The Hacker News 网站披露，继奥地利、法国和意大利之后，瑞典数据保护监督机构警告境内公司不要使用 Google Analytics，原因是美国政府的监控可能带来安全风险。 针对 Google Analytics 发布安全警告，是在瑞典隐私保护局（IMY）对四家公司 CDON，Coop，Dagens Industri和Tele2 发起审计后做出的决定。 审计过程中，IMY 认为通过 Google Analytics 传输到美国的数据是瑞典民众的个人数据，这些数据可以与传输的其它“独特”数据关联起来。 谷歌对发送到美国进行处理的欧洲用户数据采取的所谓补充措施不足以将保护水平提高到所需的法律标准。包括谷歌使用IP地址截断（匿名化措施），在 Tele2 案件中，谷歌表示该公司没有澄清截断是在数据传输到美国之前还是之后进行的，因此未能证明“在最后八位字节被截断之前无法访问整个 IP 地址”。 IMY 当局还指出，这几家公司采取的安全技术措施不足以满足与欧盟/欧洲经济区内要求的保护水准。 瑞典勒令相关公司禁止使用 Google Analytics 最终，数据保护机构还对瑞典电信服务提供商 Tele2 处以 110 万美元的罚款，对当地在线市场 CDON 的处以 3 万美元的罚款。值得一提的是，目前瑞典当局已经勒令 CDON、Coop 和 Dagens Industri 停止使用 Google Analytics 。（据说 Tele2 是自愿停止使用该服务） 从案件细节来看，此次针对 Google Analytics 的调查是基于隐私非营利组织（noyb）提出的投诉，指控其违反了《通用数据保护条例》（GDPR）法律。案件处理的进程鉴于潜在的监控担忧，即存储在美国服务器中的数据可能会被该国情报机构访问，这种欧盟和美国的数据传输被发现是非法的。 早在之前，欧盟方便就已经表现出对美国是否侵犯其民众安全隐私的担忧，类似 Meta 被欧盟数据保护机构处以创纪录的 13 亿美元罚款，就是很好的证明。目前，欧盟和美国正在敲定一项新的数据传输安排，称为“欧盟-美国数据隐私框架”。     转自 Freebuf，原文链接：https://www.freebuf.com/news/371152.html 封面来源于网络，如有侵权请联系删除

昨天，Apple 加入了约 80 个组织和行业专家的行列，这些组织和行业专家已提交声明，批评拟议的英国《在线安全法案》，该法案将通过强制平台根据政府要求查看通信的能力，从本质上终止真正安全的加密消息传递。此前，苹果公司对这一法案表示了公开反对。苹果公司认为，任何削弱端到端加密的做法都会让所有用户面临安全风险。   苹果公司发表声明称，加密消息对于隐私和在线安全至关重要，特别是对于可能成为专制政府目标的群体而言。这一立场是苹果公司持续转变的一部分，该公司曾独立提议在 2021 年为 iPhone 添加非常类似的功能（同样以扫描儿童性虐待材料为理由），但公众强烈反对促使其改变计划。   英国政府一直在推动备受争议的《在线安全法案》，因为该法案对于保护儿童至关重要。如果获得通过，该法案将授权电信监管机构通信办公室 (Ofcom) 指示加密消息平台扫描受调查人员的私人消息，对不遵守规定的人处以最高年营业额 10% 的罚款。   政府声称这对常规加密消息不会构成威胁，Ofcom 只会在“最后手段”和“严格的隐私保护措施”的情况下才会提出这些请求。但唯一可行的技术实现是客户端扫描方法，强制安装到每部手机和设备上并安装任何这些应用程序。这样，用户就永远无法确定公司是否有人拦截了他们的私人消息，而且这还会为黑客试图利用的潜在安全漏洞创造一个巨大的漏洞。   此前2021年8月，苹果公司就自己提出了这样一个客户端扫描计划，尽管它的范围更为有限。苹果希望扫描上传到 iCloud 的所有照片，以查找儿童性虐待的标记。在对该想法被进行了几周的严厉批评后，苹果公司宣布无限期暂停，并于 2022 年 12 月正式撤销。苹果公司针对这种性质的滥用材料采取的新计划是“通信安全”功能，该功能也是在 2022 年 12 月推出的。十二月。这些控件可在家庭 iCloud 帐户中使用，如果在本地设备上检测到儿童虐待材料或使用这些材料的人搜索到儿童虐待材料，它们将向用户发出警告。该系统还可以检测未成年人是否发送或接收包含裸露的图像。   