CISA 在其目录中标注了五个已知的被主动利用的漏洞，要求用户安装各公司发布的修复程序。 在最新的 CISA 公告中增加了五个已知漏洞。受影响的供应商包括微软、思科和 Adobe。CISA 漏洞公告强调了利用上述漏洞给企业带来的危险。 被积极利用的漏洞是CVE-2023-21608（Adobe）、CVE-2023-20109（思科）、CVE-2023-41763（微软）、CVE-2023-36563（微软）和CVE-2023-44487（HTTP/2协议）。 关于被积极利用的漏洞 CISA 漏洞公告敦促联邦文职行政部门 (FCEB) 和所有组织/企业修复五个被主动利用的漏洞。未安装更新的用户很容易被利用。 有关漏洞的详细信息 Adobe Acrobat Reader 的 CVE-2023-21608 影响版本 22.003.20282 及 22.003.20281。如果不及时修复，这些产品的过往版本也容易受到攻击。Adobe Systems 产品的漏洞基础分值为 7.8。通过该漏洞黑客可执行任意代码，但这取决于用户在设备上的操作。 Cisco IOS 和 IOS XE 软件中的 CVE-2023-20109 漏洞可让拥有管理控制权的网络犯罪分子执行任意代码。思科产品中的这一漏洞的基础分值为 6.6，属于中等风险漏洞。 微软 Skype 中的 CVE-2023-41763 漏洞可能会被黑客利用来提升权限。NIST 报告补充说，该漏洞正在等待分析。目前该漏洞的基础分值为 5.3。 微软 WordPad 中的 CVE-2023-36563 漏洞可能会让网络犯罪分子访问 NTLM 哈希值。NTLM 哈希值是微软加密存储密码的格式。这些哈希值通过对选定用户访问数据的身份验证，有助于确保系统安全。该漏洞的基础分值为 6.5。 CVE-2023-44487 也被指出正在等待分析。在撰写本报告时，尚未对其进行评分。该漏洞可让网络犯罪分子发起拒绝服务攻击。2023 年 8 月至 10 月期间发现了利用该漏洞的情况。根据 Cloudflare 的一份报告，该漏洞被网络犯罪分子滥用，每秒发送超过 2.01 亿个请求。 最近记录到的对 CVE-2023-44487 的利用超过了之前此类攻击的最大记录。这次攻击是在滥用了 HTTP/2 协议的某些功能后，利用一个由 2 万台机器组成的僵尸网络实施的。 这五个被积极利用的漏洞表明，在当前的网络犯罪形势下，黑客组织发起的拒绝服务攻击不计其数。因此所有用户都必须认真地安装软件更新。这不仅可以防止自身的数据被利用，还可以防止他们所连接的企业被攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/380407.html 封面来源于网络，如有侵权请联系删除

上周，Linux社区正在积极讨论 Looney Tunables 漏洞 ，该漏洞的漏洞在 该漏洞公开披露后不久就被发布 。 现在， Linux 中发现了一个 与 libcue 开源库中的内存损坏相关的新漏洞。它可以允许攻击者在运行GNOME桌面环境的 Linux 系统上执行任意代码。 Libcue 是一个设计用于分析CUE文件的库，集成到Tracker Miners文件元数据索引器中，默认情况下包含在最新版本的 GNOME 中。 GNOME 是各种 Linux 发行版使用的流行桌面环境，包括 Debian、Ubuntu、Fedora、Red Hat Enterprise 和 SUSE Linux Enterprise。 攻击者可以利用这个在CVE-2023-43641 下跟踪的缺陷 ，通过使用 Tracker Miners 的自动索引器更新运行 GNOME 的设备上的搜索索引来执行恶意代码。 “由于 Tracker Miners 中的使用方式，libcue 中的此漏洞变成了一键式RCE。如果您使用 GNOME，请立即更新。” 发现该漏洞的 GitHub安全研究员 Kevin Backhouse于 10 月 9 日表示。 Backhouse 在视频中展示了他的PoC漏洞，但是该漏洞的公开发布将被推迟，以便让所有 GNOME 用户有时间更新和保护他们的系统 。 尽管该漏洞需要进行一些调整才能在每个 Linux 发行版上正常工作，但研究人员表示，他已经针对 Ubuntu 23.04 和 Fedora 38 平台调整了自己的创作。