近日，微软称正在调查安装2023年12月的Office安全更新补丁后，一打开.ICS日历文件就会触发Outlook安全警报的问题。 受到此问题影响的Microsoft 365用户报告称，在双击保存在本地的ICS文件时，会弹出包含“ Microsoft Office已发现潜在的安全问题”和“此位置可能不安全”内容的警告对话框。 微软支持文档中解释称，正常情况下用户打开 .ICS 文件时不会出现这种行为，所以这是一个漏洞，将会在后续的更新中得以解决。 该公司还透露，在部署修补 CVE-2023-35636 Microsoft Outlook 信息泄露漏洞的安全更新后，将显示安全警告。如果不对该漏洞进行修补，黑客就会利用该安全漏洞诱骗未修补 Outlook 安装的用户打开恶意制作的文件，从而窃取 NTLM 哈希值（其混淆的 Windows 凭据）。黑客可以利用它们来验证被攻击用户的身份、访问敏感数据或在网上传播。 微软 Outlook ICS 安全通知 可通过注册表键值禁用安全提示 在找到解决方案之前，Redmond 为受影响的用户提供了一个临时修复方案，即通过注册表键值禁用安全提示。 不过采取了这个方法后，除了收不到 ICS 日历提示，也无法再收到所有其他潜在危险文件类型的安全提示。受到这个漏洞影响的用户必须添加一个新的 DWORD 键，值为 “1”： HKEY_CURRENT_USER\software\policies\microsoft\office\16.0\common\security （组策略注册表路径） Computer\HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Security （OCT 注册表路径） 受影响的客户还可以按照 “在 Office 程序中启用或禁用超链接警告消息 “支持文档中提供的分步说明禁用对话框。 本月早些时候，微软修复了另一个已知的 Outlook 问题，该问题导致台式机和移动电子邮件客户端在使用 Outlook.com 账户时无法连接。 去年12 月，该公司又解决了两个导致用户在发送电子邮件时遇到大量文件夹的漏洞，以及一个导致 Outlook 桌面客户端在从 Outlook.com 账户发送电子邮件时崩溃的漏洞。   转自Freebuf，原文链接：https://www.freebuf.com/news/391656.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer 网站消息，2023 年 11 月，Snyk 安全研究员 Rory McNamara 发现了四个统称为 “Leaky Vessels “的漏洞群。据悉，这些漏洞允许黑客逃离容器并访问底层主机操作系统上的数据信息。 发现安全漏洞问题后，安全研究员立即将这一问题报告给了受影响的各方，以便进行及时修复。值得一提的是，安全研究员没有发现泄漏容器漏洞在野外被积极利用的迹象，但是还是建议所有受影响的系统管理员尽快应用可用的安全更新。 安全漏洞影响范围广泛，危害极大 容器是打包到一个文件中的应用程序，包含运行应用程序所需的所有运行时依赖项、可执行文件和代码，一般由 Docker 和 Kubernetes 等平台执行，这些平台在与操作系统隔离的虚拟化环境中运行应用程序。 当威黑客或恶意应用程序脱离隔离的容器环境，未经授权访问主机系统或其他容器时，就会发生容器逃逸。Snyk 团队发现四个统称为 “Leaky Vessels “的漏洞，主要影响了 runc 和 Buildkit 容器基础架构和构建工具，可能允许威胁攻击者在各种软件产品上执行容器逃逸。 演示图片：https://www.bleepstatic.com/images/news/security/l/leaky-vessels/blog-cve-2024-21626-docker-run%5B1%5D.gif 由于多种流行的容器管理软件（如 Docker 和 Kubernetes）都在使用 runc 或 Buildkit，因此安全漏洞造成的网络完全风险显得尤为严重。 ”Leaky Vessels “漏洞概述如下： CVE-2024-21626：该漏洞源于 runc 中 WORKDIR 命令的操作顺序漏洞，允许威胁攻击者逃离容器的隔离环境，对主机操作系统进行未经授权的访问，并可能危及整个系统； CVE-2024-23651：Buildkit 的挂载缓存处理中的竞赛条件导致不可预测的行为，可能允许黑客操纵进程进行未经授权的访问或破坏正常的容器操作； CVE-2024-23652：允许在 Buildkit 的容器拆卸阶段任意删除文件或目录的漏洞，可能导致拒绝服务、数据损坏或未经授权的数据操作； CVE-2024-23653：该漏洞源于 Buildkit 的 GRPC 接口权限检查不足，可能允许黑客执行超出其权限的操作，导致权限升级或未经授权访问敏感数据。 “Leaky Vessels “安全漏洞群的补救措施 鉴于 Buildkit 和 runc 被 Docker 等流行项目和多个 Linux 发行版广泛使用，因此 Snyk 安全研究团队、受影响组件（runc 和 Buildkit）的维护者以及更广泛的容器基础架构社区需要采取协调一致的行动，立刻修补 “Leaky Vessels “漏洞群。 2024 年 1 月 31 日，Buildkit 在 0.12.5 版本中修复了安全漏洞，runc 在 1.1.12 版本中解决了影响它的安全漏洞问题。Docker 也在同一天发布了 4.27.0 版，在其 Moby 引擎中纳入了组件的安全版本 25.0.1 和 24.0.8。 随后，亚马逊网络服务、谷歌云和 Ubuntu 相继发布了安全公告，指导用户采取适当步骤解决其软件和服务中的安全漏洞。最后，CISA 还发布了一份警报，敦促云系统管理员采取适当措施，确保其系统免受潜在攻击。   转自Freebuf，原文链接：https://www.freebuf.com/news/391525.html 封面来源于网络，如有侵权请联系删除  

Pen Test Partners发现空客公司的 Flysmart+ Manager 应用程序包中存在严重漏洞。 适用于 iPad 的Flysmart+ Manager应用程序是由空中客车公司旗下的NAVBLUE部门开发的，该应用旨在在电子飞行员设备（EFB）以及其他程序和设备上同步和安装最新的航空数据。 Pen Test Partners专家发现，Flysmart+ Manager中的一个主要安全机制被故意禁用。因此，该应用程序可以通过不安全的通道与服务器交换数据，为黑客攻击提供了充足的机会。 电子飞行包（EFB）用于存储和快速访问飞行所需的关键信息。然而，在机场和酒店停留期间，利用该漏洞，可以通过Wi-Fi网络访问它们。在这种情况下，干预很可能不会被发现，因为标准航空公司程序并非旨在检测此类威胁。 iOS版本的Flysmart+ Manager中已禁用应用程序传输安全（ATS）保护。通过分析，Pen Test Partners专家能够访问NAVBLUE服务器上的机密数据。除此之外，他们还能够研究SQLite数据库的结构，其中包含有关飞机特性和起飞性能参数的关键信息。 表格对于正确计算飞机能力至关重要，尤其是在起飞和着陆期间。例如，最低设备清单或标准离场程序表中的错误可能会导致危险的燃料短缺事件。对发动机性能的错误计算会导致例如超速，这是最无害的情况。 研究人员表示：“我们已经与波音、汉莎航空和空客公司合作解决这些漏洞，并且很高兴该问题已成功解决——这是航空安全领域的一项重大成就，禁用 ATS 还允许攻击者拦截和解密任何敏感信息。” 在2022年6月28日向空中客车公司报告该漏洞后，该公司承认了该问题，并承诺在2022年底前在下一版本的Flysmart+ Manager中修复该问题。2023年2月22日，空客专家正式确认应用程序已更新，飞机不再处于危险之中。同年5月26日，该问题解决方案的详细信息已发送给该公司的客户。 Pen Test Partners 专家在致力于网络安全问题的主要会议（包括拉斯维加斯举行的 DEF CON 31）上介绍了该研究的结果。演讲的主题是对发现的漏洞的详细分析以及空中客车公司消除该漏洞的时间顺序。 此外，Pen Test Partners 专家还在 2023 年在都柏林举办的航空航天村和航空 ISAC 活动上展示了结果。   转自安全客，原文链接：https://www.anquanke.com/post/id/293084 封面来源于网络，如有侵权请联系删除

