苹果公司19日发布安全更新，修复了两个被用于攻击Mac用户的安全漏洞，并建议所有用户安装。 苹果在官网发布的安全公告中表示，发现了两个漏洞（CVE-2024-44308、CVE-2024-44309），可能在基于英特尔处理器的Mac系统上“被积极利用”。这类漏洞属于零日漏洞，因为在漏洞被攻击者利用时，苹果尚未意识到它们的存在。 为修复这两个漏洞，苹果发布了一系列软件更新，包括macOS、iOS和iPadOS。 目前尚不清楚针对Mac用户的攻击是由谁发起，也不清楚有多少用户成为目标，或者是否有用户设备已经被成功攻破。这些漏洞由谷歌威胁分析小组报告，该小组专注于调查政府支持的黑客行为和网络攻击。这表明，此次攻击可能涉及某个政府背景的行为者。而政府支持的网络攻击有时会使用商业间谍软件针对目标设备展开行动。 苹果在公告中表示，这些漏洞与WebKit和JavaScriptCore有关。WebKit是Safari浏览器运行网络内容的核心引擎，同时也是恶意攻击者的常见目标。攻击者通常通过利用WebKit引擎中的漏洞，侵入设备的软件系统，进而窃取用户的隐私数据。 安全公告进一步指出，这些漏洞可通过诱使易受攻击的苹果设备处理恶意构造的网络内容（如伪造的网站或电子邮件），触发任意代码执行，从而在目标设备上植入恶意软件。 苹果建议用户尽快更新其iPhone、iPad和Mac设备，以降低安全风险。 苹果生态已成零日攻击高发地带 加上这两个漏洞，苹果在2024年已累计修复了六个零日漏洞。今年的首次修复发生在1月，随后在3月修复了两个漏洞，5月修复了第四个漏洞。 相比2023年修复的20个遭在野利用的零日漏洞，今年的情况有了显著改善。 以下是2023年苹果修复零日漏洞的时间表： 11月修复的两个零日漏洞（CVE-2023-42916和CVE-2023-42917） 10月修复的两个零日漏洞（CVE-2023-42824和CVE-2023-5217） 9月修复的五个零日漏洞（CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992和CVE-2023-41993） 7月修复的两个零日漏洞（CVE-2023-37450和CVE-2023-38606） 6月修复的三个零日漏洞（CVE-2023-32434、CVE-2023-32435和CVE-2023-32439） 5月修复的三个零日漏洞（CVE-2023-32409、CVE-2023-28204和CVE-2023-32373） 4月修复的两个零日漏洞（CVE-2023-28206和CVE-2023-28205） 2月修复的另一个WebKit零日漏洞（CVE-2023-23529）。       转自安全内参，原文链接：https://www.secrss.com/articles/72598 封面来源于网络，如有侵权请联系删除

研究人员发现，黑客可以通过利用近场通信 (NFC) 大规模套现受害者资金的新技术。  地下论坛上的一篇帖子 该技术由 ThreatFabric 命名为Ghost Tap，可让网络犯罪分子从与 Google Pay 或 Apple Pay 等移动支付服务关联并中继 NFC 流量的被盗信用卡中套现资金。 这家荷兰安全公司称：“犯罪分子现在可以滥用 Google Pay 和 Apple Pay，在几秒钟内将您的点击支付信息传输到全球。”“这意味着即使没有您的实体卡或手机，他们也可以在世界任何地方通过您的账户付款。” 这些攻击通常通过诱骗受害者下载手机银行恶意软件来实施，恶意软件可以使用覆盖攻击或键盘记录器来获取受害者的银行凭证和一次性密码。或者，它可能涉及语音钓鱼组件。 一旦掌握了信用卡详细信息，攻击者就会将信用卡与 Google Pay 或 Apple Pay 关联起来。