Bleeping Computer 网站消息，一个安装了超过9万次的 WordPress 插件中存在一个严重的安全漏洞，威胁攻击者能够利用该漏洞获得远程代码执行权限，从而完全控制有漏洞的网站。（该插件名为”Backup Migration”，可帮助管理员自动将网站备份到本地存储或 Google Drive 账户上） 安全漏洞被追踪为 CVE-2023-6553，严重性评分为9.8/10，由一个名为 Nex Team 的漏洞“猎人”团队发现。该团队发现漏洞后依据最近推出的漏洞悬赏计划，立刻向 WordPress 安全公司 Wordfence 报告了漏洞问题。 据悉，CVE-2023-6553安全漏洞主要影响 Backup Migration 1.3.6及以下的所有插件版本，允许未经认证的威胁攻击者通过/include/backup-heart.PHP 文件注入 PHP 代码获得远程代码执行权限，从而接管目标网站。 接收到漏洞通知后，Wordfence 方面表示威胁攻击者能够控制传递给 include 的值，然后利用这些值来实现远程代码执行。这使得未经身份验证的威胁攻击者可以在服务器上轻松执行代码。通过提交特制的请求，威胁攻击者还可以利用 CVE-2023-6553安全漏洞来“包含”任意的恶意 PHP 代码，并在 WordPress 实例的安全上下文中的底层服务器上执行任意命令。 威胁攻击者尝试在备份迁移插件使用的/includes/backup-heart.php 文件中的第118行的 BMI_INCLUDES 目录（通过将 BMI_ROOT_DIR 与 includes 字符串合并定义）中加入 bypasser.php。但是，BMI_ROOT_DIR 是通过第62行的 content-dir HTTP 标头定义的，因此 BMI_ROOT_DIR 依旧受到用户控制。 备份迁移漏洞代码（Wordfence） 接到通知后，数小时内就发布了安全补丁 12月6日，接到安全漏洞通知后，Wordfence 立刻向 BackupBliss（备份迁移插件背后的开发团队）报告了这一重大安全漏洞，开发人员在数小时后发布了补丁。 坏消息是，尽管备份迁移 1.3.8 插件版本的补丁在漏洞报告发布当天就发布了，但据 WordPress.org org 下载统计显示，近5万个使用漏洞版本的 WordPress 网站在近一周后还是需要进行安全防护。鉴于此，安全研究人员强烈督促管理员尽快安装安全更新，以保护其网站免受潜在 CVE-2023-6553安全漏洞的网络攻击。 最近一段时间，WordPress 爆出了多起安全事件，WordPress 管理员还成为了网络钓鱼活动的目标，威胁攻击者试图利用 CVE-2023-45124虚构漏洞的虚假 WordPress 安全公告作为诱饵，诱骗其管理员安装恶意插件。上周，WordPress  还修复了一个面向属性编程（POP）链漏洞，该漏洞允许未经授权的威胁攻击者在某些条件下（与多站点安装中的某些插件相结合时）获得任意 PHP 代码执行。   转自FreeBuf.COM，原文链接https://www.freebuf.com/news/386335.html 封面来源于网络，如有侵权请联系删除

HackerNews 编译，转载请注明出处： 上周，美国网络安全和基础设施安全局（CISA）将两个Qlik Sense漏洞添加到其已知被利用漏洞（KEV）目录中。以下是添加到目录中的问题列表： CVE-2023-41265（CVSS评分9.6）- Qlik Sense HTTP隧道漏洞：Qlik Sense包含一个HTTP隧道漏洞，允许攻击者提升权限并在托管软件的后端服务器上执行HTTP请求。 CVE-2023-41266（CVSS评分8.2）- Qlik Sense路径遍历漏洞：Qlik Sense包含一个路径遍历漏洞，允许远程未经验证的攻击者通过发送恶意构造的HTTP请求创建匿名会话。这个匿名会话可能允许攻击者向未经授权的端点发送进一步请求。 网络安全公司Praetorian的研究人员在2023年8月发现了这两个漏洞。著名研究员Kevin Beaumont指出，攻击者开始利用Praetorian发布的完整漏洞链进行攻击。 Arctic Wolf的研究人员也观察到攻击者在Cactus勒索软件团伙发起的攻击中利用这两个漏洞。 根据绑定操作指令（BOD）22-01：减少已知被利用漏洞的重大风险，FCEB机构必须在截止日期之前解决已识别的漏洞，以保护其网络免受利用目录中漏洞的攻击。 专家还建议私人组织审查目录并解决其基础设施中的漏洞。 CISA要求联邦机构在2023年12月28日之前修复这些漏洞。   消息来源：SecurityAffairs，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

