GhostSec报告了FANAP Behnama软件的成功入侵，他们将其描述为“伊朗政权自己的隐私入侵软件”。此漏洞导致大约 20GB 的受感染软件暴露。该组织声称，伊朗政府使用该软件进行公民监视，这代表了该国监视能力的重大进步。 作为证据，该组织分享了该软件的部分源代码，展示了其独特的面部识别功能，增强了其监控效果。在过去的两个月里，该组织声称已经逐个文件仔细分析了大约20GB的压缩数据。Ghostsec的目标是确保这些信息可以随时访问，帮助隐私受到损害的伊朗公民，并坚持全面隐私保护的必要性。 作为其活动的进一步举措，该组织建立了一个名为“IRAN EXPOSED”的专用Telegram频道。通过该平台，他们打算分享有关此次泄露的信息，并已经分享了部分受损软件数据，并附有有关其发现和结果的解释，以及他们的行为背后的理由。 除了分享屏幕截图和提供对软件功能的全面见解之外，GhostSec还主动开始将Behnama代码片段上传到其专用的Telegram频道。此上传包括配置文件和API数据等各种组件。该小组目前正在积极参与这一过程，并承诺在上传程序结束后提供深入的解释。 GhostSec接着揭示了FANAP软件公司内部的各种发展。其中包括基于面部识别的视频监控工具（在Pasargad Bank汽车GPS和跟踪系统中实施），车牌识别系统（可能对头巾警报产生影响）以及用于身份证打印的面部识别系统。这种集成汇编了公民生活的复杂方面，不仅可以确定服务的访问权限，还可以构建用于面部识别的虚拟配置文件。这种评估植根于软件代码，证实了软件功能和部署的无可争辩的证据。 GhostSec声称这些工具被伊朗政府、执法机构和军事人员积极使用。关于此次违规行为和随后曝光的动机的官方声明符合GhostSec在争取隐私权方面促进平等的目标。此次曝光旨在让伊朗民众在对政府监控的认识不断增强后要求获得隐私权。 值得注意的是，作为此次披露活动的一部分，GhostSec积极监控了FANAP对违规行为的响应。最初，GhostSec声称对 fanap-infra.com网站的关闭负责，这是他们对该公司报复活动的一部分。随后，该组织透露，与FANAP软件公司相关的另一个网站只能在伊朗境内访问，并且该公司的主要GitHub存储库已设为私有，可能是由于已经发生的泄露事件。     转自E安全，原文链接:https://mp.weixin.qq.com/s/EMO_RQrEqmN-APHlWn_LyQ 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站披露，拥有 500 万安装用户的 WordPress 网站数据迁移插件 All-in-One WP Migration 存在未经身份验证的访问令牌操作漏洞，攻击者可借此访问网站敏感的数据信息。 漏洞被追踪为 CVE-2023-40004，允许未经身份验证的“用户”访问和操纵受影响扩展上的令牌配置，使网络攻击者将网站迁移数据转移到自身的第三方云服务账户或恢复恶意备份，一旦成功利用 CVE-2023-40004 ，导致包括用户详细信息、关键网站数据和专有信息等数据信息泄露。 All-in-One WP Migration 是一款流行的 WordPress 网站迁移工具，适用于非技术和经验不足的用户，允许将数据库、媒体、插件和主题无缝导出到一个易于在新目的地恢复的单个存档中。 Patchstack 表示插件供应商 ServMask 提供的各种高级扩展都包含相同的易受攻击代码片段，这些代码片段在 init 函数中缺乏权限和 nonce 验证。（该代码还存在于 Box 扩展、Google Drive 扩展、One Drive 扩展和 Dropbox 扩展中，这些扩展都是为了方便使用上述第三方平台的数据迁移过程而创建。） 好消息是，由于 All-in-One WP Migration 只在网站迁移项目中使用，通常不会在其它任何时候激活，因此在一定程度上缓解了漏洞带来的安全问题。 