Proofpoint 网络安全公司表示，一种现有的网络钓鱼工具正在绕过多因素身份验证（MFA）防御，这种工具已瞄准了数千名受害者。 这种被称为 EvilProxy 的网络钓鱼工具包越来越多地被攻击者用来攻击云中的目标，以便远程劫持它们。Proofpoint公司共发现有150多万名员工正成为攻击目标。 在这些攻击中，微软用户似乎首当其冲。3 月至 6 月间，Proofpoint 观察到全球数百家使用 Microsoft 365 的企业收到了约 12 万封钓鱼邮件。 Proofpoint表示：过去几年来，MFA在企业中的使用率有所上升，但与人们的预期相反，在拥有MFA保护的情况下，账户被接管的情况却有所增加。 Proofpoint还补充说，在过去一年里，被入侵的所有系统用户中，约有三分之一启用了MFA。这也表明，网络世界的攻防战正在不断升级。 不仅仅是无差别攻击 在攻击过程中一种方法尤其引起了 Proofpoint 的注意，即攻击者利用自动化技术当场确定被钓鱼的用户是否是高层管理人员，从而使他们能够将注意力集中在高级目标上，为他们打击组织提供更多的筹码。 这使网络犯罪分子能够立即加强对此类高价值账户的控制，从而有选择的投入时间和精力。 更麻烦的是，EvilProxy 等现成的工具包为这种服务提供了便利，它可以设置假域名和反向工程设施，并向潜在受害者发送钓鱼链接，最终使攻击者能够渗透到目标系统中。 Proofpoint 表示：攻击者抓住市场需求，开发出了 MFA 网络钓鱼即服务（PhaaS）。这使得即使技术能力不高的潜在网络钓鱼者也能通过付费购买各种在线服务的预配置工具包，如Gmail、微软、Dropbox、Facebook和Twitter等。     转自Freebuf，原文链接:https://www.freebuf.com/news/374377.html 封面来源于网络，如有侵权请联系删除

苏黎世联邦理工学院的研究人员发现了一种新型瞬态执行攻击，能在所有型号的 AMD Zen CPU上执行特定命令并泄露敏感数据。 瞬态执行攻击利用了CPU上的推测执行机制，该机制旨在让CPU处理比较费时的任务时预先设置下一步操作或结果，以此提高CPU性能。但问题在于这可能会留下可供攻击者观察或分析的痕迹，以检索本应受到保护的有价值数据。 研究人员将一种名为“幻影推测”的旧漏洞（CVE-2022-23825）与一种名为“瞬态执行训练”(TTE) 的新瞬态执行攻击相结合，创建了一种更强大的“初始” 攻击。“幻影推测”允许攻击者触发错误预测，在任意 XOR 指令处创建推测执行周期（瞬态窗口）；TTE 则是通过向分支预测器注入新的预测来操纵未来的错误预测，以此来创建可利用的推测执行。 该攻击所能利用的漏洞已被追踪为CVE-2023-20569，允许攻击者使CPU相信XOR指令（简单的二进制运算）是递归调用指令，进而导致攻击者控制的目标地址溢出返回堆栈缓冲区，从而允许攻击者从任何 AMD Zen CPU 上运行的非特权进程中泄露任意数据。 Inception逻辑图 通过此种 Inception攻击实现的数据泄露速率为每秒39 字节，窃取 16 个字符的密码大约需要半秒，窃取 RSA 密钥需要 6.5 秒。 如何防止 Inception 攻击？ 研究人员表示，所有基于 AMD Zen 的 Ryzen 和 EPYC CPU都容易受到 Phantom 和 Inception 的攻击。 尽管研究人员创建的概念验证旨在 Linux 上执行，但这些攻击可能适用于任何使用AMD CPU 的操作系统，因为这是一个硬件缺陷，而不是软件缺陷。 缓解这一问题的策略是在不信任上下文之间切换时，完全刷新分支预测器状态，但在较老的 Zen 1(+) 和 Zen 2 CPU 上会带来 93.1% 到 216.9% 的性能开销。对于 Zen 3 和 Zen 4 CPU，虽然最初缺乏对此缓解策略的足够硬件支持，但 AMD 此后发布了微代码更新以启用此功能，建议基于 Zen 的 AMD 处理器的用户安装最新的微代码更新。 