Backhouse 表示，该漏洞在这些平台上运行“非常可靠”。 虽然成功利用 CVE-2023-43641 需要诱骗潜在受害者下载并激活恶意 CUE 文件，但我们鼓励管理员尽快修补系统并减轻与此安全缺陷相关的风险。该漏洞允许在运行广泛使用的 Linux 发行版最新版本（包括 Debian、Fedora 和 Ubuntu）的设备上执行代码，这可不是开玩笑。 不管怎样，保护解决方案已经存在是件好事，并且它可供易受攻击的发行版的每个用户使用，请尽快更新环境以保护数据。   转自安全客，原文链接：https://www.anquanke.com/post/id/290693 封面来源于网络，如有侵权请联系删除

本周二，命令行工具curl曝出两个漏洞（CVE-2023-38545、CVE-2023-38546），其中一个是高严重性漏洞。漏洞详细信息将于10月11日星期三发布curl v8.4.0修复版本后公布。（目前最新版本是8.3.0） 受上述漏洞影响的包括curl（命令行工具）和libcurl（客户端URL传输库），两个工具用于通过各种网络协议传输数据。其中curl是一种广泛极其广泛的基础开源软件，用于通过URL传输数据。 根据curl的项目介绍，“curl广泛应用于汽车、电视机、路由器、打印机、音频设备、手机、平板电脑、医疗设备、机顶盒、电脑游戏、媒体播放器，并且是数千种软件应用程序的互联网传输引擎，安装量超过200亿，几乎每位互联网用户日常都会用到curl。” 周三即将发布的curl v8.4.0版本将修复的两个漏洞的大致信息如下： CVE-2023-38545，一个影响libcurl库和curl工具的高严重性漏洞； CVE-2023-38546，一个低严重性漏洞，仅影响libcurl。 curl的作者兼首席开发人员Daniel Stenberg表示，这两个漏洞中较严重的一个“可能是curl有史以来最严重的安全漏洞”。 由于Linux系统默认内置curl，因此curl项目方已将漏洞信息通知并共享给各种Linux发行版的开发者，以便他们提前准备补丁/更新，并在curl 8.4.0发布后快速发布。 Stenberg拒绝透露任何漏洞细节，但表示8.4.0版本中没有更改API或ABI。 “即将发布的curl版本中没有API或ABI变化。更新共享libcurl库应该足以解决所有操作系统上的这个问题（漏洞）。”Stenberg指出。 Qualys威胁研究部门的产品经理Saeed Abbasi认为，由于没有API/ABI更改，大大减少了企业安装补丁前的测试和验证工作量，有助于加快补丁修复速度，减少潜在的攻击风险。此外，对于合规性至关重要的行业和项目，无需验证和认证新的（补丁）集成有助于保持对相关法规和标准的合规性，而无需进行新的审计或检查。 但是，由于许多Docker镜像有自己的curl库副本，因此许多都必须重新构建。Docker产品经理Jonathan Roberts建议用户使用Docker Scout在整个容器存储库中查找curl依赖项。 Endor Labs的安全研究员Henrik Plate指出，攻击者需要向存在漏洞的curl/libcurl实例提交URL来利用漏洞。因此在周三的安全更新之前，开发人员应该抢先检索所有curl/libcurl用例并收集重要的上下文信息，特别是正在使用的curl/libcurl版本和特定的用例。上下文信息必须明确输入到curl中的URL是否来自（不受信任的）用户提供的输入，因为攻击者可能有机会提交URL（例如，包含特殊字符或指向攻击者控制的域名）。 因此，缓解漏洞利用风险的措施除了安装补丁，还应限制从不受信任的网络访问存在漏洞的系统。 值得注意的是，安全人员和开发人员面临一个挑战：curl命令行工具可以通过多种不同的方式安装，例如，通过各种Linux发行版使用的yum和apt包管理器，或者更糟糕的是，只需从curl网站下载二进制文件。此类下载和后续执行通常是脚本化的，即Windows批处理文件或Unix shell脚本的一部分，这使得用户很难找到全部用例。 Synopsys高级软件解决方案经理Mike McGuire则警告用户注意“更新陷阱”，因为攻击者很有可能在团队手忙脚乱之际发布隐藏恶意软件的“修复版本”。 Sonatype安全研究员Ax Sharma表示，curl曝出的高严重性漏洞远没有Log4j棘手。因为大多数情况下curl作为命令行程序使用，与操作系统软件包一同分发并作为系统级服务工具提供，这意味着正常的操作系统更新应该能自动处理这个问题。“它与Log4j非常不同，Log4j作为依赖项嵌入，更加底层且没有直接更新功能。”Sharma说道。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/dxkIpvdHW2zCXPSIGfyYQA 封面来源于网络，如有侵权请联系删除