谷歌最近宣布了针对今年早些时候在一次黑客竞赛中被利用的几个高和中严重程度的 Chromecast 漏洞的补丁。 谷歌上周宣布了12月份的Android 安全更新，并向客户通报了 Chromecast 缺陷的修复方案。 这家科技巨头告诉用户，其流媒体设备的最新更新总共解决了影响 AMLogic 芯片的三个漏洞，特别是 U-Boot 子组件、KeyChain 中的一个问题，特别是系统组件中的一个问题。 这些漏洞于7 月在HardPwn USA 2023硬件黑客竞赛中亮相，该竞赛与加利福尼亚州的 Hardwear.io 会议同时举行。谷歌、Meta 和 Parrot 产品都是这次活动的目标。 研究人员在这次活动中通过 Chromecast 的开发获得了数百美元到数万美元的收入。 Google 已将发现 CVE-2023-6181和 CVE-2023-48425的功劳归功于 DirectDefense 的 Nolen Johnson、Jan Altensen 和 Ray Volpe；Lennert Wouters、rqu 和 Thomas Roth（stacksmashing）的 CVE-2023-48424；以及 Rocco Calvi (TecR0c) 和 CVE-2023-48417的SickCodes。 DirectDefense 上周发表了一篇博客文章，详细介绍了Johnson、Altensen 和 Volpe 开发的完整安全启动漏洞利用链，他们决定不透露确切的漏洞赏金金额。他们的漏洞不能直接用于远程代码执行，但它可以帮助攻击者在受害者不知情的情况下获得持久的代码执行。 “最大的担忧是 eBay 和其他第三方零售商等平台上的供应链拦截，”约翰逊告诉《安全周刊》。“事实证明，通过这些渠道销售的各种 Android TV 流媒体盒都可能被注入恶意软件。” 研究人员描述了三种攻击媒介，包括 eMMC 故障注入（允许访问 U-Boot shell，但需要高级硬件黑客攻击）、Android 验证启动绕过以及引导加载程序控制块 (BCB) 持久性方法（可永久绕过安全启动。 “在我看来，[BCB 持久性方法]是真正的亮点，因为它允许任何具有 root 访问权限的用户在下次和后续启动时在 u-boot shell 中持久运行代码。这意味着一旦执行一次 eMMC 故障注入，设备就可以在用户不知情的情况下持续被黑客攻击。因此，人们担心供应链受到攻击。”约翰逊解释道。 “此外，这意味着如果任何人曾经有能力通过操作系统级别的漏洞（例如恶意应用程序或其他东西）获得本地根访问权限，他们就可以编写 BCB 并有效地破解设备。” TecR0c 和 Sick Codes 告诉SecurityWeek，他们的 KeyChain 漏洞仅给他们带来了500美元，但指出他们的研究还揭示了一些 Android 漏洞，目前 Google 正在审查这些漏洞。 “安装在同一设备上且能够发送意图的任何应用程序都可能利用此漏洞。攻击者首先需要创建恶意应用程序并说服用户安装它。一旦安装了恶意应用程序，它就可以将精心设计的意图发送到 KeyChainActivity，”研究人员说。 他们补充说：“攻击者将能够操纵 KeyChainActivity 的行为，从而导致执行未经授权的操作。” “根据 KeyChainActivity 如何使用这些 Intent extra，攻击者可能会获得对加密密钥或证书数据等敏感信息的访问权限，或者导致 KeyChainActivity 以对攻击者有利的方式操纵此类数据。这可能允许攻击者执行诸如冒充用户、解密敏感信息或导致拒绝服务等操作。” Wouters、rqu 和 Roth 表示，他们的 Chromecast 漏洞总共为他们赢得了超过68,000美元。 “我们的攻击涉及对设备的临时物理访问，因此它主要用于‘邪恶女仆’、供应链攻击以及从丢失/被盗/废弃设备中恢复数据。