苹果在声明中使用了强硬的语气，但没有承诺如果《在线安全法案》通过，将从英国撤出任何业务，也没有拒绝遵守新法律（加密消息应用程序 Signal 和 Whataspp 就是如此）。印度最近也出现了类似的情况，印度政府禁止任何不允许根据要求检查流量的VPN 服务；迄今为止，市场上主要参与者的反应是完全将其业务从该国撤出，并为这些客户提供位于另一个国家的 VPN，并分配了印度 IP 地址。   目前，《在线安全法案》已获得下议院批准，预计很快将在上议院获得批准，但在通过之前还需返回下议院批准任何修正案。观察家确实预计在这一过程完成之前将会有进一步的修订，尽管它可能会在今年某个时候以某种形式通过。   加密消息的命运是修正案提案预计要解决的主要问题之一，尽管客户端扫描授权的命运仍然悬而未决。开放权利组织是目前在线安全法案的反对者，它建议可以通过排除私人消息应用程序（默认情况下启用端到端加密的应用程序）来修复该法案，以保护加密消息的隐私和安全。   部分批评者还指出，在线虐待儿童团伙经常被标准的警方调查工作所瓦解，这些调查工作不涉及渗透加密的消息应用程序，即使它们基于暗网并使用 Tor 和加密货币支付等额外的安全层。苹果公司的声明还指出，人权活动家、记者和举报人极其依赖已知的安全端到端加密通信。   Vaultree首席执行官兼联合创始人 Ryan Lasmaili指出，该法案缺乏关键的平衡。他说：“随着在线安全法案的进展，认识到加密的重要作用至关重要防止监视、身份盗窃、欺诈和数据泄露。随着《在线安全法案》逐步成为法律，我们敦促政策制定者考虑加密技术受损的长期影响。在维护网络安全和尊重个人和企业的隐私和安全需求之间取得平衡至关重要。我们可以共同打造一个数据保持加密、隐私得到保护、创新蓬勃发展的未来。”     转自E安全，原文链接：https://mp.weixin.qq.com/s/jZxAM6-H0ufeFAj7j_moDw 封面来源于网络，如有侵权请联系删除

根据攻击性安全公司Bishop Fox的最新报告，虽然Fortinet已经发布安全更新一个多月，但仍有数十万个FortiGate防火墙的严重漏洞（CVE-2023-27997）未得到修补。 该漏洞是一个远程代码执行漏洞，严重性评分高达9.8分，是由FortiOS中堆栈缓冲区溢出问题造成的。FortiOS是连接所有Fortinet网络组件并将其集成到Security Fabric平台中的操作系统。 漏洞CVE-2023-27997可被利用，允许未经身份验证的攻击者通过在网络上公开的SSL VPN接口在易受攻击的设备上远程执行代码。在6月中旬的一份公告中，Fortinet曾警告称，该漏洞可能已在攻击中被利用。 Fortinet于6月11日解决了该漏洞，然后公开披露，并发布了FortiOS固件版本6.0.17、6.2.15、6.4.13、7.0.12和7.2.5。 Bishop Fox上周五报告称，尽管安全专家呼吁尽快修复漏洞，但仍有超过30万台FortiGate防火墙设备容易受到攻击，并且可以通过公共互联网进行访问。 Bishop Fox研究人员使用Shodan搜索引擎通过搜索返回的特定HTTP响应标头来查找SSL VPN接口暴露的设备。 研究人员查询了489,337个设备，发现并非所有设备都容易受到CVE-2023-27997漏洞（也称为Xortigate）的攻击。经过进一步调查，研究人员发现，所发现的设备中有153,414台已更新为安全的FortiOS版本。 Bishop Fox研究人员表示，这意味着可通过网络访问的FortiGate防火墙中约有33.6万台容易受到攻击，这一数字明显高于此前的查询统计（约25万个）。 Bishop Fox研究人员还发现，许多暴露的FortiGate设备在过去八年里都没有收到更新，其中一些运行的是FortiOS 6，该版本已于去年9月29日终止技术支持。 这些设备容易受到多个严重漏洞的影响，且这些漏洞的PoC都已经公开。     转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/JkItgi93tJ-8xtSORWQJBQ 封面来源于网络，如有侵权请联系删除