供应商已发布漏洞安全更新 2023 年 7 月 18 日，PatchStack 研究员拉菲-穆罕默德（Rafie Muhammad）发现了 CVE-2023-40004 漏洞，随后便报告给了 ServMask 。2023 年 7 月 26 日，供应商 ServMask 发布了安全更新，为 init 函数引入了权限和非 nonce 验证。 已应用的补丁（Patchstack） 建议受影响的第三方扩展用户升级到以下修复版本： Box 扩展：v1.54 Google Drive 扩展：v2.80 OneDrive 扩展：v1.67 Dropbox 扩展：v3.76 此外，研究人员还建议用户使用最新版本的（免费）基础插件 All-in-One WP Migration v7.78。     转自Freebuf，原文链接:https://www.freebuf.com/news/376712.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 国家安全保障会议(NSC)泄露了近1万名会员的电子邮件和密码，包括政府机关和大企业在内的2000多家企业被曝光。 美国国家安全委员会(NSC)是一家提供工作场所和驾驶安全培训的非营利组织。NSC的数字平台为不同企业、机构和教育机构的近55,000名成员提供在线资源。 然而，该组织网站在长达5个月的时间里都暴露在网络攻击的危险中。Cybernews研究小组发现，公开访问网络目录暴露了数千个凭据。 在泄露的一长串证书清单中，大约有2000家公司和政府机构的员工信息，包括: 化石燃料巨头:壳牌、英国石油、埃克森（Exxon,）、雪佛龙(Chevron) 电子制造商:西门子、英特尔、惠普、戴尔、英特尔、IBM、AMD 航空公司:波音公司、美国联邦航空管理局(FAA) 制药公司:辉瑞、礼来 汽车制造商:福特、丰田、大众、通用、劳斯莱斯、特斯拉 政府机构:司法部(DoJ)、美国海军、联邦调查局、五角大楼、NASA、职业安全与健康管理局(OSHA) 互联网服务提供商:Verizon、Cingular、Vodafone、 ATT、Sprint、 Comcast 其他:亚马逊、Home Depot、Honeywell、可口可乐、UPS 这些公司可能在该平台上拥有账户，以获取培训材料或参加国家安全委员会组织的活动。 该漏洞不仅对NSC系统构成了风险，而且对使用NSC服务的公司也构成了风险。泄露的凭证可能被用于凭证填充攻击，这种攻击试图登录公司的互联网连接工具，如VPN门户、人力资源管理平台或公司电子邮件。 此外，凭据可能被用来获得进入公司网络的初始访问权限，以部署勒索软件、窃取或破坏内部文件或访问用户数据。Cybernews联系了NSC，并迅速解决了这个问题。 曝光的网页文件夹|来源:Cybernews 对网络目录的公共访问 该漏洞于3月7日被发现。Cybernews研究小组发现了NSC网站的子域名，该域名可能用于开发目的。它向公众公开了其网络目录列表，使攻击者能够访问对网络服务器运行至关重要的大多数文件。在可访问的文件中，研究人员还发现了存储用户电子邮件和散列密码的数据库备份。这些数据被公开访问了5个月，因为IoT搜索引擎在2023年1月31日首次对泄漏进行了索引。 总的来说，备份存储了大约9500个唯一帐户及其凭证，涉及到各个行业的近2000个不同的公司电子邮件域。 泄露的包含用户凭证的表|来源:Cybernews 一个对公众开放的开发环境显示出其开发实践有多糟糕。这样的环境应该与生产环境的域分开托管，并且必须避免托管实际的用户数据，更不应该是公开访问的。 用户表架构|来源:Cybernews 由于大量电子邮件被泄露，平台用户遇到垃圾邮件和网络钓鱼邮件的情况可能会激增。建议用户从外部验证电子邮件中包含的信息，并谨慎点击链接或打开附件。 可破译的密码 被暴露的密码使用SHA-512算法进行杂凑—该算法被认为对密码散列是安全的，另外还使用了一种额外的安全措施—salts。