执行起来并不是特别困难，但需要拆开设备，”研究人员告诉《安全周刊》。“使用我们的攻击，可以通过安装恶意固件来永久破坏 Chromecast，并从 Chromecast 转储现有的敏感信息（例如 WiFi 凭据等）。此后用户看不到攻击，并且设备仍保持完整功能。” 他们还分享了其他技术细节，“通过在启动过程中的特定时间破坏集成闪存存储 (eMMC) 的信号，我们能够访问集成引导加载程序(U-Boot)的交互式控制台。从那里我们能够修改提供给 Linux 内核的一些引导参数，这使我们能够在 Linux 引导过程的早期访问 root shell。使用它，我们能够覆盖内核模块，这使我们能够以最大权限执行代码，同时继续常规启动过程。”   转自安全客，原文链接https://www.anquanke.com/post/id/291814 封面来源于网络，如有侵权请联系删除

版本 2.0.0至2.5.32和6.0.0至6.3.0.1 受到影响。您需要尽快更新。 Apache 开发人员已针对流行的开源 Web 框架Apache Struts 2中的一个严重漏洞发布了修复程序，该漏洞的标识符为 CVE-2023-50164，该漏洞可能导致远程代码执行 (RCE)。该漏洞的发现者是 Source Incite 的 bughunter Stephen Seely。 CVE-2023-50164允许攻击者操纵文件上传选项，这可能导致路径遍历和上传用于远程代码执行的恶意文件。有关该漏洞的更多详细信息尚未披露。 该问题影响 Apache Struts 版本2.0.0至2.5.32以及6.0.0 至6.3.0.1。反过来，从版本2.5.33和6.3.0.2 开始集成修复。 强烈鼓励 Web 开发人员执行此更新，该过程不会花费太多时间，也不需要对当前配置进行任何更改。 Apache Struts 2经常被攻击者用来进行攻击。这是一个现代的开放式Java框架，用于创建可在企业环境中使用的 Web 应用程序。不再支持其前身 Apache Struts 1。 2017年，美国Equifax网站的安全漏洞以及随后的大规模数据泄露，正是由于Apache Struts 2的漏洞以及责任人没有及时采取措施消除漏洞而造成的。    转自安全客，原文链接https://www.anquanke.com/post/id/291804 封面来源于网络，如有侵权请联系删除

HackerNws编译，转载请注明出处： 来自阿姆斯特丹自由大学的研究人员披露了一种名为SLAM的新侧信道攻击，可被利用来从当前和即将推出的Intel、AMD和Arm处理器的内核存储器中泄漏敏感信息。 该攻击是一种基于Spectre的端到端利用，利用了Intel处理器中称为线性地址掩码（LAM）的新功能，以及AMD（称为Upper Address Ignore或UAI）和Arm（称为Top Byte Ignore或TBI）的类似对应功能。 “SLAM 利用未屏蔽的gadgets，使得用户空间进程能够泄漏任意ASCII内核数据”， VUSec研究人员表示，并补充说，“它可以被利用来在几分钟内从内核存储器中泄漏根密码哈希”。 尽管LAM被提出作为一项安全功能，但讽刺的是，研究发现它实际上降低了安全性并“显著”增加了Spectre攻击面，导致了瞬时执行攻击。这种攻击利用了推测执行，通过缓存隐蔽通道提取敏感数据。 “瞬时执行攻击利用了瞬时指令的微体系结构副作用，从而允许恶意对手访问通常由架构访问控制机制禁止的信息”，Intel 在其术语文档中表示。 被描述为针对未来CPU的第一种瞬时执行攻击的SLAM，利用了一种基于非规范地址转换的新秘密通道，有助于实际利用通用Spectre小工具泄漏有价值的信息。它影响以下CPU： 已知受到CVE-2020-12965影响的现有AMD CPU 未来支持LAM的Intel CPU（包括4级和5级分页） 未来支持UAI和5级分页的AMD CPU 未来支持TBI和5级分页的Arm CPU Arm在一份咨询中表示，“Arm系统已经对抗Spectre v2和BHB，而且被认为是软件自己的责任来保护自己免受Spectre v1的侵害，所描述的技术只是通过增加可利用小工具的数量来增加现有漏洞（如Spectre v2或BHB）的攻击面。” AMD也指出了当前用于应对SLAM攻击的Spectre v2缓解措施。另一方面，Intel打算在未来支持LAM的Intel处理器发布之前提供软件指导。