安全研究人员最近在 Google 旗舰开源产品之一 Bazel 中发现了一个供应链漏洞。 该缺陷主要围绕依赖 GitHub Actions 工作流程中的命令注入漏洞，可能允许恶意行为者将有害代码插入 Bazel 的代码库中。 Cycode 研究人员表示，这种情况的严重性意味着它可能会影响各种平台上的数百万个项目和用户，包括 Kubernetes、Angular、Uber、LinkedIn、Databricks、Dropbox、Nvidia 和 Google 本身。 从技术角度来看，这一发现主要针对 GitHub Actions，这是一个持续集成和持续交付 (CI/CD) 平台。 GitHub Actions 允许用户通过可定制的工作流程自动化构建、测试和部署流程。但是，使用充当单独工作流任务的自定义操作会带来复杂性和潜在的安全风险。 了解有关 GitHub 漏洞的更多信息：安全专家敦促 IT 部门锁定 GitHub 服务 在今天早些时候发布的一份公告中，Cycode 强调，工作流程中的广泛依赖性（通常利用第三方操作）给软件供应链的安全带来了挑战。 该公司的研究重点关注间接依赖项中的漏洞，例如自定义操作，这些漏洞可能驻留在不同的存储库、生态系统中并由不同的维护者负责。本文讨论了 GitHub Actions 生态系统中的自定义操作带来的风险，特别是复合操作，它将多个工作流程步骤组合到一个操作中。 该通报还深入探讨了 Bazel 的 GitHub Actions 工作流程中发现的漏洞的具体情况，详细说明了从触发工作流程到注入点的步骤。一个关键问题是由于复合操作中缺乏适当的输入验证而导致注入和执行任意命令的能力。 Cycode 研究团队于 2023 年 11 月 1 日通过 Google 漏洞奖励计划及时报告了该漏洞，几天后就收到了确认。随后，Google 在 12 月 5 日之前解决并纠正了 Bazel 中的易受攻击的组件。 实施了必要的修复，包括更新工作流基础权限和修改相关操作，消除了命令注入漏洞。   转自安全客，原文链接：https://www.anquanke.com/post/id/293066 封面来源于网络，如有侵权请联系删除

FritzFrog 加密挖矿僵尸网络具有新的增长潜力：最近分析的该僵尸程序变体正在利用 Log4Shell (CVE-2021-44228) 和 PwnKit (CVE-2021-4034) 漏洞进行横向移动和权限升级。 FritzFrog 僵尸网络 FritzFrog 僵尸网络最初于 2020 年 8 月被发现，是一个点对点（而非集中控制）僵尸网络，由用 Golang 编写的恶意软件提供支持。它通过暴力破解登录凭据来攻击 SSH 服务器，并已成功入侵全球数千台服务器。 Akamai 安全情报组织 (SIG) 指出：“每台受感染的主机都成为 FritzFrog 网络的一部分，它与受感染的对等主机进行通信以共享信息、有效负载和配置。” 僵尸网络的最终目标是利用受感染的服务器进行秘密加密货币挖掘。 FritzFrog 僵尸网络的新功能 该机器人恶意软件不断更新新的和改进的功能。“[FritzFrog’s] P2P 实现是从头开始编写的，这提醒我们攻击者是高度专业的软件开发人员，”研究人员指出。 该恶意软件的最新版本尝试通过 SSH 暴力破解或利用臭名昭著的 Log4Shell 漏洞来针对内部网络中的所有主机。 “FritzFrog 通过在端口 8080、8090、8888 和 9000 上查找 HTTP 服务器来识别潜在的 Log4Shell 目标。要触发该漏洞，攻击者需要强制易受攻击的 log4j 应用程序记录包含有效负载的数据，”安全研究人员 Ori David 解释道。 “FritzFrog 在众多 HTTP 标头中发送 Log4Shell 有效负载，希望应用程序至少记录其中之一。这种暴力破解方法旨在成为一种通用的 Log4Shell 漏洞，可以影响各种应用程序。” 它的创建者正在利用这样一个事实：许多组织已经在面向互联网的应用程序上修补了 Log4Shell，但尚未对内部资产进行相同的操作。 FritzFrog 还尝试利用PwnKit (CVE-2021-4034)（PolKit Linux 组件中的一个漏洞）来连接pkexec 二进制文件（该二进制文件以 root 权限运行（即使由弱用户执行）），最终加载并执行 FritzFrog 的二进制。 研究人员指出，由于大多数 Linux 发行版上默认预装了 PolKit，因此许多未打补丁的设备仍然容易受到攻击。 最后，FritzFrog 通过确保尽可能不将文件删除到磁盘上来设法逃避检测。 防御措施 研究人员提供了一个检测脚本，企业防御者可以使用它来检查其 SSH 服务器是否存在 FritzFrog 感染迹象。 不过，一般来说，管理员应注意使用长且唯一的密码并启用多因素身份验证来保护对其服务器的 SSH 访问。 网络分段可以挫败 FritzFrog（和其他恶意软件）的横向移动能力。研究人员总结道：“基于软件的分割可能是一种相对简单的解决方案，具有持久的防御影响。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293068 封面来源于网络，如有侵权请联系删除