据BleepingComputer消息，推特虚假机器人账户泛滥的问题不仅还未得到解决，其中传播色情信息的机器人账户近期反而严重泛滥。 在安全研究小组MalwareHunterTeam最近的一项调查研究中曝光了多个传播虚假消息的机器人账户，它们为真实用户发出的帖子进行大量点赞，其目的是吸引用户点击查看它们帐户的个人资料，利用其中的链接将用户引诱至色情内容网站。 MalwareHunterTeam 揭露的部分色情机器人账户 美国记者Chris Geidner表示，在自己的推文仅仅发布几分钟后，他就收到了来自色情机器人的回复。英国 IT 专业人士 Mikel Garcia发布了多个垃圾邮件机器人的屏幕截图，这些机器人通过发送私信推销各种虚假“诱惑”，包括一些意味不明的“兼职工作”。 来自垃圾邮件机器人的回复 来自机器人账户的私信 尽管马斯克在去年收购推特时曾表示“我们将击败垃圾机器人，否则就死定了！”，但目前该平台仍未实施任何有效的措施进行遏制，以至现在如同“打地鼠”一般，封禁一批，立马又会冒出另一批。 就在7月1日，马斯克表示将限制用户每天可以浏览的推文数量，并将对验证用户与非验证用户设定不同的浏览限额，以减少“极端程度的数据抓取”和“系统操纵”，目前尚不清楚这样做也是为了应对这些虚假机器人账户泛滥的问题。 马斯克在正式入主推特后不久，就推出了全新的Twitter Blue付费订阅服务，旨在功能和安全性上给用户给予更多支持和保障，但威胁行为者已多次滥用 Twitter Blue 验证帐户来推行加密诈骗，早已违背了该服务验证的初衷。 BleepingComputer评论道：“如果不实施简化流程来阻止虚假帐户和机器人，Twitter 现有的垃圾邮件问题将继续存在。”     转自 Freebuf，原文链接：https://www.freebuf.com/news/370910.html 封面来源于网络，如有侵权请联系删除

Brave团队近日宣布，以隐私为中心的浏览器将引入新的限制控制，允许用户指定站点访问本地网络资源的时间。 本地托管的资源包括你设备上的网络程序需要或使用的图像或文件，其他本地资源包括对你网络上的设备访问，如NAS实例、本地托管服务器、共享网络打印机文件、共享网络设备/计算机数据等。 网站和本地网络程序请求访问本地资源，是为了便于收集用户机器上运行的软件信息，这个操作很常见。 Brave方面表示，虽然这十分令人惊讶，但大多数浏览器都允许网站访问这些本地资源，就像它们访问网络上的其他资源一样容易。而且至少从2020年起，这种做法就被已经被记录在eBay、花旗银行、Chick-fil-A等网站上，作为相关网站上使用的反欺诈脚本的一部分。 Ebay过去的端口扫描用户（来源：StackExchange） Brave方面称，所有现代的浏览器，包括Chrome和Firefox，都允许网站请求访问本地资源，并且不受限制地使用它们。 Safari倒是会阻止这些请求，即便这些请求是来自安全的公共网站。但这是其安全措施的一个副作用，而不是阻止这种危险做法的具体设计决定。 目前，Brave正在引入一个本地主机访问权限来解决这个问题，同时仍然允许他们信任的网站在有限时间内访问本地资源。 新增本地主机资源权限提示（来源：Brave） “Brave是唯一能够阻止来自安全和不安全的公共网站对本地主机资源的请求的浏览器，同时仍然保持对用户信任的网站的兼容路径，”Brave团队承诺说。 从1.54版本开始（目前是1.52版本），Brave的桌面版和安卓版将包括更强大的功能，比如控制哪些网站可以访问本地网络资源，以及访问的时间。 默认情况下，没有网站会被授予访问本地主机资源的权限，因此用户可以通过在桌面上的 “Brave://settings/content/localhostAccess “或在安卓上的 “Settings > Site settings > Localhost Access “手动给予权限。 除了这个新的许可机制，Brave将使用过滤列表规则来阻止滥用本地主机访问的脚本和网站。同时，Brave还将维护和更新可信网站的允许列表，在用户第一次访问时，将提示用户是否允许他们访问本地网络资源。 不过那些针对本地主机资源的请求仍将被允许通过，而不需要特殊的权限。   转自 Freebuf，原文链接：https://www.freebuf.com/news/370638.html 封面来源于网络，如有侵权请联系删除

