谷歌在2024年初发布了针对 Android 平台 58 个漏洞的补丁，并修复了 Pixel 设备中的 3 个安全漏洞。 2024年1月的首次安全更新于1月1日发布，着重修补了系统框架和组件中的10个被评定为“高危”的安全漏洞。 谷歌在其公告中指出：“这些问题中最严重的是框架组件中的一个高安全漏洞，可能会导致未授权的本地权限提升。” 该安全更新解决了框架组件中的五个缺陷，包括四个权限提升和一个信息泄露错误。系统组件中还解决了其他五个问题，包括一项特权提升和四项信息泄露缺陷。 更新的第二部分，即 2024 年 1 月 5 日安全补丁级别，包括针对 Arm、Imagination Technologies、MediaTek、Unisoc 和 Qualcomm 组件中的 48 个漏洞的补丁。 虽然大多数已解决的错误的严重性评级为“高”，但高通组件中的三个问题被评级为“严重”。 所有经过2024年1月5日安全补丁更新的设备都已经得到全面修复，不仅解决了这次的问题，还包括之前所有 Android 的安全补丁。 本月，谷歌修复了影响 Pixel 设备的三个安全缺陷，所有缺陷均由高通组件构成，且全部被评为“中等严重性”。 运行安全补丁级别为 2024 年 1 月 5 日的 Pixel 设备已针对这些缺陷进行了修补，同样得到修补的还有 Android 2024 年 1 月安全公告中详细介绍的所有错误。 谷歌还宣布修复了 Wear OS 中的一个高严重性漏洞，该漏洞作为更新的一部分得到解决，该更新还包括 Android 2024 年 1 月安全更新的补丁。 所有这些缺陷也通过 Pixel Watch 设备的 2024-01-05 补丁级别更新得到解决。 尽管谷歌没有提到这些漏洞是否被实际利用，但强烈建议用户尽快更新他们的设备以确保安全。   转自安全客，原文链接：https://www.anquanke.com/post/id/292568 封面来源于网络，如有侵权请联系删除

WordPress 的 AI Engine 插件中发现了一个严重漏洞，特别影响其拥有超过 50,000 个活跃安装的免费版本。 该插件因其多样化的人工智能相关功能而受到广泛认可，允许用户创建聊天机器人、管理内容并利用各种人工智能工具，如翻译、搜索引擎优化等。 根据 Patchstack 今天发布的公告，所涉及的安全缺陷是 files.php 模块中插件的 rest_upload 函数中未经身份验证的任意文件上传漏洞。 该漏洞允许任何未经身份验证的用户上传任意文件，包括潜在的恶意 PHP 文件，这可能导致在受影响的系统上远程执行代码。 值得注意的是，相关REST API端点的permission_callback参数设置为__return_true，允许任何未经身份验证的用户触发易受攻击的函数。代码中缺乏正确的文件类型和扩展名验证，允许上传任意文件，从而构成重大安全风险。 了解有关 WordPress 安全性的更多信息：备份迁移 WordPress 插件缺陷影响 90,000 个站点 为了缓解此漏洞，该插件的开发团队在 1.9.99 版本中引入了补丁。该补丁对自定义 REST API 端点实施权限检查，并使用 wp_check_filetype_and_ext 函数合并文件类型和扩展名检查。 鉴于这些发现，强烈建议用户将其 AI Engine 插件更新到至少 1.9.99 版本，以确保他们的系统免受潜在的利用。已分配标识符 CVE-2023-51409 来跟踪该问题。 Patchstack 公告中写道：“始终检查插件或主题代码中 $_FILES 参数的每个进程。 ” “在上传文件之前，请务必检查文件名和扩展名。另外，请特别注意自定义 REST API 端点的权限检查。”   转自安全客，原文链接：https://www.anquanke.com/post/id/292502 封面来源于网络，如有侵权请联系删除