此外，AMD最新表示，Inception只能在本地被利用，例如通过下载恶意软件，并建议客户采用安全最佳实践，包括运行最新的软件和恶意软件检测工具。目前AMD 尚未发现研究环境之外对Inception有任何利用。     转自Freebuf，原文链接:https://www.freebuf.com/news/374277.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 1999年推出的Microsoft Active Directory是Windows网络中的默认身份和访问管理服务，负责为所有网络端点分配和执行安全策略。有了它，用户可以跨网络访问各种资源。随着时间的推移，事情往往会发生变化。几年前，微软推出了Azure Active Directory，这是基于云的AD版本，用以扩展AD范例，为组织提供跨云和本地应用程序的身份即服务(IDaaS)解决方案。(请注意，截至2023年7月11日，该服务已更名为Microsoft Entra ID，但为了简单起见，我们将在本文中将其称为Azure AD)。 Active Directory和Azure AD对于本地、基于云和混合生态系统的功能至关重要，也在正常运行时间和业务连续性方面发挥着关键作用。随着90%的组织使用该服务进行员工身份验证、访问控制和ID管理，它已成为打开网络城堡的钥匙。 Active Directory，不太妙 作为系统的中心，Active Directory的安全态势却十分可悲。 让我们快速浏览一下Active Directory的用户分配方式，这将揭示为什么这个工具存在我们所说的问题。 Active Directory所做的核心工作是建立具有与之关联的角色和授权的组。用户被分配一个用户名和密码，然后链接到他们的Active Directory帐户对象。使用轻量级目录访问协议，验证密码是否正确，并验证用户组。一般情况下，用户被分配到Domain User组，并被授予对域用户具有访问权限的对象的访问权限。然后是管理员——这些用户被分配到域管理员组。这个组具有很高的特权，因此被授权在网络中执行任何操作。 有了这些潜在的强大功能，确保以最佳方式管理和配置Active Directory是非常关键的。遗漏的补丁、糟糕的访问管理和错误的配置等问题可能会让攻击者访问最敏感的系统，这可能会带来可怕的后果。 在2022年，我们的内部研究发现，73%用于破坏关键资产的顶级攻击技术涉及管理不善或窃取凭证，而组织中超过一半的攻击包括一些Active Directory破坏元素。一旦他们在Active Directory中站稳脚跟，攻击者就可以执行大量不同的恶意操作，例如: 在网络中隐藏活动 执行恶意代码 提升权限 进入云环境危及关键资产 关键是，如果您不知道Active Directory中发生了什么，如果您缺乏适当的流程和安全控制，您可能会向攻击者敞开大门。 Active Directory攻击路径 从攻击者的角度来看，Active Directory是进行横向移动的绝佳机会，因为获得初始访问权限使他们可以利用错误配置或过度的权限，从低特权用户转移到更有价值的目标，甚至完全接管。 现在让我们来分析一下3种实际的Active Directory攻击路径，看看攻击者是如何通过这种环境的。 以下是我们在一个客户环境中遇到的攻击路径: 该组织致力于加强其安全态势，但Active Directory是一个盲点。在这种情况下，域中所有经过身份验证的用户(实际上是任何用户)都意外地获得了重置密码的权限。因此，如果攻击者通过网络钓鱼或其他社会工程技术接管了一个Active Directory用户，他们就可以为其他用户重置任何密码，并接管域内的任何帐户。一旦他们看到了这一点，他们终于明白他们的Active Directory安全方法需要升级，所以他们锁定并加强了他们的安全实践。 以下来自我们另一个客户的Active Directory： 我们通过身份验证用户组发现了攻击路径。该用户组可以将GPO策略的gPCFileSysPath更改为具有恶意策略的路径。 