但为了避免发卡机构封锁信用卡，点击支付信息会被转发给若干名“钱骡”（黑色产业链中负责洗钱或提取现金的人），后者负责在商店进行欺诈性购买。 这是通过一种名为NFCGate的合法研究工具实现的，它可以捕获、分析或修改 NFC 流量。它还可用于通过服务器在两个设备之间传递 NFC 流量。 NFCGate开源项目作者德国达姆施塔特工业大学安全移动网络实验室的研究人员表示：“一台设备作为‘读取器’读取 NFC 标签，另一台设备使用主机卡模拟 (HCE) 模拟 NFC 标签。” 尽管 NFCGate 之前曾被不良行为者使用，将 NFC 信息从受害者的设备传输给攻击者，正如ESET 早在 2024 年 8 月使用 NGate 恶意软件所记录的那样，但最新的进展标志着该工具首次被滥用来传递数据。 ThreatFabric 指出：“网络犯罪分子可以在装有被盗卡的设备和零售商的 PoS [销售点] 终端之间建立中继，保持匿名并进行更大规模的套现。” “持有被盗卡的网络犯罪分子可能远离使用该卡的地点（甚至是不同的国家），也可能在短时间内在多个地点使用同一张卡。” 这种策略的优势在于，它可以用来在线下零售商处购买礼品卡，而网络犯罪分子无需亲自到场。更糟糕的是，它可以被用来在短时间内招募不同地点的多名钱骡，从而扩大欺诈计划的规模。 Ghost Tap攻击的检测难度在于，交易看起来好像来自同一台设备，从而绕过了反欺诈机制。连接卡的设备也可能处于飞行模式，这会使检测其实际位置变得困难，并且很难发现它实际上并未用于在 PoS 终端进行交易。 ThreatFabric 指出：“我们怀疑，随着网络的不断发展，通信速度越来越快，再加上 ATM/POS 终端缺乏适当的基于时间的检测，使得这些攻击成为可能，因为带有卡的实际设备物理上远离进行交易的地点（设备不在 PoS 或 ATM 上）。” “由于能够迅速扩大规模并在匿名的掩护下运作，这种套现方式对金融机构和零售机构都构成了重大挑战。”     转自军哥网络安全读报，原文链接：https://mp.weixin.qq.com/s/334uX_p2THzcfpBuTMjkyA 封面来源于网络，如有侵权请联系删除

近日，印度竞争委员会已对社交媒体巨头 Meta 处以超过 2500 万美元的罚款，原因系该公司强迫 WhatsApp 用户同意与其他 Meta 平台全面共享数据。 该委员会指责WhatsApp 于2021 年 1 月更新的服务条款协议，该条款告知用户，他们的数据将与Meta的其他平台共享，以提升产品安全性、完整性并改善产品使用及广告推送体验。但用户面临的只有两种选择，要么接受，要么拒绝并无法使用应用。 对此，委员会表示，这一条款违反了印度2002年发布的“竞争法”当中的相关法规，是一种不公平竞争行为。此外，委员会还发现Meta 滥用其在消息应用和在线显示广告市场的主导地位，强迫 WhatsApp 现有用户同意其新的数据共享规则。 委员会最终裁定对Meta处以 21.314 亿卢比（约合2500万美元）的罚款，同时规定Meta在未来五年不得出于广告目的与其他 Meta 平台共享用户数据。出于其他目的收集数据，平台必须向用户详细说明此类数据共享的目的、与其他 Meta 平台共享的数据量，并将每种类型的数据与其相应的目的相关联。 委员会还明确表示，Meta必须让印度用户能够自由选择数据共享处理方式，有权拒绝并能随时修改相关选择。 Meta计划对这一裁决提起上述，称2021年1月的条款对用户来说完全是可选的。“2021 年的更新并没有改变人们个人信息隐私，而是作为当时用户的选择。此次更新是为了在 WhatsApp 上引入可选的业务功能，并进一步提高了我们如何收集和使用数据的透明度 ，”Meta表示。 对于涉及用户的不适当条款，Meta在欧盟已多次受罚。2021年，爱尔兰数据保护委员会对Meta处以 2.25 亿欧元的罚款，原因是该平台使用“强制同意”策略来处理用户数据，而没有为用户提供简单透明的方式选择是否要共享相关数据。 而就在刚过去不久的11月14日，欧盟委员会决定对Meta处以7.9772 亿欧元（约合 8.41 亿美元）的罚款，原因涉及在未事先获得用户是否同意的情况下，将在线分类广告服务 Facebook Marketplace 与个人社交网络Facebook集成。     转自Freebuf，原文链接：https://www.freebuf.com/news/415712.html 封面来源于网络，如有侵权请联系删除