一家俄罗斯公司发布公告，将以最高2000万美元的价格收购iOS和安卓系统的零日漏洞利用链，并拒绝对北约国家销售。 有消息称：一家收购并出售零日漏洞的公司出价2000万美元（约合人民币1.46亿元），向安全研究人员购买黑客工具，帮助该公司的客户入侵iPhone和安卓设备。 这家名为Operation Zero的公司总部位于俄罗斯，于2021年成立。 9月底，Operation Zero在Telegram和X（即推特）官方帐户上宣布，他们将发现主流移动平台零日漏洞的报酬从20万美元提高到2000万美元。 该公司称：“我们提高赏金，并为合同工作提供有竞争力的计划和奖金，意在鼓励开发团队与我们的平台合作。和以前一样，我们的最终用户是非北约国家。公司在其官方网站上表示：“我们的客户仅为俄罗斯的私人和政府组织。” 当被问及他们为什么只向非北约国家售卖产品，Operation Zero首席执行官Sergey Zelenyuk拒绝透露原因。他说：“除了显而易见的原因外，没有其他原因。” Zelenyuk还表示，Operation Zero目前提供的赏金金额可能是暂时的，反映了这段时间特殊的市场行情，以及入侵iOS和安卓系统的难度。 Zelenyuk在一封电子邮件中写道：“特定项目的定价在很大程度上取决于在零日市场上获取产品的难易程度。目前，移动智能手机的全链条漏洞是最昂贵的产品，主要由政府行为者使用。有时，需要某种产品的行为者愿意出高价，赶在他方之前获得产品。 零日漏洞市场中介层出不穷 至少近十年以来，世界各地的各种公司一直向安全研究人员提供赏金，鼓励出售漏洞和利用这些漏洞的黑客技术。与HackerOne或Bugcrowd等传统漏洞赏金平台不同，Operation Zero这样的公司不会向产品易受攻击的供应商发通知，而是将这些漏洞出售给政府客户。 这本质上是一个灰色市场，价格波动大，客户身份通常保密。但是，也有公司像Operation Zero这样公开发布价格表。 比如，Zerodium成立于2015年，提供250万美元的赏金，鼓励寻找让客户无需与目标互动即可入侵安卓设备的漏洞链。打个比方，目标不必点击钓鱼链接就会被黑。Zerodium官网表示，对于上述类型的漏洞链，他们会提供最高200万美元的赏金。 由于现代移动设备的安全缓解措施和防御不断增强，黑客可能需要一系列零日漏洞才能完全入侵并控制目标设备。 总部位于阿联酋的Crowdfense是Zerodium的竞争对手。他们为安卓和iOS系统相同类型的漏洞链开出最高300万美元的赏金。 Zelenyuk表示，他认为Zerodium和Crowdfense提供的赏金不至于降低到如此低的水平。Zelenyuk说：“Zerodium的价格表已经过时。他们不可能还用这么低的价格购买漏洞。他们只是懒得更新价格表。更不更新都不影响零日业务的正常运行。” 零日市场基本上不受监管。但在某些国家，公司可能需要从所在国政府获得出口许可证。本质上，这个过程是请求批准向某些可能受限制的国家出售产品。如此一来，零日市场已被割裂，受政治影响越来越大。   转自安全内参，原文链接：https://www.secrss.com/articles/59452 封面来源于网络，如有侵权请联系删除