但是，salts与密码散列存储在一起，并且仅使用base64进行编码。这使得潜在的攻击者很容易检索到salts的明文版本，从而简化了密码破解过程。 破解数据库中发现的单个密码可能需要长达6小时的时间，这取决于密码的强度以及攻击者使用的先前泄露的密码或单词组合列表状况。 这并不意味着泄露的数据库中的每个密码都可以被破解，然而其中很大一部分可以被黑客获取。研究表明，80%的成功破解此类密码的概率是相对常见的。 出于这个原因，我们建议拥有NSC帐户的用户在nsc.org网站和使用相同密码的任何其他帐户上更改其密码。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Lockbit是最常见的勒索软件之一。它附带了一个联盟勒索软件即服务（RaaS）计划，向参与者提供高达80%的赎金要求，并为那些发现并报告导致文件可以无需支付赎金解密漏洞的人提供了漏洞赏金计划。根据Lockbit所有者、同名网络犯罪组织的说法，已经支付了多达5万美元的赏金。除了这些特点之外，Lockbit还提供了一个可搜索的门户网站，用于查询被勒索软件家族攻击过的公司的泄露信息，甚至向那些在身上纹有Lockbit标志的人提供支付。 Lockbit v3，也称为Lockbit Black，于2022年6月首次被发现，这对自动化分析系统及分析师来说是一个挑战。其中最具挑战性的特征包括： 它支持使用随机生成密码的加密可执行文件。这将会阻止执行并阻碍自动化分析，除非在命令行中提供适当的密码。 有效载荷包括针对逆向工程分析的强大保护技术。 它包括许多未记录的内核级Windows函数. 2022年9月，多名安全新闻专业人士报道并证实了Lockbit 3的一个生成器工具的泄露。该工具允许任何人创建自己定制版本的勒索软件。其中两个不同的用户发布了创建不同变种的勒索软件所需的文件 Lockbit builder上传到GitHub根据我们的分析，X（之前称为Twitter）用户@protonleaks和@ali_qushji发现了两个不同的变体。我们的时间戳分析证实，在两次泄露中builder.exe二进制文件略有不同。protonleaks版本的编译日期是2022年9月9日，而ali_qushji版本是的编译日期是2022年9月13日。在恶意软件的模板二进制文件（嵌入和不完整版本的恶意软件，用于构建最终可供分发的版本）中也发现了类似的编译时间差异。   更多内容请至Seebug Paper  阅读全文：https://paper.seebug.org/3018/ 消息来源：securelist，封面来自网络，译者：知道创宇404实验室翻译组。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

以 “Mom’s Meals “为名开展业务的美国公司 PurFoods 遭到勒索软件攻击，超 120 万客户和员工的个人数据信息被盗。 Mom’s Meals 是美国一家医疗送餐服务公司，主要为自费客户或通过医疗补助计划（Medicaid）和《美国老年人法案》（Older Americans Act）计划获得政府援助的人提供餐饮服务。 该公司发布警告称于 2023 年 2 月 22 日在其网络上发现了可疑网络活动，当时内部系统中的某些文件已被勒索软件加密，发现可疑网络行为后，公司立即在第三方专家的帮助下展开了调查。 最终，经过调查人员确定公司内部系统于 2023 年 1 月 16 日至 2023 年 2 月 22 日期间经历了一次大规模网络攻击，威胁攻击者对内部网络中的某些文件进行了加密。2023 年 3 月初，网络攻击带来的负面影响开始显现，一位匿名的 Mom’s Meals 员工向爱荷华州的一家新闻媒体透露，由于 “网络问题”，已经一周没有上班，也没有工资。 