受影响的对象之一是AD用户容器，其子对象是属于Domain Admin组的用户。域内的任何用户都可以获得域管理权限——他们所需要的只是一个非特权用户成为网络钓鱼电子邮件的牺牲品，从而危及整个域。这可能会导致他们的系统完全妥协。 下面是更多案例： 首先，攻击者通过网络钓鱼邮件渗透企业环境，当打开这些邮件时，攻击者会使用未打补丁的机器漏洞执行代码。下一步是通过凭据转储技术利用受感染的Active Directory用户本地和域凭据。然后攻击者有权限将自己添加到一个组中，这样他们就可以将受感染的Active Directory用户添加到Active Directory帮助台组中。 帮助台组具有重置其他用户密码的Active Directory权限，在这个阶段，攻击者可以将密码重置为另一个用户的密码，最好是一个旧的、不再使用的admin用户。由于他们是管理员，他们就可以在网络中执行许多有害的活动，例如通过向Active Directory中的其他用户添加脚本登录来运行恶意代码。 这些只是攻击者在活动Active Directory中使用的一些相对简单的方法。通过了解这些实际的攻击路径，组织可以开始从攻击者的角度来看他们的Active Directory和AD Azure环境是什么样子。 结论 查看攻击路径可以帮助加固这些潜在的棘手环境。通过全面了解跨本地和云环境的Active Directory中存在的攻击路径，组织可以了解攻击者如何基于上下文理解其环境进行横向移动的；了解黑客是如何攻击和冒充用户、提升特权和获得对云环境的访问权的。 了解了这一点，组织就可以优先考虑真正需要修复的内容，并加强环境，以防止攻击者利用Active Directory的弱点。     消息来源：thehackernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

云取证和事件响应解决方案供应商CadoSecurity近日发布了2023年云威胁调查报告，揭示了随着云服务的广泛采用而不断升级的网络攻击风险。 该报告的主要发现如下： 僵尸网络代理在恶意软件领域占据主导地位，占所有流量的40.3%，在俄乌战争中由黑客驱动的DDoS攻击中发挥着重要作用。 SSH（安全外壳协议）仍然是最具针对性的服务，占观察样本的68.2%。Redis紧随其后，为27.6%，而Log4Shell漏洞的利用则下降至仅4.3%。 高达97.5%的机会主义攻击者针对单个特定服务中的漏洞，这表明攻击者专注于利用已知的漏洞。 值得注意的是，上个月，诺基亚也发布了2023年威胁情报报告。在这份报告中，诺基亚警告称物联网僵尸网络驱动的DDoS攻击威胁正日益增加，特别是针对全球电信网络。 此外，该报告还强调了恶意活动的激增，这一现象最初是在俄乌战争期间观察到的，但现在已蔓延到全球各个地区。 展望未来，Cado安全实验室预测：无服务器功能攻击、勒索软件团体开发的非Windows勒索软件以及持续利用云服务进行网络钓鱼和垃圾邮件活动将会增加。 为了缓解这些迫在眉睫的威胁，安全专家建议企业深入了解云计算安全责任共享模型，限制对关键凭据的访问，最大限度地减少Docker和Redis等服务的暴露，审查公共存储库的云凭证，并实施最小特权原则。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/xoyTJovFq6qPSpd7qUyh_Q 封面来源于网络，如有侵权请联系删除