美国政府网络安全机构 CISA 采取前所未有的举措，要求联邦机构在 48 小时内断开 Ivanti Connect Secure 和 Ivanti Policy Secure 产品的所有实例。 该机构在一份新的紧急指令中表示：“尽快且不晚于 2024 年 2 月 2 日星期五晚上 11:59，断开所有 Ivanti Connect Secure 和 Ivanti Policy Secure 解决方案产品实例与机构网络的连接”，该指令加大了压力，帮助防御者缓解至少三个在野外被积极利用的 Ivanti 安全漏洞。 CISA 正在推动联邦民事行政部门 (FCEB) 机构“继续对连接到或最近连接到受影响的 Ivanti 设备的任何系统进行威胁搜寻”，并监控可能暴露的身份验证或身份管理服务。 该机构表示，联邦网络管理员还必须在 48 小时内最大程度地将系统与任何企业资源隔离，并继续审核特权级别访问帐户。 为了使产品重新投入使用，CISA 表示，各机构需要导出设备配置设置，按照 Ivanti 的说明完成出厂重置，并重建设备并升级到完全修补的软件版本。 在努力满足自己的补丁交付时间表后，Ivanti 于周三开始按交错时间表推出修复程序，并披露了面向企业的 VPN 设备中的两个新安全缺陷。 Ivanti 记录了四个独立的漏洞风险： CVE-2023-46805——Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure 的 Web组件中存在身份验证绕过漏洞，允许远程攻击者绕过控制检查来访问受限资源。CVSS 严重性评分 8.2/10。已确认被利用为0Day漏洞。 CVE-2024-21887 ——Ivanti Connect Secure（9.x、22.x）和Ivanti Policy Secure Web 组件中的命令注入漏洞允许经过身份验证的管理员发送特制请求并在设备上执行任意命令。该漏洞可通过互联网被利用。CVSS 评分9.1/10。已确认被利用。 CVE-2024-21888 ——Ivanti Connect Secure（9.x、22.x）和 Ivanti Policy Secure（9.x、22.x）的Web组件中存在权限提升漏洞，允许用户将权限提升至行政人员。CVSS评分 8.8/10。 CVE-2024-21893 ——Ivanti Connect Secure（9.x、22.x）、Ivanti Policy Secure（9.x、22.x）和 Ivanti     Neurons for ZTA 的 SAML 组件中存在服务器端请求伪造漏洞，允许攻击者无需身份验证即可访问某些受限资源。CVSS 严重性评分8.2/10。已确认有针对性的利用。 三周前，Volexity 首次发现了对这些问题的利用，并警告说，某国背景的 APT 黑客团队已经建立了一条漏洞链来侵入美国组织。 Mandiant 的恶意软件猎人报告通过自动化方法进行的“广泛的利用活动”，并指出与某国有关的黑客早在 2023 年 12 月 3 日就已经发现了这些漏洞。《安全周刊》消息人士称，网络犯罪组织已利用公开的漏洞部署加密器和后门。   转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/b5IKSQpozAIokvnp_P6pjg 封面来源于网络，如有侵权请联系删除

系统库中的一个严重漏洞再次引发了有关 Linux 安全性的问题。 非特权攻击者可以通过利用最近披露的GNU C 库 ( glibc ) 中的本地权限提升 ( LPE )漏洞，在默认配置下获得对多个主要Linux发行版的root访问权限。 此安全问题被跟踪为 CVE-2023-6246 ，与 glibc 中用于将消息写入 syslog 的“__vsyslog_internal()”函数相关。该缺陷于 2022 年 8 月在 glibc 版本 2.37 中意外引入，然后在修复另一个漏洞 ( CVE-2022-39046 )时转移到版本 2.36 。 正如Qualys 的研究人员所指出的，该漏洞造成了严重的威胁，因为它允许通过为使用日志功能的应用程序专门准备的输入数据将权限提升到根级别。 