随着Zero Day Quest黑客活动的启动，微软正在加强其漏洞悬赏计划。该活动的潜在奖励高达 400 万美元，主要用于推动云计算和人工智能等关键领域的研究。 活动重点 该活动邀请安全研究人员发现并报告微软人工智能和云赏金计划中具有重大影响的漏洞： AI、Microsoft Azure、Microsoft Identity、M365、Microsoft Dynamics 365 和 Power Platform。 “为了促进人工智能安全，我们将提供双倍的人工智能赏金奖励。我们还将为研究人员提供直接接触微软人工智能工程师（专注于开发安全的人工智能解决方案）和我们的人工智能红队（AI Red Team）的机会。微软安全响应中心（MSRC）工程副总裁汤姆-加拉格尔（Tom Gallagher）解释说：“这个机会将使参与者能够利用最先进的工具和技术提高自己的技能，并与微软合作提高整个生态系统的人工智能安全标准–让每个人都更安全。”他还邀请感兴趣的研究人员注册参加微软人工智能红队的培训课程。 一旦漏洞得到修复，我们将鼓励研究人员公开讨论他们的发现。微软表示，它将通过 “常见漏洞与暴露”（CVE）计划透明地分享云服务漏洞，即使这些漏洞不需要客户采取行动。 零日探索挑战 零日探索 “为参与者提供了两个独特的机会： 研究挑战： 这项挑战向所有人开放，邀请世界各地的研究人员通过发现和报告上述解决方案中的漏洞来展示他们的专业知识。研究挑战赛将从太平洋时间 2024 年 11 月 19 日上午 12:00 开始，持续到太平洋时间 2025 年 1 月 19 日晚上 11:59。 现场黑客活动： 这项仅限受邀者参加的活动将于 2025 年在华盛顿州雷德蒙德的微软园区举行，专为在 2024 年 Azure、Dynamics 和 Office 年度排行榜上排名前 10 位的微软研究人员准备。此外，还将根据参加公开研究挑战赛的实力邀请另外45名研究人员。     转自安全客，原文链接：https://www.anquanke.com/post/id/302015 封面来源于网络，如有侵权请联系删除

Perception Point 的最新发现揭露了一种先进的两步式网络钓鱼技术，该技术利用 Microsoft Visio 文件（.vsdx）和 SharePoint 发起极具欺骗性的凭证盗窃活动。 Microsoft Visio 文件传统上用于绘制流程图和网络地图等专业图表，但现在已被武器化。Perception Point 的报告显示：“在最近的网络钓鱼活动中，Visio 文件正被用来传递恶意 URL，在两步攻击路径中创建一个欺骗性传递点。” 这种方法利用了用户对 SharePoint 和 Microsoft Visio 等熟悉平台的信任。通过在被入侵的 SharePoint 账户托管的 .vsdx 文件中嵌入恶意 URL，攻击者可以绕过许多标准安全措施。 攻击分为两步，旨在逃避检测和利用用户行为： 第一步：诱惑 攻击者首先利用被攻破的电子邮件账户向目标发送网络钓鱼电子邮件。“这些电子邮件因其来源而看似合法，通常包含令人信服的叙述，如紧急商业提案或采购订单。”这些电子邮件可能包含一个链接或 .eml 文件附件，其中包含一个指向 SharePoint 托管的 Visio 文件的 URL。 