PurFoods 调查显示 Mom’s Meals 公司于 2023 年 1 月 16 日开始遭到入侵，安全研究人员在其内部网络上发现常用的数据窃取工具，2023 年 7 月 10 日，深入调查结束后，研究人员确认黑客获取了以下数据信息： 出生日期 驾驶执照 州身份证号码 金融账户信息 支付卡信息 医疗记录编号 医疗保险和医疗补助识别码 健康信息 治疗信息 诊断代码 膳食类别和费用 医疗保险信息 病人 ID 号 社会安全号（>1% 的被暴露者） 根据 PurFoods 向缅因州总检察长办公室提交的数据泄露文件显示，此次网络安全事件共影响 1237681 人，涉及到曾收到 Mom’s Meals 套餐的个人、在职/离职员工以及独立承包商，PurFoods 承诺这些人将通过 Kroll 公司免费获得 12 个月的信用监控和身份保护服务。 最后，PurFoods 强调暴露给网络犯罪分子的数据具有高度敏感性，威胁行为者可以利用其进行精心设计的诈骗、网络钓鱼和社交工程攻击。因此，强烈建议 Mom’s Meals 客户对所有收到的电子邮件、SMS 短信，电话等通信保持高度警惕。     转自Freebuf，原文链接:https://www.freebuf.com/news/376441.html 封面来源于网络，如有侵权请联系删除

法国政府失业登记和金融援助机构 Pôle emploi 通报一起数据泄露事件，该事件泄露了 1000 万名民众的个人数据信息。Pôle emploi 在新闻稿中声称其一家供应商的信息系统遭到网络破坏，可能会泄露求职者的个人数据信息，主要影响 2022 年 2 月登记的求职者和就业中心的前用户。 虽然  Pôle emploi 并未说明受此事件影响的具体人数，但据《巴黎人报》报道受影响人数估计为 1000 万，其依据是截至 2022 年 2 月，有 600 万人在 Pôle emploi 的 900 个就业中心上进行了登记，另有 400 万人在攻击发生前的 12 个月内进行了登记，这些民众的数据都没有从该机构的系统中删除。 资助项目未受数据泄露事件影响 泄露的民众信息包括全名和社会安全号，但电子邮件地址、电话号码、密码和银行数据没有受到此次数据泄露事件的影响。尽管泄露的数据在网络犯罪活动中的“作用”有限，但 Pôle emploi 还是建议注册求职者对收到的信息保持谨慎，该机构还设立了一条专门的电话支持热线，以解决民众对数据泄漏事件提出的任何疑问和担忧。 Pôle emploi 承诺其内部团队目前正努力确保求职者的数据信息安全，并将继续实施额外保护措施和程序，以防止再次发生类似事件，该机构还表示此次数据泄露事件不会影响其财政援助计划，求职者可放心访问 “pole-employment.fr “在线就业门户网站。 MOVEit 漏洞 安全公司 Emsisoft 在其 MOVEit 页面中列出了 Pôle emploi，并证实有 1000 万民众受到数据泄露事件的影响。 然而，实施大规模 MOVEit 网络攻击的 Clop 勒索软件团伙尚未在其勒索网站上公布法国机构 Pôle emploi。 据悉，就受影响人数而言，Pôle emploi 位居第二，仅次于 Maximus 的 1100 万曝光人数，MOVEit 攻击活动的受影响人数已达 5920 万，涉及 988 个组织。     转自Freebuf，原文链接:https://www.freebuf.com/news/376325.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 你真的隐身了吗? 深入谷歌私人浏览，揭开网络隐身的神话和真相。 长期以来，谷歌的隐身模式一直是那些希望对共享设备和有意跟踪在线活动的公司的用户的首选保密工具。它通常被称为私人浏览，或色情模式。 与流行的观点相反，隐私功能不仅仅是为了隐藏网上的成人内容。例如，大多数在线航班搜索引擎使用cookie来跟踪搜索，在多次搜索同一行程后，机票价格会慢慢上涨，从而诱使用户提前预订。