近日，来自Google、电子前沿基金会、CyberPeace Institute、ESET、Rapid7、Bugcrowd和趋势科技等多个组织的数十位网络安全专家联名签署并发表了一封公开信，反对欧盟《网络韧性法案》中关于“漏洞利用后24小时内披露”的要求，声称该漏洞披露规定会适得其反，制造新的威胁，并损害数字产品及其用户的安全。 欧盟的《网络韧性法案》（CRA）旨在为包含数字元素的产品设定新的网络安全要求，以加强硬件和软件的网络安全规则，保护消费者和企业免受（网络）安全缺陷的影响。该法案由欧洲委员会主席乌苏拉·冯·德莱恩在2021年9月首次提出，并在2022年9月发布了初始提案。目前，该法案正在由欧盟的共同立法者制定中。 新法案要求企业在24小时内披露未修补的漏洞 CRA的第11条要求制造商和软件发布商在漏洞被利用后的24小时内向（欧盟成员国）政府机构披露未修补的漏洞。这意味着（欧盟成员国）数十个政府机构将能够访问一个实时的漏洞数据库，这个“24小时漏洞库”将包含大量未修补漏洞的信息，成为黑客垂涎欲滴的目标。 “24小时漏洞库”的风险 CRA的漏洞披露规则带来的风险包括情报和监控滥用、暴露给黑客以及对合法安全研究的负面影响等。专家们的公开信中指出：“CRA没有限制通过其披露的漏洞的攻击性用途，几乎所有欧盟成员国都没有透明的监督机制，这为潜在的滥用打开了大门。” 建议的措施 专家们在信中建议CRA采取基于风险的漏洞披露方法，考虑诸如漏洞的严重性、缓解措施的可用性、对用户的潜在影响和更广泛利用的可能性等因素。他们提出了一些修改建议，包括： 禁止机构使用或分享通过CRA披露的漏洞进行情报、监视或攻击性活动； 只有在有效的缓解措施（例如，补丁）公开可用后，才要求在72小时内报告可以缓解的漏洞； CRA不应要求报告通过善意安全研究利用的漏洞等。 今年7月，多个IT和科技行业团体还曾发布一份改进欧盟CRA的建议清单，敦促联合立法者不要将速度置于质量之上，以避免出现意想不到的结果，并建议“漏洞利用后24小时内汇报”仅限于已修复且被积极利用的高危漏洞，以减轻制造商的漏洞报告负担。 结论 在数字化日益普及的今天，如何平衡漏洞披露和安全防御，如何确保信息安全的同时又不妨碍安全研究和技术进步，成为亟待解决的问题。欧盟的网络韧性法案在保护消费者和企业方面迈出了一步，但在漏洞披露的具体规则和实施上，显然还需要进一步的探讨和完善。   转自GoUpSec，原文链接：https://mp.weixin.qq.com/s/qfijJ-8aXJffIKDBE8rIhg 封面来源于网络，如有侵权请联系删除

微软已发布补丁来修复两个流行开源库中的 0-day 漏洞，这些漏洞影响了多种产品，包括 Skype、Teams 及其 Edge 浏览器。 但微软不愿透露这些零日漏洞是否被利用来攻击其产品，或者该公司是否知道其中任何一种情况。 Google和公民实验室的研究人员表示，这两个漏洞（由于开发人员没有提前通知修复这些错误而被称为零日漏洞）是上个月发现的，并且这两个漏洞已被积极利用来针对带有间谍软件的个人。 这些错误是在两个常见的开源库 webp 和 libvpx 中发现的，它们被广泛集成到浏览器、应用程序和手机中以处理图像和视频。 这些库无处不在，再加上安全研究人员警告称这些漏洞被滥用来植入间谍软件，促使科技公司、手机制造商和应用程序开发人员纷纷更新其产品中存在漏洞的库。 微软在周一的一份简短声明中表示，它已经推出了修复程序，解决了 webp 和 libvpx 库中的两个漏洞，并将其集成到其产品中，并承认这两个漏洞都存在漏洞。当联系到微软置评时，微软发言人拒绝透露其产品是否已在外部被利用，或者该公司是否有能力了解情况。 Citizen Lab 的安全研究人员在 9 月初表示，他们发现了证据，表明 NSO Group 的客户使用该公司的 PegASUS间谍软件，利用了最新且已完全修补的iPhone软件中发现的漏洞。 据 Citizen Lab 称，苹果公司在其产品中集成的易受攻击的 webp 库中的漏洞无需设备所有者的任何交互即可被利用，即所谓的零点击攻击。 苹果推出了针对 iPhone、iPad、Mac 和手表的安全修复程序，并承认该漏洞可能已被未知黑客利用。 依赖 Chrome 和其他产品中的 webp 库的Google也于 9 月初开始修补该错误，以保护其用户免受Google表示知道“存在于外部”的漏洞的影响。 开罚Firefox 浏览器和 Thunderbird 电子邮件客户端的 Mozilla 也在其应用程序中修补了该错误，并指出 Mozilla 知道该错误已在其他产品中被利用。 本月晚些时候，Google安全研究人员表示，他们发现了另一个漏洞，这次是在 libvpx 库中，Google称该漏洞已被商业间谍软件供应商滥用，但Google拒绝透露该供应商的名称。 