第二步：陷阱 点击链接后，受害者会重定向到一个托管 Visio 文件的受攻击 SharePoint 页面。该文件包含一个嵌入式 “行动召唤 ”按钮，通常标注为 “查看文档”。受害者被指示按住 Ctrl 键并点击，这个简单的操作可以绕过自动安全系统。一旦点击，嵌入的 URL 就会将用户引导到一个伪造的 Microsoft 365 登录页面，该页面的目的是收集凭证。“该报告解释说：”与链接互动会将受害者重定向到一个冒充 Microsoft 365 的钓鱼页面。   这种网络钓鱼技术结合了复杂的技术和心理操纵。通过要求用户执行按住 Ctrl 键等手动操作，攻击者可以躲避自动电子邮件安全扫描仪和检测工具。此外，合法品牌（包括组织徽标）的使用也增加了恶意 Visio 文件的可信度。 Perception Point 的研究人员观察到，使用这种方法的攻击明显增加，目标是全球数百家组织。报告警告说，这些活动 “旨在逃避检测和利用用户的信任”，强调了在企业环境中保持警惕的重要性。     转自安全客，原文链接：https://www.anquanke.com/post/id/301944 封面来源于网络，如有侵权请联系删除  

据Cyber Security News消息，研究人员最近在高级人工智能图像生成模型中发现了一个潜在的安全漏洞，能够在无意中泄露敏感系统指令，尤其是在高级扩散模型 Recraft 中。 近来，以Stable Diffusion 和 Midjourney 为代表的图像生成模型在人工智能生成图像领域掀起了一场革命。Invicti 的安全研究人员称，Invicti 公司的安全研究人员发现，这些模型的工作原理是通过一种称为 “去噪 “的过程，将随机噪音逐渐细化为清晰的图片。 目前在文本到图片排行榜上处于领先地位的 Recraft 所展示的功能已经超越了典型的扩散模型。研究人员注意到，Recraft 可以完成图像生成模型通常无法完成的语言任务。 例如，当提示数学运算或地理问题时，Recraft 会生成包含正确答案的图像，而其他模型则不同，它们只是将文本可视化，而无法理解。 此外，进一步的调查还发现，Recraft 采用了两级架构： 大型语言模型 (LLM) 处理和改写用户提示信息，以及将处理后的提示传递给扩散模型。这种独特的方法使 Recraft 能够处理复杂的查询，并生成更准确、更能感知上下文的图像。 不过也带来了一个潜在的漏洞。 通过仔细实验，研究人员发现某些提示可以诱使系统泄露部分内部指令。 通过生成带有特定提示的多个图像，研究人员能够拼凑出用于指导大模型行为的系统提示片段。 一些泄露的说明包括：以 “法师风格 “或 “形象风格 “开始描述、提供物体和人物的详细描述、将说明转化为描述性句子、包括具体的构图细节、避免使用 “太阳 “或 “阳光 “等词语、必要时将非英语文本翻译成英语。 这种无意中泄露系统提示的行为引起了人们对人工智能模型的安全性和隐私性的极大关注。 如果恶意行为者能够提取敏感指令，他们就有可能操纵系统、绕过安全措施或深入了解专有的人工智能技术。 这一事件为 AI 开发人员和研究人员敲响了警钟，随着 AI 不断进步并更深入地融入我们生活的各个方面，确保这些系统的安全性和完整性变得至关重要。     转自Freebuf，原文链接：https://www.freebuf.com/news/415336.html 封面来源于网络，如有侵权请联系删除