根据EndorLabs的数据，开源在AI技术堆栈中发挥着越来越重要的作用，但大多数项目(52%)引用了存在已知漏洞的易受攻击的依赖项。 EndorLabs在最新的《软件依赖管理状态报告》声称，在发布仅五个月后，ChatGPT的API就被超过900个npm和PyPI软件包调用，其中70%是全新的软件包。 然而，EndorLabs警告说，任何开源项目，都必须重视和管理与易受攻击的依赖项相关的安全风险。 OstermanResearch首席分析师MichaelSampson表示：“EndorLabs的这份报告证明了风光无限的人工智能技术的安全性并未跟上其发展步伐。” 不幸的是，企业不仅低估了开源依赖项中人工智能API的风险，而且还低估了安全敏感API的风险。 报告称，超过一半(55%)的应用程序在其代码库中调用了安全敏感API，如果包含依赖项，这一比例将上升至95%。 EndorLabs还警告说，ChatGPT等大型语言模型(LLM)技术在对可疑代码片段的恶意软件潜力进行评分方面表现不佳。结果发现，OpenAIGPT3.5的准确率仅为3.4%，而VertexAItext-bison的表现也好不到哪里去，为7.9%。 “这两种模型都会产生大量误报，这需要手动审查工作，并阻止自动通知相应的程序包存储库以触发程序包删除。也就是说，模型似乎确实正在改进，”报告指出。 “这些发现说明，目前将大语言模型用于安全敏感用例的难度很大。大语言模型肯定可以帮助人工审核人员，但即使评估准确率可以提高到95%甚至99%，也不足以实现自主决策。” 报告指出，开发人员可能会花费大量时间修复代码中的漏洞，而这些（依赖项的）漏洞甚至没有在他们的应用程序中使用。 报告声称，71%的典型Java应用程序代码来自开源组件，但应用程序仅使用了这些软件包中的12%的代码。 “未使用的代码中的漏洞很少可被利用；如果能了解整个应用程序中哪些代码是可访问的，企业可以消除或调低高达60%的修复工作的优先级。”报告指出。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/bQc8l22_NouJX2-7onZQ0g 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 方便的广告拦截器、价格跟踪器或拼写检查扩展可能正显著危及你的在线安全。网络安全公司Veriti的联合创始人奥伦•科伦(Oren Koren)建议用户删除所有Chrome扩展。他并不是唯一一个这样做的人，另外四位网络安全研究人员也有类似的看法。 据cybernews消息，他们最近使用了在线工具crxcavator.io用于分析Chrome扩展，并注意到几乎所有流行的扩展都使用了一个被认为是“关键”风险的“chrome.webRequest”API。这意味着什么，用户应该担心吗? Koren的答案是:“你给了他们访问权限，所以他们可以看到一切。” 扩展程序比你设备上的许多常规应用程序拥有更多的功能。这意味着电脑上的文件可能无法躲过间谍的眼睛。 供应链很脆弱 Koren介绍，即使是被认为是安全的扩展，也可能因为整个供应链的薄弱环节而存在风险。数以百万计的用户可能会使用这个扩展，若其供应链中的任何环节出现问题，用户也将受到影响。 “现在每个人都在使用广告拦截扩展，它大量使用了webRequest功能。这个功能允许它拦截五种类型的数据，”Koren说。 http:// – 浏览数据被截获的风险; https:// – 加密浏览数据被拦截的风险; ftp:// – 暴露登录凭据和未授权文件访问的风险(FTP服务器的目录列表，在登录阶段传递的用户名和密码，跟踪和下载文件的能力); file:// – 泄露敏感本地文件或内部资源(只有所有者拥有的特定内部或外部文件路径)的风险; ws:// – 可能危及组织内容的web服务的风险 基本上，你的广告拦截器可以检查你通过网络发送的所有内容，例如收集FTP密码、获得完整的文件列表，并跟踪下载。 Breachsense的创始人兼首席执行官乔希·阿米沙夫(Josh Amishav)补充说，允许扩展访问“chrome.webRequest”API有很高的风险，因为它允许扩展在发送或接收web请求之前拦截、阻止、修改或重定向web请求。 扩展可以利用这一点来修改web请求和响应，允许他们向网站注入恶意内容，并收集敏感的用户数据，如登录凭据、浏览习惯和其他个人信息。 开发商可能没有恶意，但它们的扩展可以被黑客攻击，正如应用程序一样。一个流行的应用程序，CCleaner曾经遭受攻击，使其用户暴露在危险中。