Google很快就推出了更新，以修复集成到 Chrome 中的易受攻击的 libvpx 错误。 苹果周三发布了一个安全更新，修复了 iPhone 和 iPad 中的 libvpx 错误，以及苹果表示的另一个内核漏洞，该漏洞利用了运行 iOS 16.6 之前版本软件的设备。 事实证明，libvpx 中的 0-day 漏洞也影响了微软产品，但目前尚不清楚黑客是否能够利用它来攻击该公司产品的用户。   转自cnBeta，原文链接：https://www.toutiao.com/article/7286221495070917139/?log_from=34346b9858209_1696644430448 封面来源于网络，如有侵权请联系删除

芯片制造商高通公司发布了安全更新，解决了各种组件中的17个漏洞，并警告其他三个积极利用的零日漏洞。 17个漏洞中有3个的严重程度被评为“严重”，13个被评为“高”，1个被评为“中等”。该公司还警告称，另外三个零日漏洞在野外攻击中被积极利用。谷歌威胁分析小组和谷歌Project Zero首先报告称，CVE-2023-33106、CVE-2023-3 3107、CVE-202—22071和CVE-2023—33063在有针对性的攻击中被积极利用。该公司计划在未来几个月内披露被积极利用的漏洞的技术细节。 谷歌威胁分析小组和谷歌Project Zero专家专注于民族国家行为者或监控公司实施的攻击，这意味着这些威胁行为者之一可能是利用高通缺陷的幕后黑手。 高通在公告中写道：“谷歌威胁分析小组和谷歌Project Zero表示有迹象表明，CVE-2023-33106、CVE-2023-3 3107、CVE-202—22071和CVE-2023—3063可能受到有限的、有针对性的利用。针对影响Adreno GPU和Compute DSP驱动程序的问题的补丁已经提供，OEM已收到通知，强烈建议尽快部署安全更新。有关特定设备的修补程序状态的详细信息，请与设备制造商联系。CVE-2022-22071已包含在2022年5月的公开公告中。其余CVE的详细信息将在2023年12月的公开公报中分享。”   芯片制造商解决的三个严重漏洞是：CVE-2023-24855:在调制解调器中使用超范围指针偏移。问题是在AS security Exchange之前处理安全相关配置时，调制解调器内存损坏。 CVE-2023-28540:数据调制解调器中的身份验证不正确。该漏洞是数据调制解调器中的加密问题，由TLS握手过程中的不正确身份验证引起。 CVE-2023-33028:WLAN固件中未检查输入大小的缓冲区复制。该漏洞是在对pmk缓存进行内存复制时发生的WLAN固件内存损坏。 目前没有证据表明上述漏洞在野外攻击中被利用。   转自E安全，原文链接：https://mp.weixin.qq.com/s/j5tY2IV3ZOEcA4Tu2uFVKg 封面来源于网络，如有侵权请联系删除

安全研究员认为，苹果和谷歌最近披露旗下产品零日漏洞缺乏关键信息，可能隐藏了一个上游开源库libwebp的漏洞，将使下游的数百万应用面临“巨大的盲点”，处于攻击危险之中。 有消息称：苹果和谷歌最近披露了自身产品中被积极利用的关键零日漏洞，但是他们披露信息并不完整，造成了“巨大的盲点”，导致全球范围内其他开发者提供的大量应用程序未能得到修补。 两周前，苹果报告称，威胁行为者正在积极利用iOS中的一个关键漏洞，以便安装世界上已知的最先进的恶意软件之一“飞马”（Pegasus）间谍软件。这些攻击使用了零点击的漏洞利用方法，也就是说攻击者不需要与目标进行任何交互，只要接收到iPhone上的来电或短信，就足以被“飞马”感染。 “巨大的盲点” 苹果表示，这个漏洞（编号为CVE-2023-41064）源于ImageIO中的缓冲区溢出漏洞。ImageIO是一个苹果专有软件框架，允许应用程序读取、写入大多数图像文件格式，其中包括WebP格式。苹果将这个零日漏洞的发现，归功于加拿大研究机构公民实验室（Citizen Lab）。 四天后，谷歌报告称， Chrome浏览器中存在一个关键漏洞。该公司表示，这个漏洞源自WebP格式处理组件的堆缓冲区溢出。谷歌进一步警告说，该漏洞已经出现在野利用。