微软已经确认，上个月的Windows安全更新正在破坏Windows 11 22H2和23H2系统上的SSH连接。 这个新确认的问题影响了企业、物联网(IoT)和教育客户，微软表示，只有“有限数量”的设备受到影响。 微软还在调查使用Windows 11家庭版或专业版的消费者客户是否受到影响。 “在安装2024年10月安全更新后，一些客户报告称OpenSSH（开放安全外壳）服务无法启动，阻止了SSH连接。”公司在10月补丁星期二KB5044285累积更新和KB5044380预览更新的支持文档更新中解释道。 “该服务失败时没有详细的日志记录，需要手动干预才能运行sshd.exe进程。” 在修复可用之前，受影响的客户仍然可以通过更新受影响目录上的访问控制列表(ACL)权限来临时修复这些SSH连接问题，具体步骤如下： 1. 以管理员身份打开PowerShell。 2. 更新“C:\ProgramData\ssh和C:\ProgramData\ssh\logs”文件夹的权限（并对“C:\ProgramData\ssh\logs”重复这些步骤），允许SYSTEM和管理员组完全控制权限，同时允许经过身份验证的用户读取权限。如果需要，你可以通过修改权限字符串来限制特定用户或组的读取权限。 3. 使用以下Powershell脚本更新权限： 微软正在积极寻找解决方案，该方案将通过即将到来的Windows更新推出。 11月9日，公司透露10月补丁星期二更新解决了影响Windows 11 24H2设备的指纹传感器冻结问题。 在指纹问题解决后，还删除了阻止受影响系统上Windows 11 24H2升级的安全防护。 上个月，微软修复了9月预览累积更新中的一个已知问题，该问题阻止一些应用程序在非管理员账户下启动在Windows 10 22H2系统上运行。 还解决了另一个问题，该问题导致安装了7月安全更新后，Windows服务器在企业网络中中断远程桌面连接。     转自E安全，原文链接：https://mp.weixin.qq.com/s/C_1CleTFPGiEOkdGNUe8og 封面来源于网络，如有侵权请联系删除

微软在即将推出的 Windows Server 版本中淘汰了老旧的点对点隧道协议 (PPTP) 和二层隧道协议 (L2TP)，从而在增强 VPN 安全性方面迈出了重要一步。虽然这些协议长期以来一直是 Windows VPN 的组成部分，但微软鼓励用户过渡到更现代、更安全的替代协议： 安全套接字隧道协议 (SSTP) 和 Internet 密钥交换版本 2 (IKEv2)。 微软在最近的一份声明中指出：“随着技术的发展，我们的安全协议也必须与时俱进。作为我们提供最高级别安全和性能的持续承诺的一部分，我们将在未来的 Windows Server 版本中淘汰 PPTP 和 L2TP 协议。” 值得注意的是，弃用并不意味着立即删除。 微软澄清说：“被弃用的功能将继续工作并得到全面支持，直到它们被正式移除。我们相信您已经将产品生命周期纳入了您的管理策略。即便如此，弃用通知也可以跨越几个月或几年的时间，以帮助您进行必要的过渡。” 此举并不令人意外，因为 PPTP 和 L2TP 存在安全漏洞已有时日。随着威胁环境的不断变化，这些协议已不再被认为足够强大，能够满足现代安全标准。 微软提倡采用 SSTP 和 IKEv2，理由是它们具有卓越的安全性、性能和可靠性。SSTP 利用 SSL/TLS 加密技术提供安全的通信通道，并能无缝穿越防火墙。IKEv2 拥有强大的加密算法、稳健的身份验证和更高的性能，因此特别适合移动用户。 虽然未来的 Windows Server 版本仍允许使用 PPTP 和 L2TP 进行 VPN 输出连接，但将不再支持基于这些协议的输入连接。这一变化旨在引导用户使用更安全的 VPN 配置。 为了促进平稳过渡，微软提供了有关如何安装和配置 SSTP/IKEv2 以实现 VPN 服务器功能的详细说明。 这一停用标志着 Windows Server VPN 功能的重大转变，它优先考虑安全性并鼓励采用现代协议。通过过渡到 SSTP 和 IKEv2，企业可以确保其网络通信在面对不断变化的网络威胁时保持安全、高效和可靠。     转自安全客，原文链接：https://www.anquanke.com/post/id/300842 封面来源于网络，如有侵权请联系删除