漏洞也可能在开发人员的软件框架中被发现，例如Electron。 “如果你通过供应链获得访问权限，你可能会获得不应该从外部访问的用户敏感文件。你实际上收集了所有的内部url，还能访问HTTP、FTP、客户数据或内部文件”Koren解释道。 许多恶意的扩展已经被创建，其中最危险的是侧负载扩展。 网络安全公司SlashNext的首席执行官帕特里克•哈尔警告称，官方扩展商店里潜伏着成千上万的恶意浏览器扩展，这让用户产生了一种虚假的安全感，他们以为所有这些可用的扩展都经过了仔细审查，被认为是安全的。 “这就像从Google Play下载应用程序一样。想想看，Google Play中有多少恶意应用程序?很多。因为这需要时间来分析。” 包括谷歌在内的许多企业都有收集用户数据的动机。 网络罪犯的终极目标——部署勒索软件 根据Harr的说法，最广泛的零时攻击发生在浏览器中。恶意url和漏洞利用通常会逃避安全解决方案，从而导致业务中断、财务损失和客户信任破坏。 “在当前的威胁形势下，恶意浏览器扩展非常普遍，尤其是作为部署勒索软件的工具。我们通常认为勒索软件是从网络钓鱼电子邮件开始的，这当然是一个主要的起源点，但攻击者也擅长利用恶意浏览器扩展来窃取用户凭证，这是他们完成最终目标的第一步，”Harr说。 Moonlock恶意软件实验室的工程经理Oleksii Yasynskyi表示，chrome.webRequest的API可以注入病毒或引导用户进入网络钓鱼页面。一些扩展还可以跟踪用户活动，并用于间谍活动，收集个人数据。 Yasynskyi警告说:“潜在的后果包括个人信息被盗、经济损失、系统损坏和安全隐患。” 删除扩展，保护隐私 “第一步是不允许扩展从我们这里获得任何内容。我知道这是一件非常困难的事情。”Koren建议使用安全的浏览工具，确保即使是偶尔浏览，也要启用防病毒软件和防火墙。 如果你真的想要使用你的广告拦截器、翻译、一些奇怪的GPT附加组件或价格跟踪器，确保它来自信誉良好的开发商，并验证它收集的数据。 如果浏览器突然显示大量广告，这可能是恶意浏览器扩展的第一个迹象。“如果一个扩展请求过多或不必要的权限，并与它的预期功能无关，最好避免它。最后，定期更新所有已安装的扩展，以确保您拥有最新的安全补丁和错误修复，”Amishav总结道。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。 上周六，Minecraft安全社区MMPA的研究人员在一篇博客中提醒游戏用户，《Minecraft》游戏的部分1.7.10/1.12.2模组中存在一个已被多次利用的重大安全漏洞，该漏洞允许黑客在游戏服务器上运行恶意命令并危及游戏玩家设备安全。 据了解，微软旗下的热门游戏《Minecraft》是有史以来销量最高的视频游戏，已售出超过2.38亿份，每月活跃玩家接近1.4亿。MMPA称，BleedingPipe漏洞允许黑客在玩家设备和运行Minecraft模组的服务器上执行完整的远程代码。 根据MMPA的说法，热门模组平台Forge使用了不安全的反序列化代码（反序列化是将复杂数据从序列化格式转换回其原始形式的过程，能够方便存储或传输。如果实施不慎，可被攻击者利用并实现远程代码执行），BleedingPipe漏洞已经被多次利用，该平台上的许多Minecraft模组都受到了影响（数量超过三十个）。已知受影响的模组包括但不限于以下几个：EnderCore（EnderIO的前置模组）、LogisticsPipes、BDLib（1.7-1.12版本）、Smart Moving 1.12、Brazier、DankNull和Gadomancy。并且，只要安装了受影响的模组，任何Minecraft版本都可能受到此漏洞的影响。 这个Minecraft漏洞最早是在2022年3月被发现。当时mod开发团队GTNH为此发布了一个修复补丁。然而，7月初，一位名为Yoyoyopo5的Minecraft玩家在一个带有Forge模组的公共服务器上进行直播时，攻击者利用BleedingPipe漏洞获取了对所有连接玩家设备的控制权并执行了代码。