用户可以通过打开单独的隐身浏览窗口来节省潜在的巨大成本。 “隐形页面”的真相 许多用户仍然没有意识到，隐身浏览窗口并没有向雇主、互联网服务提供商或他们访问的一些网站隐藏他们的浏览历史。在私人窗口登录Facebook、亚马逊或Gmail等任何网站时，大型科技公司仍然可以将你的在线活动与其他账户和个人资料联系起来。虽然对许多人来说，这是显而易见的，但其他人仍带着虚假的安全感继续使用这个功能。 然而，在技术人员沾沾自喜之前，即使你相信你的在线行为被匿名所掩盖，看不见的力量可能仍然在起作用。即使没有登录到一个平台，你的虚拟足迹仍然很容易被追踪，这要归功于“指纹识别”。这种高级形式的跟踪结合了您的IP地址、屏幕分辨率、安装的字体和浏览器版本等详细信息。指纹识别技术创造了一个独特的轮廓—就像一个侦探从分散的线索中拼凑出一个难以捉摸的人物的身份。 这个数字身份可以跨会话和设备持久存在。它通常不受试图清除浏览器历史记录或使用隐身模式的影响。这对用户来说意味着，让你的设备成为“你的”的那些方面—那些个人定制和调整—也可能是泄露你在线匿名性的因素。所以，即使你在“隐身”的保护伞下浏览网页，也要记住:你的数字身份影子可能仍然是可见的。 隐私审判:谷歌的隐身模式面临50亿美元的赔款 自从将“不作恶”(Don’t be evil)的座右铭从公司行为准则中删除后，许多人对信任这家科技巨头变得越来越谨慎。从2020年起，谷歌将面临一场50亿美元的巨额诉讼，这是一项开创性的法律行动，给其吹捧的“隐身模式”蒙上了阴影。原告强烈认为，尽管谷歌保证了隐私，但其复杂的cookie网络、分析工具和基于应用程序的工具未能暂停跟踪，即使用户认为他们在隐身保护伞下受到了保护。 相比之下，谷歌坚定地为自己辩护，强调其网站一贯有清晰的声明。他们指出，Chrome的隐身功能并不是一种隐形的面纱，而只是一种防止浏览数据被存储在本地的功能。事实上，每次用户打开私人浏览会话时，都会出现警告。问题是很少有人读到这个警告，这意味着这场诉讼的关键在于一个经典的论题:感知安全与实际安全。 这家科技巨头将法庭案件视为小麻烦。从局外人的角度来看，潜在的罚款似乎只是他们巨大收入海洋中的沧海一粟。对这类公司来说，处罚已成为他们在数据驱动的帝国中开展业务的另一项成本。但随着一场50亿美元的诉讼越来越接近审判，这家科技巨头会受到的可能不仅仅是流个鼻血这么简单了。 谷歌是否歪曲了隐身模式的作用? 从技术角度来看，谷歌的隐身模式的主要功能似乎一直是透明的:保护用户的浏览历史不被其他使用同一设备的人看到。如果你的设备在多个设备上同步，这个功能可以确保隐私不被窥探。 精通技术的人很清楚它的局限性。然而，普通用户往往会被迫接受冗长的条款和条件。这些文件有时用密密麻麻的法律术语写成，似乎是为了鼓励用户盲目地同意。 对许多用户来说，“历史”一词可能包含了更广泛的理解。他们可以假定“没有历史”意味着没有任何痕迹—在网络空间的沙滩上没有留下脚印。这种感知到的隐私和实际功能之间的差异可能会导致虚假陈述。如果这是故意混淆以误导普通用户，那么问责制问题就出现了。 2018年，谷歌Chrome工程师的内部通信揭示了他们对隐身模式的看法，这为这场辩论增加了另一层含义。谷歌员工开玩笑说，使用“间谍”图标是不合适的。另一个人将其与《辛普森一家》中的一个搞笑角色“Guy Incognito”联系起来，这个角色以其可笑而无效的伪装而闻名。这个玩笑虽然轻松愉快，但可能无意中强调了一个事实:隐姓姓名对隐私的承诺可能就像“Guy Incognito”的胡子伪装一样肤浅。虽然表面上来看是幽默的，但这种内部玩笑可以被视为淡化隐私问题。 隐私逐渐成为这个时代的奢侈品，但结合VPN浏览器扩展可以在保护在线匿名性方面发挥关键作用。它提供了一个强大的屏障，防止互联网服务提供商跟踪你的一举一动。这是阻止广告商从你在网站上的浏览中获取利益一个屏障。 虽然隐身面纱看起来不透明，但真正的在线隐身可能比你想象的更难以捉摸。