根据GitHub的一份报告，大众汽车Discover Media信息娱乐系统的漏洞是在2023年2月28日发现的。 该漏洞可能会使未打补丁的系统遭到拒绝服务（DoS）攻击。该漏洞起初是由大众汽车的用户发现的，随后大众汽车方面确认了该漏洞，漏洞的标识为CVE-2023-34733。 关于漏洞详情 根据GitHub的报告，发现并报告该漏洞的人所使用的车型是大众捷达2021。根据NIST的报告，该漏洞的评分是6.8，是一个中等严重漏洞。 起初该用户将他的笔记本电脑连接到大众汽车的USB端口，并用模糊器生成媒体文件。随后进行模糊测试，以找出大众汽车媒体系统的漏洞。该实验是在包括MP3、WMA、WAV等媒体文件上进行的。 该用户在GitHub上写道，”由于大众汽车的媒体播放器比预期的更强大，我专门为大众汽车的信息娱乐系统创建了一个单独的媒体文件模糊器。我每天模糊处理2万多个媒体文件，经过一天的模糊测试，发现了OGG文件的漏洞”。 然后通过模糊测试识别了一个媒体文件，导致大众汽车媒体系统中的漏洞被触发。这也导致了大众汽车信息娱乐系统在关闭后无法打开。 当USB插入端口时，媒体文件会自动播放，信息娱乐系统会被强行终止，这个现象可以通过手动重启大众汽车信息娱乐系统来解决。 据观察，该漏洞可能导致远程代码执行等安全问题。 大众汽车对该漏洞的回应 该漏洞是在大众汽车媒体信息娱乐系统软件版本0876中发现的。在收到用户的这份报告后，德国汽车巨头对该漏洞进行了确认。 大众汽车给用户的回复截图（照片：GitHub） 该公司让其事件响应小组分析了大众汽车信息娱乐系统的漏洞，后来又让研发部门分析了这个漏洞。随后他们向上述电子邮件截图中名为 “zj3t “的用户确认了该漏洞，并表示该漏洞是一个产品质量的问题，会及时改进。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370513.html 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基研究人员测试了5265个URL（2322个钓鱼网址和2943个安全网址）。 研究人员向ChatGPT（GPT-3.5）提出了一个简单的问题：“此链接是否指向网络钓鱼网站？仅根据URL的形式，AI聊天机器人的检出率为87.2%，误报率为23.2%。” “虽然检出率非常高，但超过两成的假阳性率是不可接受的，这意味着五分之一的网站都会被封锁。”卡巴斯基首席数据科学家Vladislav Tushkanov说。 Tushkanov尝试了更为简单的问题：“这个链接安全吗？”结果要差得多：检出率为93.8%，假阳性率高达64.3%。事实证明，更笼统的提示更有可能导致ChatGPT判定链接是危险的。 更多的数据点能大幅提升检测能力 NTT Security Japan的研究人员进行了同样的测试，但给ChatGPT更多提示：网站的URL，HTML和通过光学字符识别（OCR）从网站中提取的文本。 测试方法概述（来源：NTT Security） 他们用1000个网络钓鱼站点和相同数量的非网络钓鱼站点测试了ChatGPT。研究者使用OpenPhish、PhishTank和CrowdCanary来收集网络钓鱼站点，用Tranco列表用创建非网络钓鱼站点列表。他们要求ChatGPT识别所使用的社会工程技术和可疑元素，在评估页面上识别品牌名称，判断该网站是网络钓鱼网站还是合法网站（以及原因）以及域名是否合法。 “GPT-4的实验结果展示出了巨大的潜力，精度为98.3%。GPT-3.5和GPT-4之间的比较分析显示，后者减少假阴性的能力有所增强。”研究人员指出。 研究者指出，ChatGPT擅长正确识别策略，例如虚假恶意软件感染警告、虚假登录错误、网络钓鱼短信身份验证请求以及识别不合法的域名，但偶尔无法识别域名抢注和特定的社会工程技术，如果合法域名有多个子域名，则无法识别合法域名等。此外，当使用非英语网站进行测试时，ChatGPT的效果并不好。 “这些发现不仅表明大语言模型在有效识别网络钓鱼站点方面的潜力，而且对加强网络安全措施和保护用户免受在线欺诈活动的危险具有重大意义。”研究人员总结道。     转自 GoUpSec，原文链接：https://mp.weixin.qq.com/s/flTPAIt49vKaSKjh0I9auA 封面来源于网络，如有侵权请联系删除