该漏洞影响Debian 12 和 13、Ubuntu 23.04 和 23.10 以及Fedora 37 至 39 等系统。不过，研究人员认为其他发行版也可能容易受到此威胁。 除了 CVE-2023-6246 之外，glibc 中还发现了其他漏洞，包括同一“__vsyslog_internal()”函数中的两个漏洞（ CVE-2023-6779 和 CVE-2023-6780 ），以及 glibc 中的内存损坏问题。 所发现的弱点凸显了软件开发中强有力的安全措施的重要性，特别是对于在许多系统和应用程序中广泛使用的关键库。 在过去的几年里，Qualys 研究人员发现了几个 Linux 安全漏洞，这些漏洞可能使攻击者能够完全控制未修补的 Linux 系统，即使在标准配置下也是如此。 这些漏洞包括glibc动态库加载器 （Looney Tunables）中的漏洞 、Polkit的pkexec组件 （PwnKit）中的 漏洞、内核文件系统 （Sequoia）中的 漏洞以及Sudo Unix （Baron Samedit）中的漏洞 。   转自安全客，原文链接：https://www.anquanke.com/post/id/293035 封面来源于网络，如有侵权请联系删除

研究人员发现了容器引擎组件中的四个漏洞，他们将其称为“Leaky Vessels”，其中三个漏洞为攻击者提供了突破容器并在底层主机系统上执行恶意操作的方法。 其中一个漏洞（编号为CVE-2024-21626）影响 runC（适用于 Docker 和其他容器环境的轻量级容器运行时）。它是四个漏洞中最紧急的一个，CVSS 评分标准的严重性评分为 8.6 分（满分 10 分）。 Snyk 的安全研究员 Rory McNamara（该公司发现了这些缺陷并将其报告给 Docker）表示，runC 漏洞可以在容器的构建时和运行时实现容器逃逸。 在最坏的情况下，未经授权访问底层主机操作系统的攻击者可能会访问同一主机上运行的任何其他内容，包括但不限于允许对手发起进一步攻击的关键凭据。 McNamara 警告说：“由于此漏洞会影响任何使用容器构建应用程序的人（基本上是全球所有云原生开发人员），未经检查的访问可能会损害整个 Docker 或 Kubernetes 主机系统。” Leaky Vessels 缺陷 其他三个漏洞影响 BuildKit，Docker 的默认容器镜像构建工具包。其中之一 ( CVE-2024-23651)涉及与运行时缓存层的安装方式相关的竞争条件。另一个 ( CVE-2024-23653 ) 影响 BuildKit 远程过程调用协议中的安全模型；第三个漏洞（CVE-2024-23652）是一个文件删除漏洞，也在 BuildKit 中。 在 1 月 31 日的博客文章中，安全供应商建议组织“检查提供容器运行时环境的任何供应商的更新，包括 Docker、Kubernetes 供应商、云容器服务和开源社区。” Snyk 指出，受影响的容器映像组件和构建工具的广泛使用是组织在提供商提供可用后立即升级到固定版本的原因。 其中两个 Docker BuildKit 漏洞（CVE-2024-23651 和 CVE-2024-23653）仅在构建时进行转义。“最后一个 Docker 漏洞 (CVE-2024-23652) 是任意主机文件删除，这意味着它不是典型的容器逃逸，”麦克纳马拉说。 一个日益严重的问题 容器漏洞给企业组织带来了一个日益严重的问题。Sysdig 去年进行的一项研究发现，生产中87% 的容器镜像中至少存在一个高严重性或严重性漏洞。该公司将高比例的漏洞归因于组织匆忙部署云应用程序而没有适当关注安全问题。Rezilion 在 2023 年的研究发现了数百个 Docker 容器映像，其中包含标准漏洞检测和软件组合分析工具无法检测到的漏洞。 这一趋势导致去年人们对集装箱安全的看法发生了变化。例如，D-Zone 的一项调查发现，只有 51% 的受访者表示容器化使他们的应用程序更加安全，而 2021 年这一比例为 69%。约 44% 的受访者表示容器化实际上降低了他们的应用程序环境的安全性，而这一数字仅为 7% 2021 年的百分比。 高访问要求 McNamara 表示，Snyk 发现的四个漏洞相对容易利用，并且通常涉及不到 30 行的 Dockerfile。然而，他说，访问要求很高。要利用这些缺陷，攻击者需要能够执行以下操作：在目标上运行任意容器；在目标上构建任意容器；或危害上游容器或导致受害系统使用受控上游容器。 McNamara 表示，这些缺陷并不是真正可以远程执行的，除非 Kubernetes 和类似受影响的环境可以通过网络访问。“但从真正的‘远程’利用的意义上来说，答案是否定的，”他说。“仍然需要充分访问该环境，使其在功能上是本地的。”   转自安全客，原文链接：https://www.anquanke.com/post/id/293037 封面来源于网络，如有侵权请联系删除