谷歌表示，这个漏洞编号是CVE-2023-4863，由苹果安全工程与架构团队和公民实验室报告。 由于上述两个漏洞有诸多相似之处，很多研究人员迅速推测，二者源自同一个基础漏洞。上周四，安全公司Rezillion的研究人员发布一份证据，他们认为这份证据说明，二者源自相同漏洞的“概率极高”，漏洞源头很可能是在libwebp代码库。Libwebp常被应用程序、操作系统和其他代码库用于处理WebP图像。 研究人员称，苹果、谷歌和公民实验室并没有相互协调、准确报告漏洞的共同来源。相反，三方选择使用单独的CVE漏洞编号。研究人员得出结论，漏洞将在“数百万不同的应用程序”中继续存在，直到这些程序也打上了libwebp补丁。他们表示，这样一来，那些开发者用来追踪其产品中已知漏洞的自动化系统将很难检测到正在积极利用的关键漏洞。 Rezillion研究人员Ofri Ouzan和Yotam Perkal写道：“由于该漏洞的影响范围包括带漏洞依赖项的软件产品，只有这些软件产品的漏洞扫描器才能识别出漏洞。那些盲目依赖漏洞扫描结果的组织将面对一个巨大的盲点。” 此外，谷歌将CVE-2023-4863范围限制在Chrome而非libwebp中，因而受到批评。谷歌官方将漏洞描述为Google Chrome中WebP的堆缓冲区溢出。 谷歌代表在一封电子邮件中写道：“许多平台以不同的方式实现WebP。我们没有关于漏洞如何影响其他产品的任何详细信息。我们的重点是尽快向Chromium社区和受影响的Chromium用户提供补丁。对于软件产品来说，最好的做法是跟踪依赖的上游库，从而获取安全补丁和安全改进。” 谷歌代表指出，披露信息和官方CVE页面中提到了WebP图像格式，却没有解释为什么官方CVE和谷歌的披露信息既没有提到广泛使用的libwebp库，也没有表明其他软件也可能存在漏洞。 关于CVE-2023-4863和CVE-2023-41064是否源自同一个漏洞，谷歌代表没有回答。本文发布之前，公民实验室和苹果没有回复记者通过电子邮件提出的问题。 哪些对象会受到影响 尚不清楚有多少使用了libwebp的应用程序、框架、代码库和其他软件包还没有打补丁。 微软在Edge浏览器中修复了CVE-2023-4863，但该公司在上周四的一封电子邮件中表示其他受影响的产品和软件包尚未打补丁。微软代表说，受影响产品的更新“已经准备发布”，但没有提供预计发布时间。 已知尚未打补丁的微软产品包括广泛使用的协作平台Teams，以及开发工具Visual Studio Code。这两个产品都使用了受CVE-2023-4863影响的Electron框架。还有很多其他应用程序也使用Electron。根据维基百科上编制的列表，它们包括： 1Password，balenaEtcher，Basecamp 3，Beaker（网络浏览器），Bitwarden，CrashPlan，Cryptocat（已停用），Discord，Eclipse Theia，FreeTube，GitHub Desktop，GitKraken，Joplin，Keybase，Lbry，Light Table，Logitech Options +，LosslessCut，Mattermost，Microsoft Teams，MongoDB Compass，Mullvad，Notion，Obsidian，QQ（macOS版）。Quasar Framework，Shift，Signal，Skype，Slack，Symphony Chat，Tabby，Termius，TIDAL，Twitch。Visual Studio Code。WebTorrent。Wire。Yammer… 主流浏览器、Linux操作系统以及大量开源软件均包含libwebp库。受影响的软件包数量太多，无法穷举。   转自安全内参，原文链接：https://www.secrss.com/articles/59234 封面来源于网络，如有侵权请联系删除