据微软披露，近日检测到由俄罗斯国家附属黑客组织 “午夜暴雪 “进行的凭证窃取攻击激增。 微软的威胁情报团队说，入侵行为利用住宅代理服务来混淆攻击的源IP地址，目标是政府、IT服务提供商、非政府组织、国防和关键制造部门。 “午夜暴雪”以前被称为Nobelium，也以APT29、Cozy Bear、Iron Hemlock和The Dukes等名称被追踪过。 该组织在2020年12月因对 SolarWinds 高调攻击而引起全世界的关注，但在其针对外国部委和外交实体的目标攻击中，该组织依旧依靠隐蔽的工具。 这一迹象表明他们有强大的决心，即使在被曝光的情况下仍然保持他们的运作，这也使他们成为间谍领域可怕的存在。 微软在一系列推文中说：”这些凭证攻击使用了各种密码喷涂、暴力破解和令牌盗窃技术，同时还进行了会话重放攻击，利用可能通过非法销售获得的被盗会话获得对云资源的初始访问”。 微软进一步指出，APT29使用住宅代理服务来路由恶意流量，试图混淆使用受损凭证的连接。 自2021年11月以来，Recorded Future详细介绍了APT28（又名BlueDelta、Forest Blizzard、FROZENLAKE、Iron Twilight和Fancy Bear）针对乌克兰政府和军事实体策划的新的鱼叉式钓鱼活动。 这些攻击利用带有附件的电子邮件，以及开源Roundcube网络邮件软件的多个漏洞（CVE-2020-12641，CVE-2020-35730和CVE-2021-44026）来进行侦察和数据收集。 通过一个有效的漏洞使俄罗斯军事情报的黑客能够部署流氓的JavaScript恶意软件，将目标个人的电子邮件重定向到攻击者控制的电子邮件地址，并窃取他们的联系人名单。 随后，该特权升级漏洞已在2023年3月的 “补丁星期二 “中得到部分解决。 这些发现表明，俄罗斯的威胁者一直在努力收集关于乌克兰和整个欧洲的各种实体的有价值的情报，特别是在2022年2月俄乌战争爆发之后。 俄罗斯的威胁者在对乌克兰网络战行动中的显著特点是广泛部署旨在删除和破坏数据的雨刷恶意软件。 最后，Recorded Future总结道，”BlueDelta几乎肯定会继续优先针对乌克兰政府和私营部门组织，以更广泛的支持俄罗斯军事。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370415.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，美国网络安全与基础设施安全局（CISA）督促联邦机构尽快修补 iMessage 零点击漏洞。卡巴斯基表示这些漏洞已被黑客在野外利用，网络攻击者通过漏洞在其员工的 iPhone 上部署 Triangulation 间谍软件。 卡巴斯基研究人员在其莫斯科办事处以及其他地区员工的 iPhone 上发现了间谍软件，经过研究分析发现间谍攻击始于 2019 年，目前仍在进行中、攻击者使用了 iMessage 零点击漏洞，并利用现已修补的 iOS 零日漏洞，入侵用户的 iphone。 苹果表示不会在任何产品中留后门 值得一提的是，俄罗斯联邦安全局情报机构声称苹果公司与美国国家安全局合作创建一个后门，为渗透俄罗斯的 iPhone 手机提供便利。此外，俄罗斯联邦安全局还表示发现了俄罗斯政府官员和驻以色列、中国和北约成员国大使馆工作人员的数千部 iPhone 受感染。 当地时间上周三，苹果公司已获悉一份报告，称该问题可能已被积极利用于 iOS 15.7 之前发布的 iOS 版本。” ）在攻击中被利用。然而苹果公司发言人在与 BleepingComputer 的联络中强调，苹果从未与任何政府合作在任何苹果产品中插入后门，后续也不会这样做。 苹果修复了一个WebKit零日漏洞（CVE-2023-32439），该漏洞可以让攻击者在未打补丁的设备上获得任意代码执行，也被 CISA 标记为一个积极利用的安全漏洞。 受影响的设备清单很广泛，主要包括以下这些产品： iPhone 8及更高版本、iPad Pro（所有型号）、iPad Air 第三代及更高版本、iPad 第五代及更高版本、iPad mini第五代及更高版本 iPhone 6s（所有型号）、iPhone 7（所有型号）、iPhone SE（第一代）、iPad Air 2、iPad mini（第四代）和iPod touch（第七代）。 