Yoyoyopo5在其帖子中报告了这一事件，称黑客利用这个访问权限从Discord和Steam中窃取了会话cookie。 在最初的报告之后，研究人员发现黑客对IPv4地址空间上的所有Minecraft服务器进行了扫描，并在受影响的服务器上部署了恶意载荷。为降低安全风险，MMPA给出了如下建议： 对于服务器管理员：建议检查服务器中的可疑文件，并更新/删除受此漏洞影响的模组。由于恶意软件通常会感染系统上的其他模组，因此建议在所有已安装的模组上运行jSus或jNeedle之类的程序。 对于玩家：如果游戏玩家不在服务器上游玩游戏，则不受影响。否则建议检查可疑文件，运行杀毒软件进行防病毒扫描。     转自安全内参，原文链接:https://www.secrss.com/articles/57334 封面来源于网络，如有侵权请联系删除

佳能警告家用、办公室和大幅面喷墨打印机的用户，在丢弃喷墨打印机时要注意其存在一定的Wi-Fi安全风险。 因为他们存储在设备内存中的Wi-Fi连接设置不会被清除，而在初始化过程中，这些设置应该被清除，从而允许其他人访问数据。 一旦维修技术人员、临时用户或设备的未来买家提取打印机内存，获得您的Wi-FI网络的连接细节，极可能给用户带来安全和隐私风险。 佳能打印机中存储的具体信息因型号和配置而异，但通常包括网络SSID、密码、网络类型(WPA3、WEP等)、分配的IP地址、MAC地址和网络配置文件。 一旦这些敏感的 Wi-Fi 连接信息暴露，极有可能会帮助第三方在未经授权的情况下恶意访问打印机连接的佳能打印机用户网络。 攻击者可以借助该信息访问共享资源、窃取数据或利用其他漏洞发起其他侵犯隐私的攻击。 佳能有多款打印机都存在这个问题，包括 E、G、GX、iB、iP、MB、MG、MX、PRO、TR、TS 和 XK 系列中的 196 种喷墨、商务喷墨和大幅面喷射打印机型号。 供应商发布了一份单独的文件，以帮助用户检查数据保留问题是否影响到他们的打印机型号。 佳能建议受影响打印机的所有者在第三方访问打印机之前，预先清除其 Wi-FI 设置，比如在维修设备或将其赠送/出售给他人时。 安全公告提供了以下有关清除 Wi-FI 设置的说明： 重置所有设置（重置设置 -> 全部重置） 启用无线局域网 再次重置所有设置 对于设置菜单中没有 “全部重置 “功能的机型，建议用户按照以下步骤进行操作： 重置局域网设置 启用无线局域网 再次重置局域网设置 如果这些说明不适用于您的打印机型号，佳能建议您参阅设备附带的操作手册。     转自Freebuf，原文链接：https://www.freebuf.com/news/373528.html 封面来源于网络，如有侵权请联系删除

苹果公司宣布，从今年秋开始，开发者提交的App若需要调用某些API，需要在提交之前给出详细的调用理由，以确保开发人员不会滥用 API 进行用户的指纹识别。 苹果表示，有一小部分 API 可能被滥用，通过指纹识别收集有关用户设备的数据，这是我们的开发者计划许可协议所禁止的。 该项措施旨在保证应用程序遵守“必要原因使用API”的规定，开发人员必须选择一个或多个与其应用程序的 API 使用情况准确一致的调用理由，且仅限于在所选定的范围内调用API。目前苹果已经将Apple Developer 网站上的将部分 API 标记为“Required Reason APIs”（需提供调用理由的API）。 此外，从2024年春季开始，开发人员还必须在应用程序的隐私清单中包含经批准的API调用原因，才能上传新应用程序或应用程序更新。 但苹果也表示，若一些API有调用的确切必要性，但未被列入能够获批的范围内，需要开发人员提供用例，来证明用户能够从中获益。 近一年来苹果在加强系统及应用安全性上采取了不少措施。自iOS16发布以来，苹果带来了新的iPhone 用户安全和隐私的功能，包括锁定模式和安全检查功能。锁定模式旨在保护一些特定群体免受罕见和高度复杂的网络攻击；安全检查功能旨在为那些人身安全受到直接威胁的人提供了一个账户安全和隐私权限的紧急重置选项，切断他们与攻击者的联系。     转自Freebuf，原文链接：https://www.freebuf.com/news/373444.html 封面来源于网络，如有侵权请联系删除

