人员发现了一种方法，可以绕过这个验证过程，在应用程序中执行一些潜在的攻击功能。在一次概念验证攻击中，研究人员制作了一个恶意链接，点击后将TikTok账户的简介改为 “SECURITY BREACH”。 TikTok在CVE-2022-28799的Mitre数据库条目中表示，精心制作的URL（未经验证的deeplink）可以在新窗口加载任意网站。这可能允许攻击者利用附加的JavaScript接口进行一键接管。 该漏洞潜在影响巨大，安卓版TikTok在谷歌应用商店的总下载量超过了15亿次。好消息是，TikTok发言人莫琳·沙纳汉回应，目前并无证据表明该漏洞被恶意利用。微软证实，TikTok快速反应并修复了该漏洞。 此前，据PCMAG报道，一位安全研究人员发现，TikTok iOS版本的应用内，打开任何外部链接都会触发监控，记录所有键盘输入和屏幕点击行为。但TikTok发言人否认了这一说法，称“TikTok不会通过JavaScript代码收集屏幕点击或文本输入内容，这些代码仅用于调试、故障排除和性能监控。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343500.html 封面来源于网络，如有侵权请联系删除

谷歌推出一项新的漏洞奖励计划，奖励从谷歌开源项目中发现并报告漏洞的安全研究人员。 作为这项新的开源软件漏洞奖励计划 (OSS VRP) 的一部分，谷歌提供的奖励金范围是100美元至31337美元。不过针对“特别聪明或有趣的漏洞”，将会有1000美元左右的额外奖励。 谷歌运行漏洞奖励计划的时间已有12年左右并不断对其扩充，涵盖了安卓、Chrome、Linux 内核等领域。迄今为止，谷歌已向研究人员发放了超过3800万美元的奖励金。 这项新的开源漏洞奖励计划关注开源软件，旨在解决和供应链攻陷相关的风险。 谷歌表示，“去年，针对开源软件供应链的攻击同比增长了650%，出现在新闻头条的事件如 Codecov和Log4Shell 等事件展示了单个开源漏洞的破坏潜力。” 谷歌表示，谷歌所持有的GitHub组织机构公开库中包括的所有当前软件均涵盖在OSS VRP内。同时计划还涵盖这些项目的第三方依赖，不过研究人员必须提前向依赖的所有人发送通知。该奖励计划提到，“请首先将您的漏洞报告直接发给易受攻击数据包的所有人，确保该问题在我们知晓漏洞详情前就已在上游修复。” 涵盖在内的项目分为三个层级，旗舰开源软件项目（这些项目被认为敏感度高）中的漏洞将为研究人员获得更高的奖励。最多奖励金将分配给 Bazel、Angular、Golang、Protocol buffers和Fuchsia。 谷歌鼓励研究人员关注导致供应链攻陷的漏洞、导致产品缺陷的设计问题以及安全问题如凭据泄露、弱密码和不安全的安装程序等。 转自 安全内参，原文链接：https://www.secrss.com/articles/46426 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络安全和基础设施安全局（CISA）在其已知漏洞目录中添加了10个新漏洞，其中包括影响Delta Electronics工业自动化软件的高严重性安全漏洞（CVE-2021-38406 CVSS 评分：7.8）。 根据具有约束力的操作指令（BOD）22-01：降低已知被利用漏洞的重大风险，FCEB机构必须在截止日期前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 据美国机构称，Delta Electronics DOPSoft 2在解析特定项目文件时缺乏对用户提供的数据的正确验证（输入验证不正确）。攻击者可以触发该漏洞，导致越界写入并实现代码执行。 重要的是没有安全补丁可以解决此问题，并且受影响的产品已经报废。 CISA还在Apple iOS、macOS和watchOS中添加了一个Sanbox绕过漏洞，跟踪为CVE-2021-31010 （CVSS评分：7.5）。 “在受影响的Apple iOS、macOS和watchOS版本中，沙盒进程可能能够绕过沙盒限制。”公告中写道。 添加到该目录的其他漏洞有： CVE-2022-26352  – dotCMS无限制上传文件漏洞 CVE-2022-24706  – Apache CouchDB资源不安全默认初始化漏洞 CVE-2022-24112  – Apache APISIX身份验证绕过漏洞 CVE-2022-22963  – VMware Tanzu Spring Cloud Function远程代码执行漏洞 CVE-2022-2294  – WebRTC堆缓冲区溢出漏洞 CVE-2021-39226  – Grafana身份验证绕过漏洞 CVE-2020-36193  – PEAR Archive_Tar链接解析不当漏洞 CVE-2020-28949  – PEAR Archive_Tar不受信任数据反序列化漏洞 CISA命令联邦机构在2022年9月15日之前修复这些漏洞。