与此同时，Linux维护人员已经开发了用于默认禁用LAM的补丁。 这些发现出现在VUSec揭示了Quarantine的信息近两个月之后。Quarantine是一种仅基于软件的方法，用于缓解瞬时执行攻击并通过将最后一级缓存（LLC）进行分区实现物理领域隔离，使每个安全领域具有对LLC不同部分的独占访问，以达到消除LLC隐蔽通道的目的。 研究人员表示，“Quarantine的物理领域隔离将不同的安全领域隔离在不同的核心上，防止它们共享核心本地的微体系结构资源。此外，它取消了LLC的共享，将其在安全领域之间进行分区。”   内容来源：thehackernews，译者：Claire；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

研究人员表示，影响大多数计算机的固件漏洞使黑客能够执行恶意代码并绕过启动安全系统。 研究人员表示，可能影响95%计算机的固件漏洞使黑客能够无视启动安全并在启动时执行恶意软件。这些缺陷源于 UEFI 系统固件中用于在启动屏幕上加载徽标图像的图像解析器，因此被称为“LogoFAIL”。 发现这些漏洞的固件供应链安全公司 Binarly 的研究人员警告说： “包括英特尔、宏碁和联想在内的不同供应商的数百种消费级和企业级设备可能容易受到攻击。” LogoFAIL 首次在11月29日的博客文章中披露，技术细节在Binarly 在Black Hat Europe 2023上展示其发现后于周三发布。 什么是LogoFAIL？ LogoFAIL 是用于在设备启动过程中加载徽标的图像解析库中的一组固件漏洞。利用 LogoFAIL 要求攻击者能够访问存储徽标图像的 EFI 系统分区 (ESP)，即黑客通过利用其他错误获得远程访问权限或对设备进行物理访问。 使用恶意负载更改或替换徽标图像会导致在启动过程中解析图像时注入的恶意软件被任意执行。此图像解析过程发生得太早，无法让安全启动和英特尔 Boot Guard 等安全机制检测到恶意代码。 Binarly 研究人员写道： “这种攻击向量可以为攻击者提供绕过大多数端点安全解决方案的优势，并提供一个隐形固件启动工具包，该启动工具包将持续存在于 ESP 分区或带有修改过的徽标图像的固件胶囊中。” 我的计算机是否受到 LogoFAIL 的影响？ 由于三个主要独立 BIOS 供应商 (IBV)（AMI、Insyde 和 Phoenix）普遍使用受影响的图像解析器，LogoFAIL 的攻击面非常巨大。这些供应商为宏碁、英特尔和联想等数十家主要设备制造商提供 UEFI 系统固件，然后这些制造商将固件整合到数百种设备型号中。 据 DarkReading 称， Binarly 首席执行官 Alex Matrosov 估计95%的设备使用来自受影响的 IBV 之一的 UEFI 固件。 然而，Binarly 研究人员报告称，并非所有具有构成 LogoFAIL 的图像解析器缺陷的设备都可以被视为真正“可利用”。例如，虽然研究人员测试的戴尔设备总共包含了526个有缺陷的解析器，但这些缺陷无法用于执行恶意代码，因为戴尔计算机不允许更改启动徽标图像。 虽然研究人员尚未能够编制受影响设备型号的完整列表，但他们在披露 LogoFAIL 详细信息的几个月前就向主要 IBV 和设备供应商报告了这些漏洞。用户需要确保他们的计算机固件是最新的，以防止 LogoFAIL 漏洞；例如，联想发布了安全公告以及有关如何更新特定设备型号的说明。   转自安全客，原文链接https://www.anquanke.com/post/id/291789 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，WordPress 近期发布了6.4.2更新版本，修复了一个远程代码执行 (RCE) 漏洞。据悉，该漏洞能够与另外一个安全漏洞形成“联动”，允许威胁攻击者在目标网站上运行任意 PHP 代码。 WordPress 是一种非常流行的开源内容管理系统（CMS），主要用于创建和管理网站，目前已经有8 亿多个网站使用它，约占互联网上所有网站的45%。然而，该项目的安全团队在 WordPress core 6.4中发现了一个面向属性编程（POP）链漏洞，在某些条件下，该漏洞可允许未经授权的威胁攻击者执行任意 PHP 代码。 