2023 年总共分配了超过 28,000 个 CVE ID，并命名了 84 个新的 CVE 编号机构 (CNA)。 与上一年相比，2023 年指定 CVE 编号机构 (CNA) 的组织数量以及分配的常见漏洞和暴露 (CVE) 标识符的数量有所增加。 思科威胁检测与响应首席工程师 Jerry Gamblin 表示，2023 年发布了 28,902 个 CVE，高于 2022 年的 25,081 个。平均每天有近 80 个新 CVE。自 2017 年以来，已发布的 CVE 数量一直在稳步增加。 从严重程度来看，2023 个 CVE 的平均 CVSS 评分为 7.12，其中 36 个漏洞的评分为 10。 根据MITRE 维护、美国政府赞助的 CVE 计划的数据，2023 年宣布的新 CNA 数量从 2022 年的 56 个增加到 84 个。目前，有来自 38 个国家的近 350 个 CNA。 CNA 是供应商、网络安全公司和其他组织，它们被允许将 CVE 标识符分配给自己的产品和/或其他产品中发现的漏洞。 新的 CNA 名单包括独立黑客组织，例如 Austin Hackers Anonymous；ServiceNow、开放设计联盟等软件组织；Schweitzer Engineering Laboratories、AMI、Moxa、Phoenix Technologies 和 Arm 等硬件制造商；政府机构，例如芬兰国家网络安全中心 (NCSC-FI)；网络安全公司，例如 Mandiant、Checkmarx、Otorio、VulnCheck、CrowdStrike、SEC Consult、Illumio 和 HiddenLayer；以及印刷巨头利盟、佳能（欧洲、中东和非洲）和施乐。 Gamblin 指出，2023 年有 250 个 CNA 发布了至少一个 CVE。排名靠前的 CNA 包括 Microsoft、VulDB、GitHub 和 WordPress 安全公司 WPScan 和 PatchStack。VulDB、GitHub、WPScan 和 PatchStack 去年总共分配了超过 6,700 个 CVE。 最常分配的常见弱点枚举 (CWE) 标识符类型是 CWE-79，即网页生成期间输入的不正确中和，也称为跨站点脚本攻击 (XSS)。去年，超过 4,100 个 CVE 被分配给 XSS 漏洞。 XSS 紧随其后的是 SQL 注入漏洞，此类安全漏洞大约有 2,000 个。 转自FreeBuf，原文链接：https://www.anquanke.com/post/id/292487 封面来源于网络，如有侵权请联系删除

负责管理该国放射性废物的英国公司放射性废物管理公司 ( RWM ) 面临着通过社交网络 LinkedIn 发起的网络攻击。尽管这次袭击没有成功，但引起了核工业界的担忧，引发了对关键核基础设施安全的质疑。 据《卫报》报道 ，此次网络攻击是通过商业通信社交网络 LinkedIn 组织的。然而，没有报道这是否是网络钓鱼消息或试图诱骗员工安装恶意软件。 LinkedIn 经常被用于针对某些公司员工的网络钓鱼攻击。去年，ESET 研究人员报告了Lazarus 组织的黑客精心策划的网络间谍活动。当时，恶意活动针对的是一家西班牙航空航天公司的员工。 RWM 正在领导一个耗资 500 亿英镑的项目，建设一个地质处置库来处置放射性废物。作为创建核废料服务 (NWS) 的一部分，RWM 联合了三个核组织，它们富有成效的合作将有助于在尽可能短的时间内实施该项目。 NWS 发言人表示：“NWS 与许多其他英国公司一样，注意到 LinkedIn 被用来识别我们公司内部的员工。借助我们的多层保护系统，可以检测到并阻止入侵尝试。” 专家警告称，LinkedIn 等社交平台正日益成为黑客的首选平台。他们提供各种渗透途径，包括创建虚假帐户、网络钓鱼电子邮件和彻底的凭据盗窃。 FBI 特工 Sean Regan 此前强调了诈骗者利用 LinkedIn 招募用户参与恶意加密货币投资计划的“重大威胁”。 LinkedIn 本身也在采取措施提醒用户注意潜在的诈骗，并提供资源来提高在线安全。然而，通过这一渠道可能达成的妥协对于不同国家的许多关键行业仍然具有重要意义。 NWS 认识到需要不断改进网络安全措施，强调应急响应计划必须满足不断变化的业务需求。 转自安全客，原文链接：https://www.anquanke.com/post/id/292364 封面来源于网络，如有侵权请联系删除