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 泄露的文件显示，监控公司Intellexa以800万美元的价格为iOS和Android设备提供漏洞攻击。 Intellexa是一家由以色列企业家Tal Dilian创立的监控公司，为执法和情报机构提供监控和黑客解决方案。 Vx-underground研究人员分享了一些机密文件的图像，这些文件似乎是Intellect提供的商业服务。 泄露的文件详细说明了以800万美元的价格购买了一个iOS远程代码执行零日漏洞。 泄露的文档表明，该公司提供从Android和iOS设备远程提取数据的服务。该服务包括基于浏览器的远程一键攻击，允许黑客破坏Android和iOS移动设备，攻击者可以通过诱骗客户点击链接来利用这些漏洞。 该公司为iOS和Android设备提供10种并发感染，以及“100种成功感染的杂志”。 重要的是，这些漏洞可能针对Android 12升级和iOS 15.4.1，因为苹果在3月份发布了iOS 15.4.1，这意味着这是最近发生的事情，因此，目前还无法确定苹果公司是否已经解决了这些漏洞。 该监控公司的一份文件提供了Android设备列表，这些设备可能会成为一键式攻击的目标。 Vx-undergroud分享的文件表明，监控行业持续增长，利润可能巨大。 今年6月，谷歌威胁分析小组的研究人员透露，意大利监控公司RCS Labs 在意大利和哈萨克斯坦的一些互联网服务提供商的帮助下，用间谍软件感染Android和iOS用户。 过去几个月，许多其他监控公司登上了头条，包括NSO 集团、Candiru和DSIRF。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

The hacker news 网站披露，Atlassian Bitbucket 服务器和数据中心出现严重漏洞，该漏洞可能允许攻击者执行恶意代码，Atlassian 目前已经推出了漏洞修复方案。 安全漏洞被追踪为 CVE-2022-36804（CVSS 评分：9.9），是一个多端点的命令注入漏洞，潜在攻击者可通过特制的 HTTP 请求加以利用。 服务器多个版本受到漏洞影响 据悉，CVE-2022-36804 漏洞由网络安全研究员 TheGrandPew 发现，经过详细分析，这一漏洞主要影响了 6.10.17 之后发布的所有版本 Bitbucket Server 和 Datacenter，7.0.0 和更高版本也受到严重影响。 受漏洞影响的服务器版本详情如下： Bitbucket 服务器和数据中心7.6； Bitbucket服务器和数据中心7.17版； Bitbucket服务器和数据中心7.21版； Bitbucket服务器和数据中心 8.0版； Bitbucket服务器和数据中心 8.1版； Bitbucket服务器和数据中心 8.2版； Bitbucket服务器和数据中心 8.3版。 CVE-2022-36804 漏洞爆出不久后，Atlassian 在一份公告中表示，潜在攻击者在拥有公共 Bitbucket 存储库访问权或私有存储库读取权限的情况下，可以通过发送恶意的 HTTP 请求来执行任意代码。 Atlassian 建议用户应尽快更新补丁 鉴于部分用户无法立即应用补丁，Atlassian提供了临时解决办法。用户可以使用 “feature.public.access=false ”关闭公共存储库，以防止未经授权的用户利用该漏洞。 Atlassian 强调，这种方式并不是一个完美的缓解措施，已经通过其他方式获取了有效凭据的潜在攻击者依然可以利用漏洞，这意味着部分拥有用户账户的攻击者仍然可以成功利用该漏洞，进行网络攻击活动。 最后，Atlassian 建议受漏洞影响的用户尽快升级到最新版本，以减轻潜在的安全威胁。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/343151.html 封面来源于网络，如有侵权请联系删除