读者可以常常自省：我的数字身份是否真的隐藏起来了。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 美国政府和国防承包商Belcan将其超级管理员证书向公众开放，一个失误就可能导致严重的供应链攻击。 Belcan是一家政府、国防和航空航天网络承包商，提供全球设计、软件、制造、供应链、信息技术和数字工程解决方案。据报道，该公司在2022年的收入为9.5亿美元，是40多个美国联邦机构信赖的战略合作伙伴。 5月15日，Cybernews研究小组发现了一个开放的Kibana实例，其中包含有关Belcan员工和其内部基础设施的敏感信息。Kibana是数据搜索和分析引擎ElasticSearch的可视化仪表板。这些系统帮助企业处理大量的数据。 虽然泄露的信息突显了Belcan通过实施渗透测试和审计来保证信息安全的承诺，但攻击者可能会利用开放的测试结果的漏洞，以及用bcrypt散列的管理凭据。 在开放的Kibana实例中泄露的Belcan数据包含以下内容: 管理员电子邮件 管理员密码(使用bcrypt散列，成本设置为12) 管理员用户名 管理角色(他们被分配到什么组织) 内部网络地址 内部基础设施主机名和IP地址 内部基础设施漏洞和采取的补救/不补救措施。 Bcrypt是一种安全的散列算法，它增加了一层防范攻击者的安全防护。但是，哈希仍然可以被破解，并且其他身份验证数据可能被用于鱼叉式网络钓鱼攻击。 在这种情况下，攻击者可能需要长达22年的时间才能破解一个非常强大的管理密码。如果密码较弱，容易受到词汇攻击，则可能在几天内被破解。 攻击者还可以查看该公司修复已发现漏洞的进度。数据显示，并不是所有漏洞都得到了解决。 Cybernews研究团队写道:“这些信息可以帮助攻击者识别未打补丁的易受攻击的系统，并为他们提供具有特权访问权限的帐户凭证，从而使针对组织的潜在攻击变得更加容易和快速。” 最重要的风险是由间谍、影响或代理战争等政治和军事目标驱动的国家支持的高级持续威胁(APT)。 Cybernews向Belcan通报了发现的漏洞，在漏洞发布之前，该公司已经实施了安全措施来解决这个问题。截稿前，Belcan没有发表任何额外的声明。 整个供应链都面临风险 Belcan的泄密给更广泛的组织带来了重大风险。 攻击者可以绕过身份验证机制，访问开放的凭据和其他信息，从而极大地促进组织的破坏。 然后，黑客可以访问敏感的客户信息，包括航空航天、国防公司和政府机构信息。 “这种攻击通常是APT组织在情报收集行动中实施的，目的是窃取专有信息，以使他们能够复制先进产品的设计和程序、获取经济利益等。”研究人员写道。 这些信息对于攻击者来说特别有价值，因为它可以用于技术间谍活动、获取秘密军事信息，甚至可以破坏政府机构。 Belcan最敏感的客户位于美国，因此，一次成功的攻击将特别关系到美国公民的安全。 泄露似乎源自Belcan使用的安全工具。这表明保持这些工具安全的重要性，因为它们通常具有访问敏感信息的特权，攻击者可以利用这些信息。这包括公司的基础设施、存储在其中的数据、内部网络子网、端点。 数据显示，泄露的源头很可能是Belcan用来扫描和跟踪其基础设施漏洞的安全工具。“应该不惜一切代价保护对这些工具的访问。”研究人员警告道。 他们还注意到，泄露数据的条目表明，该公司发现了一些漏洞，但没有修补。 一个成功的供应链攻击的突出案例是发生在2020年的SolarWinds攻击。在这次事件中，俄罗斯政府支持的攻击者渗透到公司的软件开发环境中，并在软件更新中植入恶意代码。这些被攻击的更新随后被发送给数千名客户，其中包括政府机构和大公司。 其他臭名昭著的攻击包括NotPetya、Asus Live Update和Kaseya VSA供应链勒索软件攻击。     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