运行macOS Big Sur、Monterey和Ventura的Mac电脑 Apple Watch 4系列及以后的产品，Apple Watch 3系列、4系列、5系列、6系列、7系列和SE 前几天，苹果公司在修补用于部署 Triangulation 间谍软件的 0day 漏洞一天后，发送了另一轮威胁通知，提醒客户他们成为有国家背景支持的攻击目标。然而，据 CNN 记者 Chris Bing 报道，目前尚不清楚这些新警告与哪些事件有关。 CISA 督促联邦机构在 7 月 14 日前打补丁 CISA 在其已知被利用漏洞（KEV）列表中新增了一个关键认证前命令注入漏洞（CVE-2023-27992），该漏允许未经认证的网络攻击者在没有打补丁的暴露于互联网中的网络附加存储（NAS）设备上执行操作系统命令。 上周二，在基于 Mirai 的僵尸网络针对 Zyxel 防火墙和 VPN 产品发起大规模攻击几周后，Zyxel 科技警告客户确保其 NAS 设备“获得最佳保护” 。 根据 2022 年 11 月发布的约束性操作指令（BOD 22-01），美国联邦民事行政部门机构（FCEB）必须在规定的时间内修补所有添加到 CISA  KEV 目录中的安全漏洞。虽然 BOD 22-01 主要关注美国联邦机构，但强烈建议私营公司也要优先解决 CISA  KEV列表中列出的安全漏洞。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370284.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 美国网络和基础设施安全局在其已知漏洞目录（Known Exploited Vulnerabilities）中了新增一批漏洞，该举动揭示了近期恶意利用行为的活跃性。 此次更新包括了苹果公司本周修补的3个漏洞(CVE-2023-32434, CVE-2023-32435,CVE-2023-32439)，VMware公司的2个漏洞(CVE-2023-20867,CVE-2023-20887)以及影响Zyxel设备的漏洞(CVE-2023-27992)。 作为长达数年的（2019年起）网络间谍活动的一部分，CVE-2023-32434和CVE-2023-32435都允许代码执行，它们被利用为零日漏洞（零时差攻击）来部署间谍软件。该间谍活动被称为“三角测量行动”(Operation Triangulation)，其最终目的是部署TriangleDB，并从受损设备中获取广泛的信息：创建、修改、删除和窃取文件；遍历和终止进程；从iCloud Keychain收集证书以及跟踪用户的位置。 攻击链始于带有附件的iMessage，当目标受害者收到短信后，附件自动触发有效载荷的执行。这种无需任何交互的特性使其成为零点击漏洞。网络安全公司卡巴斯基在最初的报告中指出:“恶意短信是畸形的，它不会为用户触发任何警报或通知。” CVE-2023-32434和CVE-2023-32435是iOS系统中被间谍攻击滥用的两个漏洞。其中CVE-2022-46690是IOMobileFrameBuffer中的一个严重的越界写入问题，它可以被异常应用程序武器化，以核心特权执行任意代码。苹果公司在2022年12月改进了输入验证，弥补了这一缺陷。 卡巴斯基公司为 TriangleDB做出了以下标记：包含引用 macOS 的未使用功能，寻求访问设备麦克风、摄像头和据称可以在未来使用的地址簿权限。今年年初，这家俄罗斯网络安全公司检测到自己的企业网络遭到入侵，于是开始了对“三角测量”行动的调查。 鉴于活跃的漏洞利用情况，美国联邦民事执行部门(FCEB)的各机构被建议应用供应商提供的补丁来保护其网络，免受潜在威胁。 与此同时，CISA 发布了伯克利互联网名称域 (BIND) 9 域名系统 (DNS) 软件套件中3个错误的警报，这些错误可能为拒绝服务 (DoS) 铺平道路。 CVE-2023-2828、CVE-2023-2829和CVE-2023-2911 (CVSS评分:7.5)可以被远程利用，导致名为BIND9的服务意外终止或运行命名的主机上所有可用内存耗尽，从而导致DoS发生。 这已经是互联网系统联盟 (ISC) 在不到六个月的时间里第二次发布补丁，来解决在BIND9中类似于 DoS 和系统故障的问题。     消息来源：The Hacker News，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文