本月初开始商业运营的印度阿卡萨航空公司(Akasa Air)由于注册登陆服务中的技术故障，导致数千名用户的个人数据被披露。这些披露的数据是由阿舒托什·巴罗特（Ashutosh Barot）发现的，其中包括客户全名、性别、电子邮件地址、手机号码等等。 在阿卡萨航空公司网站于 8 月 7 日成立上线之后，巴罗特在几分钟之后就发现了 HTTP 请求漏洞。他最初试图直接与这家总部位于孟买的航空公司的安全团队沟通，但没有找到直接联系人。 这位研究专家表示：“我通过他们的官方Twitter账户联系了航空公司，要求他们提供一个电子邮件 ID 来报告这个问题。他们给了我 info@akasa 电子邮件 ID，我没有向其分享漏洞详细信息，因为它可能由支持人员或第三方供应商处理。所以，我再次给他们发了电子邮件，并要求 [航空公司] 提供他们安全团队中某人的 [the] 电子邮件地址。我没有收到来自 Akasa 的进一步通信”。 在没有得到航空公司关于他如何与安全团队联系的回应后，研究人员向 TechCrunch 通报了这个问题。在 TechCrunch 联系之后，该航空公司承认确实存在该问题，导致 34,533 条客户记录面临风险。该航空公司还表示，暴露的数据不包括与旅行相关的信息或支付记录。该航空公司告诉 TechCrunch，它进行了额外的审查，以确保其所有系统的安全性。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1309711.htm 封面来源于网络，如有侵权请联系删除

一位擅长以各种创新方式从断网设备中提取数据的安全研究专家近日发现了一个新漏洞，可以使用手机窃取气隙系统的数据。气隙系统（air gapped）指的是，将电脑与互联网以及任何连接到互联网上的电脑进行隔离。该系统在物理上是隔离的，无法与其他计算机或网络设备进行无线或物理连接。 气隙系统主要用于关键基础设施以及其他对网络安全有极高要求的场所。虽然气隙系统在日常环境中并不常见，但是近年来也出现了针对这种系统的攻击方式，例如使用附近智能手机的麦克风接收数据的 Mosquito 攻击。 因此，Apple 和 Google 在 iOS 和 Android 中引入了权限设置，阻止应用程序访问设备的麦克风，并且当麦克风处于活动状态时，这两种操作系统都会使用视觉指示器。 和麦克风不同，在大部分现代化智能手机中陀螺仪已经是标准配置。陀螺仪用于检测智能手机的旋转速度，并被广泛认为是一种更安全的传感器，因为 iOS 或 Android 都没有指示它们何时被使用，也没有提供完全阻止访问的选项。 现在，Mosquito 攻击的创造者有了一项新技术，它使用智能手机的陀螺仪来接收附近听不见的声波，整个过程不依赖于麦克风。 本古里安大学网络安全研究中心的研发负责人 Mordechai Guri 在他最新的研究论文中表示，这种被他称为“Gairoscope”的新攻击可以在“几米远”的范围内从气隙计算机中窃取敏感信息。 与针对气隙系统的其他攻击一样，Guri 的“Gairoscope”概念验证需要非常接近气隙系统。但是从那里，攻击者可以通过侦听从气隙系统的扬声器产生的声波并从附近智能手机的陀螺仪中拾取来收集密码或登录凭据。 Guri 说，这些听不见的频率会产生“智能手机陀螺仪内的微小机械振荡”，可以将其转换为可读数据。他补充说，攻击者可以使用移动浏览器执行漏洞利用，因为可以使用 JavaScript 访问手机陀螺仪。 虽然该方法仍处于试验阶段，但 Guri 和他的团队建议了一些旨在限制新恶意软件影响的对策，例如消除扬声器以创建无音频网络环境，并使用音频硬件过滤掉音频硬件产生的共振频率。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1308531.htm 封面来源于网络，如有侵权请联系删除

据《华盛顿邮报》 8月23日报道，推特前安全主管Peiter Zatko向美国证券交易委员会（SEC）、联邦贸易委员会（FTC）和司法部提交了一封举报文件。在文件中，Zatko控诉推特在安全实践中存在“令人震惊的”漏洞，在安全、隐私和内容审核方面存在“严重缺陷”。他还认为，推特高管在联邦监管机构面前谎报安全实力。 Zatko是著名黑客，于2020年底被推特招揽担任安全部门主管。几个月后，黑客劫持了若干世界名人的推特帐户，包括乔·拜登（Joe Biden）和埃隆·马斯克（Elon Musk）。2022年1月，他被推特解雇，任职不到两年。 关于名人推特帐户被盗事件，举报文件中称，黑客的招数非常简单，“黑客假装是推特的IT支持，给一些员工打电话，要求他们提供密码。一些员工上当受骗并提供了密码，而且由于推特访问控制的系统缺陷，手持凭证的黑客可以畅通无阻，入侵任何帐户。” 推特否认上述指控，称Zatko今年1月是因领导不力和表现不佳而被解雇。推特称，安全和隐私一直是推特的优先事项和长期目标。 安全控制差，数据未加密 《华盛顿邮报》报道，Zatko今年早些时候向联邦贸易委员会、证券交易委员会和司法部提出了申诉，申诉文件长达84页。 代表Zatko的“吹哨人”援助组织律师John Tye向哥伦比亚广播公司（CBS）表示，“他非常担心，以至于他冒着可能危及他未来职业生涯的风险，告知监管机构、国会、公众他所发现的漏洞的危害。” “他在推特发现的东西与其他公司的情形都不一样，”Tye补充，Zatko的代号Mudge，他以前曾在谷歌、Stripe和国防高级研究计划局工作过。 