POP 链“要求”威胁攻击者控制反序列化对象的所有属性，而 PHP 的 unserialize()函数正好可以做到这一点，一旦这样操作的话，威胁攻击者有可能通过控制发送到 megic 方法（如”_wakeup()”）的值来劫持应用程序的流程。值得一提的是，这个安全问题需要受害目标网站上存在 PHP 对象注入漏洞（可能存在于插件或主题附加组件中）才能产生最恶劣的影响。 WordPress 方面指出，该远程代码执行漏洞虽然在内核中无法直接被攻击者利用，但安全团队认为如果与某些插件结合使用，尤其是在多站点安装中，就有可能造成严重后果。 Wordfence 的 WordPress 安全专家的 PSA 提供了有关该安全问题的一些技术细节，并解释称该安全问题出现在 WordPress 6.4中引入的”WP_HTML_Token”类中，以改进块编辑器中的 HTML 解析，该类包含一个”__destruct”magic 方法，该方法使用”call_user_func”执行在”on_decurt”属性中定义的函数，并将”bookmark_name”作为参数。 最后，研究人员强调，威胁攻击者能够利用对象注入漏洞，轻松控制这些属性来执行任意代码。 有条件执行回调函数的类析构函数（Patchstack） 尽管该安全漏洞本身可能并不严重，但由于需要在已安装和活动的插件或主题上注入对象，WordPress 核心中存在可利用的 POP 链会显著增加 WordPress 网站的总体风险。Patchstack 针对 WordPress 和插件的安全平台发出的通知中强调，针对该问题的漏洞利用链已于几周前上传至 GitHub，随后被添加到用于 PHP 应用程序安全测试的 PHPGGC 库中。 最后，即使该漏洞只是潜在的安全问题，而且在某些特定情况下才可以被威胁攻击者利用，但安全研究人员还是建议管理员尽快更新到最新的 WordPress 版本。   转自FreeBuf.COM，原文链接：https://www.freebuf.com/news/386057.html 封面来源于网络，如有侵权请联系删除

Forescout Vedere Labs 的安全研究人员在加拿大Sierra Wireless公司的OT / IoT路由器中发现了 一组 21 个漏洞，这些漏洞可能导致远程代码执行、未经授权的访问、跨站点脚本编写、身份验证绕过和拒绝服务攻击。 这些缺陷影响专有的 AirLink 路由器和开源组件，例如 TinyXML 和 OpenNDS。AirLink 路由器广泛应用于工业和关键任务应用，提供高性能和多网络连接。它们广泛应用于政府系统、紧急服务、能源、交通、供水和废水系统、制造和医疗保健。 专家发现的最重要的漏洞有以下 9 个： CVE-2023-41101（OpenDNS 中的远程代码执行，CVSS 评分 9.6） CVE-2023-38316（OpenDNS 中的远程代码执行，CVSS 评分 8.8） CVE-2023-40463（ALEOS 未经授权的访问，CVSS 评分 8.1） CVE-2023-40464（ALEOS 未经授权的访问，CVSS 评分 8.1） CVE-2023-40461（ACEmanager 中的跨站点脚本，CVSS 评分 8.1） CVE-2023-40458（ACEmanager 中的拒绝服务，CVSS 评分 7.5） CVE-2023-40459（ACEmanager 中的拒绝服务，CVSS 评分 7.5） CVE-2023-40462（ACEmanager 中的拒绝服务，与 TinyXML 相关，CVSS 评分 7.5） CVE-2023-40460（ACEmanager 中的跨站点脚本，CVSS 评分 7.1） 对于上面列出的至少五个漏洞，攻击者不需要身份验证即可成功利用它们。 研究人员表示，攻击者可以利用其中一些漏洞来完全控制关键基础设施中的 OT/IoT 路由器。可能会导致网络中断、允许间谍活动或转移到更敏感的资产并引入恶意软件。 AirLink的内置操作系统ALEOS需要尽快更新到4.17.0版本。OpenNDS项目也发布了安全更新，因此该软件也需要更新到版本10.1.3。而 TinyXML 是容错软件，因此不会发布 CVE-2023-40462 的修复程序。 