据不完全统计，使用libwebp组件的下游软件可能超过百万款，或将使其成为下一个Log4Shell漏洞。 有消息称：谷歌为近期热议的libwebp漏洞申请了独立漏洞编号CVE-2023-5129，终结了安全社区的混乱讨论。该漏洞此前曾被攻击者利用发动零日攻击，并在两周前开始披露和修复。 9月6日，苹果安全工程与架构团队与加拿大研究机构公民实验室共同向谷歌报告。公民实验室安全长期监测并披露那些被滥用于发动针对性间谍软件攻击的零日漏洞。 9月11日，谷歌在首次披露时，将这个漏洞归属为Chrome浏览器漏洞（CVE-2023-4863），没有将漏洞归咎于负责WebP格式图像编解码的libwebp开源库。 谷歌错误地将漏洞标记为Chrome缺陷，导致网络安全社区一片混乱。人们开始质疑，为何谷歌将漏洞归类为Chrome问题，而不是识别为libwebp漏洞。 安全咨询公司Isosceles创始人、曾领导谷歌Project Zero团队的Ben Hawkes还将CVE-2023-4863与苹果于9月7日修复的CVE-2023-41064漏洞联系在一起。后者被滥用于发动零点击iMessage攻击链（称为BLASTPASS），感染已完全修补的iPhone，并安装NSO集团开发的“飞马”商业间谍软件。 新的“满分”严重漏洞 现在，这个漏洞已经分配了新的漏洞编号CVE-2023-5129，并被标记为libwebp的严重漏洞，威胁等级达到最高的满分10分。这一变化对于使用libwebp开源库的其他软件具有重大意义。 漏洞被正式认定为libwebp缺陷，它涉及WebP中的堆缓冲区溢出，影响116.0.5845.187之前的Chrome版本。 这个漏洞位于libwebp用于无损压缩的哈夫曼编码算法内。它使攻击者能够使用恶意构建的HTML页面执行越界内存写入。 这种类型的漏洞利用可能会导致崩溃、任意代码执行、未经授权访问敏感信息等严重后果。 将CVE-2023-5129重新分类为libwebp漏洞非常重要。因为最初，业界未能发现该漏洞对许多使用libwebp的项目构成潜在安全威胁。这些项目包括1Password、Signal、Safari、火狐、Microsoft Edge、Opera和原生安卓网络浏览器等。 修订后的威胁等级说明，上述软件必须尽快处理这一安全漏洞（CVE-2023-5129），确保用户数据安全。   转自安全内参，原文链接：https://www.secrss.com/articles/59273 封面来源于网络，如有侵权请联系删除

据The Hacker News消息， Google 旗下威胁情报公司Mandiant近期披露了在N-Able Take Control Agent 中发现的一个高严重性安全漏洞，本地非特权攻击者可以利用该漏洞来获取Windows系统权限。 该漏洞被追踪为CVE-2023-27470（CVSS 评分：8.8），与 TOCTOU 竞争条件漏洞有关。TOCTOU属于软件缺陷类别漏洞，其中程序会检查资源状态的特定值，但该值在实际使用之前发生变化，从而使检查结果无效。利用此类缺陷可能会导致完整性丧失，并诱骗程序执行不应执行的操作，从而允许攻击者访问未经授权的资源，甚至删除系统上的任意文件。 根据Mandiant 的说法，CVE-2023-27470 是由于记录多个文件删除事件（例如名为 aaa.txt 和 bbb.txt 的文件）之间的 Take Control Agent (BASupSrvcUpdater.exe)  TOCTOU 竞争条件引起，以及来自名为“C:\ProgramData\GetSupportService_N-Central\PushUpdates”的特定文件夹删除操作。 Mandiant 安全研究员 Andrew Oliveau 表示：“简单来说，虽然 BASupSrvcUpdater.exe 记录了 aaa.txt 的删除，但攻击者可以迅速用符号链接替换 bbb.txt 文件，从而将进程重定向到系统上的任意文件。” 更令人担忧的是，这种任意删除文件的行为可能会被武器化，利用针对 Windows 安装程序回滚功能的竞合条件攻击来确保高位命令提示符的安全，从而可能导致代码执行。 Oliveau指出，任意文件删除漏洞不再局限于拒绝服务攻击，还可以作为一种手段来实现高级代码执行。这种漏洞可以与 MSI的回滚功能相结合，将任意文件引入系统。 该漏洞具体影响 7.0.41.1141 及之前版本，并已在2023 年 3 月 15 日发布的 7.0.43 版本中得到解决。   转自Freebuf，原文链接：https://www.freebuf.com/news/378432.html 封面来源于网络，如有侵权请联系删除