HashiCorp 发布了一份安全公告，披露了其 Vault 秘密管理平台中的一个漏洞，该漏洞可能允许攻击者将权限升级到高度敏感的根策略。 图片来源：安全客 该漏洞被追踪为 CVE-2024-9180，CVSSv3 得分为 7.2，源于 “Vault 内存实体缓存中条目处理不当”。公告解释说，拥有 “根命名空间身份端点写权限 ”的恶意行为者可以通过 Vault 节点上的身份 API 端点操作其缓存的实体记录，并有可能将其权限升级到该节点上的 Vault 根策略。 从本质上讲，这意味着攻击者可以利用这个漏洞获得对 Vault 实例的完全控制权，从而可能泄露敏感数据并中断关键操作。 幸运的是，这个漏洞的影响是有限的。HashiCorp 澄清说：“被操纵的实体记录不会在整个集群中传播，也不会持久化到存储后端，而且会在服务器重启时被清除。” 此外，该漏洞只影响根命名空间中的实体，不会影响标准命名空间或管理命名空间中的实体。由于 HCP Vault Dedicated 依赖于管理命名空间，因此也不会受到影响。 不过，HashiCorp 敦促所有 Vault 用户 评估与此问题相关的风险，并考虑升级 到已打补丁的版本。 以下版本提供了补救措施： Vault 社区版 1.18.0 Vault 企业版：1.18.0、1.17.7、1.16.11、1.15.16 作为升级的替代方案，HashiCorp 建议实施 Sentinel EGP 策略或修改默认策略，以限制对身份终端的访问。此外，监控 Vault 审计日志，查找 “identity_policy ”数组中包含 “root ”的条目，有助于发现潜在的利用企图。     转自安全客，原文链接：https://www.anquanke.com/post/id/300825 封面来源于网络，如有侵权请联系删除

比特币协议的流行替代实施方案 btcd 中的一个关键漏洞可能会让恶意行为者以最小的代价创建比特币区块链的硬分叉。 该漏洞被追踪为 CVE-2024-38365，CVSS 得分为 7.4，源于 btcd 验证传统比特币交易签名的方式中的一个错误。该缺陷于 2014 年引入，偏离了原始比特币代码库中定义的共识规则，可能导致创建的有效交易被易受攻击的 btcd 节点拒绝。 问题出在 btcd 对 removeOpcodeByData 函数的实现上，该函数负责在签名验证过程中重建签名信息。与比特币核心中的FindAndDelete函数不同，removeOpcodeByData只从脚本中删除与签名完全匹配的数据，而removeOpcodeByData则删除任何包含签名的数据推送，甚至包括额外的填充数据。 这种差异允许攻击者制作特殊脚本来利用这种行为。通过在数据推送中嵌入签名和额外数据，他们可以创建在比特币核心节点看来有效的交易，但却被易受攻击的 btcd 节点拒绝。 这个漏洞的影响非常大，因为攻击者可以利用它迫使易受攻击的 Btcd 节点进入分叉链，从而导致网络不稳定和交易处理问题。 “攻击者可以创建一个标准交易，其中 FindAndDelete 不会返回匹配结果，但 removeOpCodeByData 却会返回匹配结果，从而使 btcd 获得不同的 sighash，导致链分裂。重要的是，任何比特币用户都可以远程利用这个漏洞，而且不需要任何哈希能力。” CVE-2024-38365 漏洞由研究人员 Niklas 和 Antoine 发现并报告。btcd 开发团队已在 0.24.2 版本中解决了该问题。我们强烈建议所有用户将他们的 btcd 节点更新到最新版本，以防止潜在的漏洞利用。     转自安全客，原文链接：https://www.anquanke.com/post/id/300807 封面来源于网络，如有侵权请联系删除