Forescout 还建议采取以下额外步骤来增强保护： 更改 Sierra 无线路由器和类似设备上的默认 SSL 证书； 禁用或限制离线门户、Telnet 和 SSH 等非必要服务； 实施 Web 应用程序防火墙以保护 OT/IoT 路由器免受 Web 漏洞的影响； 配置IDS来监控外部和内部网络流量是否存在安全违规。 有关所有漏洞和攻击原理的更多信息可以在 该公司的技术报告中找到 。同时发现如此大量的漏洞凸显了所有行业（包括关键行业）所使用的网络基础设施的 脆弱性。 为了保护自己免受黑客的攻击，您需要尽一切努力全面加强组织的安全性。   转自安全客，原文链接https://www.anquanke.com/post/id/291711 封面来源于网络，如有侵权请联系删除

美国网络安全和基础设施安全局 (CISA) 将 高通漏洞添加到其已知可利用漏洞 (KEV) 目录中。 以下是添加到目录中的问题列表： CVE-2023-33106  Qualcomm 多芯片组使用超出范围的指针偏移漏洞 CVE-2023-33063  Qualcomm 多芯片组释放后使用漏洞 CVE-2023-33107  Qualcomm 多芯片组整数溢出漏洞 CVE-2022-22071  Qualcomm 多芯片组释放后使用漏洞 该供应商于 2023 年 10 月解决了CVE-2023-33106、CVE-2023-33107和CVE-2023-33063缺陷。该公司还警告说，其中三个0day漏洞在野攻击中被积极利用。CVE-2022-22071 已包含在我们 2022 年 5 月的公共公告中。 谷歌威胁分析小组和谷歌零项目首先报告称，CVE-2023-33106、CVE-2023-33107、CVE-2022-22071和CVE-2023-33063在针对性攻击中被积极利用。 谷歌威胁分析小组和谷歌零项目专家重点关注民族国家行为者或监控公司实施的攻击，这意味着这些威胁行为者之一可能是利用高通缺陷的幕后黑手。 根据约束性操作指令 (BOD) 22-01：降低已知被利用漏洞的重大风险，FCEB 机构必须在到期日之前解决已识别的漏洞，以保护其网络免受利用目录中的缺陷的攻击。 专家还建议私人组织审查 目录 并解决其基础设施中的漏洞。CISA 命令联邦机构在 2023 年 12 月 26 日之前修复这些漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/291732 封面来源于网络，如有侵权请联系删除

谷歌周一宣布，2023 年 12 月的 Android 安全更新针对 94 个漏洞提供了补丁。 更新的第一部分—— 2023年12月1日安全补丁级别——解决了Android框架和系统组件中的33个漏洞。其中三个被评为“严重”。 谷歌在其公告中指出：“这些问题中最严重的是系统组件中的一个关键安全漏洞，可能导致远程（近端/相邻）代码执行，而无需额外的执行权限。 ” 这家互联网巨头解释说，该 RCE 缺陷被追踪为 CVE-2023-40088，影响 Android 11、12、12L、13 和 14，并且不需要用户交互即可成功利用。 最新的 Android 更新还解决了系统组件中的 15 个其他问题，即 10 个权限提升问题和 5 个信息泄露错误。所有这些都被评为“高严重性”。 该更新还修复了 Framework 组件中的 17 个漏洞，其中包括两个导致特权提升和信息泄露的严重错误。 本月 Android 更新的第二部分（ 2023 年 12 月 5 日安全补丁级别）总共解决了 61 个问题，其中包括两个严重缺陷。 这些错误影响 System、Arm、Imagination Technologies、MediaTek、Misc OEM、Unisoc 和 Qualcomm 组件。 2023-12-05 安全补丁级别解决了 2023-12-01 安全补丁级别中解决的所有 61 个问题和漏洞。 周一，谷歌还宣布，2023 年 12 月的 Wear OS 安全更新中包含了针对权限提升漏洞 (CVE-2023-40094) 的补丁。2023 年 12 月 Android Automotive 安全公告中未提及 CVE。 该公司尚未发布安全公告来描述本月 Pixel 设备的更新。谷歌没有提及本月解决的任何漏洞正在被利用。   转自安全客，原文链接：https://www.anquanke.com/post/id/291694 封面来源于网络，如有侵权请联系删除