Zatko称，推特的内部安全控制很差，该公司1万多名员工中，有多达一半的人可以接触到敏感的用户数据。数千名员工的电脑包含推特源代码的完整副本，30%的员工电脑关闭了自动安全更新和系统防火墙，还未经批准启用了远程桌面访问。同时，推特没有员工电话管理系统。 他还表示，推特在用户注销帐户后没有完全删除用户数据，在某些情况下推特已经失去了对信息的追踪能力，因此推特在是否按要求删除数据方面误导了监管机构。此外，推特许多存储和处理用户信息的数据中心不支持数据加密。 根据推特2011年与联邦贸易委员会的和解协议，推特被要求维持一个“全面的信息安全计划”，但Zatko称，”推特从来没有遵守2011年与联邦贸易委员会的和解协议。” “仅在2020年，推特就发生了40多起安全事件，其中70%与访问控制有关，”文件中写道。 除了控诉推特公司网络安全存在严重缺陷外，Zatko还表示印度政府强迫推特雇用其一名代理商。 Zatko还声称，推特公司雇用了外国间谍，他引用了一个美国政府消息来源的说法，即 “某位或多位雇员为另一个外国情报机构工作”。 无力清理平台垃圾账户 除了对安全松懈的指控，这项指控还呼应了埃隆·马斯克（Elon Musk）对该平台被机器人占领的批评，称高管们无法知道哪些账户是假的。 投诉中称，推特无意清理或没有能力清理平台上的僵尸和垃圾邮件账户，而且它对用户的个人身份信息管理不善，经常出现安全漏洞。 今年早些时候，马斯克曾出价440亿美元收购Twitter，但在今年7月撤回了收购要约。但法律程序上是否要求马斯克如约完成收购案，将在10月进行审判。 Zatko在投诉中称：“无知是高管领导团队的常态。”公司甚至无法提供垃圾邮件和机器人账户的具体数目。他声称，负责网站完整性的团队不知道如何检测机器帐户，忙于内部闹剧，公司也没有动力去管控机器帐户。 Zatko声称，Twitter使用的一种内部验证方法，但经常被禁用，每个月挫败了多达1200万个机器人。该投诉称，2021年，Twitter创建了一种奖金结构，员工可以获得高达1000万美元的奖金，以短期增加可盈利的日活跃用户（mDAU），但减少平台上的垃圾邮件并不在奖励范围内。 推特向监管机构表示，平台的日活跃用户中只有不到5%是机器人。然而，Zatko表示这是一个谎言，因为mDAU指标的设计已经排除了机器人和其他垃圾邮件账户。 美国参议院情报委员会发言人雷切尔·科恩（Rachel Cohen）说，委员会已经收到了起诉书，并“正在安排一次会议，进一步讨论指控的相关细节，我们会认真对待这件事。” 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342774.html 封面来源于网络，如有侵权请联系删除

近期，Security Affairs 网站披露，DevOps 平台 GitLab 修复了其社区版（CE）和企业版（EE）中出现的一个关键远程代码执行漏洞，该漏洞被追踪为 CVE-2022-2884（CVSS 评分 9.9）。 据悉，攻击者经过“身份验证”后，可以通过 GitHub 导入 API 利用该漏洞。目前 DevOps 平台 GitLab 已经发布了安全更新，修复了这一影响其 GitLab 社区版（CE）和企业版（EE）的关键远程代码执行漏洞。 GitLabCE/EE 多个版本受到漏洞影响 漏洞爆出不久后，GitLab 运营商在发布的安全公告中表示，GitLab CE/EE 中的漏洞（CVE-2022-2884）主要影响11.3.4——15.1.5之间的所有版本，此外，从 15.2 到 15.2.3 的所有版本和15.3 到 15.3.1 的所有版本也受到严重影响。 值得一提的是，运营商在公告中着重强调，CVE-2022-2884 漏洞允许经过“身份认证”的攻击者从 GitHub 导入 API 端点实现远程代码执行，因此强烈建议所有安装了受漏洞影响版本的用户尽快升级到最新版本。 漏洞是否在野被利用尚不清楚 从媒体披露的信息来看，研究人员 yvvdwf 最早发现了 CVE-2022-2884 漏洞，随后通过 HackerOne 漏洞赏金计划，快速报告了该漏洞。 鉴于一些用户无法立即升级到最新版本，GitLab 运营商提供了一个解决方法。建议用户以 “管理员 ”身份认证后，从设置菜单的 “可见性和访问控制 ”标签中禁用 GitHub 的导入功能。 最后，安全研究人员声称，目前尚不清楚 CVE-2022-2884 漏洞是否在野外攻击中被积极利用。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342725.html 封面来源于网络，如有侵权请联系删除