美国安全机构 CISA 本周通知各组织，一些 Westermo Lynx 工业交换机受到多个漏洞的影响，发现这些漏洞的研究人员表示，这些漏洞可被用来篡改设备。 根据CISA的通报，Lynx 206-F2G工业以太网交换机受到八个漏洞的影响，其中包括两个高严重性问题和六个中度严重性问题。 西班牙网络安全公司 S21sec 的 Aarón Flecha Menéndez、Iván Alonso Álvarez 和 Víctor Bello Cuevas 因发现这些漏洞而受到赞誉。 研究人员告诉SecurityWeek，其中几个安全漏洞是存储的跨站点脚本 (XSS) 错误，这些错误允许非管理员访问交换机的 Web 管理界面或配置软件的攻击者在不同位置植入恶意代码。当合法用户访问植入代码的页面时，恶意代码就会被执行。 他们还发现了代码注入和跨域资源共享问题（这两者都可能影响设备的正确运行）以及跨站点请求伪造 (CSRF) 漏洞，可利用该漏洞让目标用户执行各种操作代表攻击者。 研究人员告诉《SecurityWeek》：“远程访问设备的攻击者可能会注入恶意代码来修改设备网络功能的行为、修改交换机管理的通信或拒绝用户访问。” 专家还指出，他们发现了十多个暴露于互联网的设备，可能容易受到远程攻击。 然而，他们指出，虽然社会工程技术可能允许攻击者在未经身份验证的情况下利用某些漏洞，但某些缺陷并不容易被利用。 例如，在 CSRF 漏洞的情况下，目标用户需要经过身份验证，并且存在可以阻止攻击尝试的反 CSRF 标头。 Westermo 尚未针对这些漏洞发布安全公告。不过，该公司告诉 CISA，CSRF 缺陷已得到修复，其余问题将在未来得到解决。   转自安全客，原文链接：https://www.anquanke.com/post/id/292949 封面来源于网络，如有侵权请联系删除

The Hacker News 网站消息，思科近期发布了一个新安全补丁，解决了影响统一通信和联络中心解决方案产品的关键安全漏洞，该漏洞可能允许未经认证的远程威胁攻击者在受影响的设备上执行任意代码。 安全漏洞被跟踪为 CVE-2024-20253（CVSS 得分：9.9），Synacktiv 安全研究员 Julien Egloff 发现并报告这一问题。据悉，漏洞主要源于对用户提供的数据不当处理，威胁攻击者能够滥用这些数据向受影响设备的监听端口发送特制信息。 思科在一份公告中表示，一旦威胁攻击者成功利用 CVE-2024-20253 安全漏洞，便可以使用网络服务用户的权限在底层操作系统上执行任意命令，通过访问底层操作系统，威胁攻击者还可以在受影响的设备上建立 root 访问权限。受该漏洞影响的产品包括： 统一通信管理器（版本 11.5、12.5(1) 和 14） 统一通信管理器即时消息和出席服务（版本 11.5(1)、12.5(1) 和 14） 统一通信管理器会话管理版（版本 11.5、12.5(1) 和 14） 统一联络中心快车（12.0 及更早版本和 12.5(1) 版本） 统一连接（版本 11.5(1)、12.5(1) 和 14），以及 虚拟语音浏览器（12.0 及更早版本、12.5(1) 和 12.5(2) 版） 值得一提的是，目前尚没有解决 CVE-2024-20253 安全漏洞的具体方法，但网络设备制造商思科方面敦促用户尽快设置访问控制列表，以最大程度上限制无法立即应用安全更新的访问。 此外，思科方面还表示，用户也可以在思科统一通信或思科联络中心解决方案集群与用户和网络其他部分隔离开的中间设备上建立访问控制列表（ACL），只允许访问已部署服务的端口。 思科近期屡屡曝出安全漏洞问题，几周前，思科才发布了针对影响 Unity Connection 的重大安全漏洞（CVE-2024-20272，CVSS 得分：7.3）的安全更新修复程序。   转自Freebuf，原文链接：https://www.freebuf.com/news/390855.html 封面来源于网络，如有侵权请联系删除