近日，谷歌发布了年度零日漏洞报告，展示了 2022 年的野外漏洞统计数据，并强调了 Android 平台中长期存在的问题，该问题在很长一段时间内提高了已披露漏洞的价值和使用。 更具体地说，谷歌的报告强调了安卓系统中的 “N-days “问题，该问题源于安卓生态系统的复杂性，涉及上游供应商（谷歌）和下游制造商（手机制造商）之间的多个环节。致使不同设备型号之间的安全更新时间存在重大差异，即对于威胁行为者来说，”N-days “就是 “0-days”。 “0-day漏洞”（又称零日漏洞），通常就是指还没有补丁的安全漏洞，也就是已经被少数人发现的，但还没被传播开来，官方还未修复的漏洞。 当“0-day漏洞”被发现并公开后，没有补丁的一段时间内（通常时间会很短），根据习惯这个漏洞会被称为1-day漏洞。当厂商提供了修复补丁，但是漏洞仍然还在被利用时，我们一般会称呼这个漏洞为N-day漏洞。 谷歌在报告中表示，尽管谷歌或其他厂商已经提供了补丁，但攻击者仍可以利用该漏洞。因为即使谷歌或其他厂商修复了漏洞，但下游的设备制造商仍需要几个月的时间才能在自己的安卓版本中推出。 因此，上游厂商和下游厂商之间补丁的间隔使得N-days（公开已知的漏洞）可以像0-days一样，因为用户无法随时获得补丁，他们唯一的办法就是停止使用设备。 N-days 与 0-days 同样危险 2022 年，诸如此类的问题对安卓系统造成了很大的影响，其中最著名的是 CVE-2022-38181，这是 ARM Mali GPU 中的一个漏洞。该漏洞于 2022 年 7 月报告给安卓安全团队，被认定为 “无法修复”，2022 年 10 月被 ARM 修补，最后被纳入安卓 2023 年 4 月的安全更新中。 2022 年 11 月，即 ARM 发布修补程序一个月后，该漏洞在野外被发现。 直到 2023 年 4 月，Android 安全更新推送修复程序时，对该漏洞的利用仍有增无减，这距离 ARM 解决该安全问题足足过去了 6 个月。 CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞，该漏洞已于 2022 年 6 月得到修补，但基于早期 Chrome 版本的供应商浏览器（如三星的 “互联网浏览器”）仍未得到解决。 CVE-2022-22706：ARM Mali GPU 内核驱动程序中的漏洞，供应商已于 2022 年 1 月修补了该漏洞。 这两个漏洞于 2022 年 12 月被发现利用，是三星安卓设备感染间谍软件的攻击链的一部分。 三星于 2023 年 5 月发布了针对 CVE-2022-22706 的安全更新，而安卓安全更新则在 2023 年 6 月的安全更新中采用了 ARM 的修复程序，延迟时间长达 17 个月之久。 即使谷歌发布了安卓安全更新，设备供应商也需要长达三个月的时间才能为支持的机型提供修补程序，这就给攻击者提供了针对特定设备攻击的机会。 这种补丁间隙实际上使 “N-day “与 “0-day “具有同等威胁，威胁者可以在未打补丁的设备上利用 “N-day”。相比于0日漏洞N-day可能威胁会更大，因为其技术细节已经公布，可能还有概念验证（PoC）漏洞，使威胁者更容易滥用它们。 好消息是，谷歌 2022 年的活动总结显示，零日漏洞与 2021 年相比有所下降，发现了 41 个，而浏览器类别的下降幅度最大，发现了 15 个漏洞（2021 年为 26 个）。 另一个值得注意的发现是，在 2022 年发现的零日漏洞中，有 40% 以上是以前报告过的漏洞的变种，因为绕过已知漏洞的修复程序通常，比找到一个新型零日漏洞要容易得多。     转自Freebuf，原文链接：https://www.freebuf.com/news/373462.html 封面来源于网络，如有侵权请联系删除