WinRAR是最为流行的Windows解压缩软件之一，据称拥有数以亿计的用户。近日，趋势科技Zero Day Initiative在该软件中发现了一个高危漏洞——打开压缩文件时会允许黑客在计算机上执行任意代码。 据了解，该漏洞（CVE-2023-40477）存在于恢复卷的处理过程中，原因是缺乏对用户提供数据的正确验证。2023年6月8日，Zero Day Initiative的研究员“goodbyeselene”将该漏洞报告给了RARLAB厂商。 ZDI在公告中写道：“此漏洞允许远程攻击者在受影响的RARLAB WinRAR安装上执行任意代码。利用此漏洞需要用户交互（如打开恶意文件）。具体的缺陷存在于恢复卷的处理过程中。问题在于缺乏对用户提供数据的正确验证，这可能导致内存访问超出已分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。” 从实际角度来看，攻击者欺骗用户执行所需操作并不会太过困难，而且考虑到WinRAR的庞大用户群，攻击者有足够的几率进行成功利用。对此此类安全风险，谨慎打开RAR文件、使用杀毒软件进行扫描是一个良好的安全习惯。 2023年8月2日，官方在最新发布的WinRAR 6.23版本中已修复了此漏洞，建议WinRAR用户立即进行安全更新。 更新地址：https://www.win-rar.com/download.html?&L=7 值得注意的是，微软目前正在测试Windows 11对RAR、7-Zip等文件的原生支持，此后若是对其高级功能没有需求，将有可能不再需要WinRAR等第三方软件。   转自安全内参，原文链接:https://www.secrss.com/articles/58009 封面来源于网络，如有侵权请联系删除

2023年5月，德国商报发文称特斯拉存在数据泄露事件，时间跨度从 2015 年至 2022 年 3 月，覆盖了美国、欧洲和亚洲特斯拉车主报告的投诉。在此期间特斯拉车主报告了 2400 多起自动加速问题和 1500 多起制动问题，其中包括 139 起“意外紧急制动”报告和 383 起错误碰撞警告导致的“幽灵刹车”报告，客户纷纷表达了对安全的担忧。 而据国内多家媒体报道，近日特斯拉向其员工以及美国执法部门通报了“100G数据泄露事件”的具体规模及原因。 8月18日，美国缅因州总检察长办公室发布消息称，2023年5月，特斯拉数据泄露事件影响超过7.5万人，其中包括与员工相关的各种敏感信息，例如姓名、住址、电话、电邮、薪资等等。 位于特斯拉欧洲超级工厂所在地勃兰登堡州数据保护官Dagmar Hartge表示，“这是印象中规模最大的一次数据泄露事件”。正因为数据量如此庞大，超出当时相关部门处理权限，所以该案件已经移交至荷兰当局。 根据相关法规，若是在调查中证实特斯拉确实存在违规行为，特斯拉可能要面临高额处罚，也就是其年销售额4%的罚款，大概在35亿美元（约合人民币247亿）。 特斯拉对此事进行回应，“心怀不满的前员工”滥用了他们作为服务技术人员的权限，违反了特斯拉的 IT 安全和数据保护政策，特斯拉将对涉嫌泄密的个人采取法律行动，并且没收其电子设备，禁止前雇员进一步使用、访问或传播数据等等。 换句话说，特斯拉已经承认了这一事件，指出这是“内部不法行为”的结果。此次数据泄露事件的严重性不容忽视。特斯拉作为全球领先的电动汽车制造商，在全球保有量如此之高的情况下，还需进一步加大对数据安全和隐私保护方面的投入，并真正将其落到实处。 事实上特斯拉曝出数据安全问题已经不是第一次，除了驾驶问题外，特斯拉还出现过严重的客户信息泄露问题。我们关注到，今年4月6日路透社就曾报道称，在 2019 年至 2022 年期间，特斯拉员工竟通过内部消息系统私下分享车载摄像头记录的音视频内容。   转自Freebuf，原文链接:https://www.freebuf.com/news/375599.html 封面来源于网络，如有侵权请联系删除