安全威胁监控平台 Shadowserver 最近的一份报告警告说，互联网上有近1100万台SSH服务器（由唯一的IP地址标识），很容易受到水龟攻击（TerrapinAttack），从而威胁到某些SSH连接的完整性。 “水龟攻击”是德国波鸿鲁尔大学安全研究人员开发的新攻击技术。利用了SSH传输层协议的弱点，并结合了OpenSSH十多年前引入的较新的加密算法和加密模式。后者已被广泛的SSH实现所采用，因此影响当前的大多数SSH实例。 “水龟攻击”会在握手过程中操纵序列值，损害SSH通道的完整性，特别是在使用ChaCha20-Poly1305或带有Encrypt-then-MAC的CBC等特定加密模式时。与攻击相关的三个漏洞的编号为：CVE-2023-48795、CVE-2023-46445和CVE-2023-46446。 攻击者可降级用于用户身份验证的公钥算法，并禁用OpenSSH9.5中针对击键计时攻击的防御。 “水龟攻击”的一个重要前提是攻击者需要处于中间人(MiTM)位置来拦截和修改握手交换。这意味着“水龟攻击“的威胁并不是特别严重。在许多情况下，修补CVE-2023-48795可能不是优先事项。 但值得注意的是，黑客经常会先入侵目标网络，并潜伏等待合适的时机实施水龟攻击。 全球有上千万台SSH服务器存在漏洞 安全威胁监控平台Shadowserver的报告显示，互联网上有近1100万台暴露的SSH服务器很容易受到“水龟攻击”，约占Shadoserver监控的IPv4和IPv6空间中所有扫描样本的52%。 大多数易受攻击的系统位于美国（330万个），其次是中国（130万个）、德国（100万个）、俄罗斯（70万个）、新加坡（39万个）和日本（38万个）。 虽然并非所有1100万个SSH服务器实例都面临立即受到攻击的风险，但这至少表明对手有大量可供选择的目标实例。 波鸿鲁尔大学团队发布了一个“水龟攻击“漏洞扫描器，可帮助用户检查SSH客户端或服务器是否存在水龟攻击漏洞。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388636.html 封面来源于网络，如有侵权请联系删除

安全研究实验室 (SRLabs) 创建了一个解密器，该解密器利用 Black Basta 勒索软件加密算法中的漏洞，让受害者免费恢复其文件。 Black Basta Buster 解密器的特殊功能是能够恢复 2022 年 11 月至今加密的文件。然而，Black Basta 开发人员大约一周前已经修复了该漏洞，这使得该解密技术无法对新的漏洞使用。 该漏洞的本质是利用标准XChaCha20密码来加密文件。Black Basta 开发人员的错误是在加密过程中重复使用相同的密钥流，导致所有仅包含零的 64 字节数据被转换为 64 字节对称密钥，从而允许专家提取密钥并使用它来解密整个文件。 Black Basta Buster 解密器由一组Python脚本组成，可帮助在各种场景下解密文件。但需要注意的是，该解密器仅适用于 2022 年 11 月至今使用 Black Basta 版本加密的文件。此外，该工具无法解密向加密文件添加“.basta”扩展名的程序版本。 Black Basta Buster 被官方证明是有效的，但尽管它成功地恢复了一些文件，但解密器一次只能对一个文件起作用，这使得大量数据的恢复过程变得十分困难。 如果知道 64 个加密字节的明文，就可以恢复文件。完全或部分恢复文件的可能性取决于文件的大小。小于 5,000 字节的文件无法恢复。对于大小从 5,000 字节到 1 GB 的文件，可以完全恢复。对于大于 1 GB 的文件，前 5,000 字节将丢失，但其余部分可以恢复。 虽然较小的文件可能无法解密，但较大的文件（例如虚拟机磁盘）通常可以解密，因为它们包含大量“空”分区。 这一发现对于勒索软件受害者来说尤其重要，他们以前想要恢复数据就必须支付赎金。 转自安全客，原文链接：https://www.anquanke.com/post/id/292324 封面来源于网络，如有侵权请联系删除

近日，卡巴斯基安全研究人员 Boris Larin 披露了 iPhone 历史上最复杂的间谍软件攻击——三角测量（Triangulation）的技术细节。 自2019年以来，“三角测量行动”（Operation Triangulation）间谍软件持续对 iPhone 设备进行攻击。该软件利用苹果芯片中未记录的特性绕过基于硬件的安全保护措施。 卡巴斯基分析师在 2023 年6 月首次发现了上述攻击活动。随后，他们对这条复杂的攻击链进行了逆向工程。他们发现了一些预留用于调试和出厂测试的隐蔽硬件特性，可以利用它们对iPhone用户发动间谍软件攻击。 这不仅说明发动攻击的黑客水平很高。同时，也证明依赖于隐蔽和保密的硬件设计或测试并不能确保排除所有风险。 三角测量行动 Operation Triangulation 是一个针对 Apple iPhone 设备的间谍软件活动，同时利用了四个零日漏洞。这些漏洞链接在一起，形成零点击攻击，允许黑客提升权限并执行远程代码。 构成高度复杂的漏洞利用链的四个漏洞适用于iOS 16.2之前的所有iOS版本： CVE-2023-41990：ADJUST TrueType 字体指令中存在一个漏洞，允许通过恶意 iMessage 附件远程执行代码。 CVE-2023-32434：XNU 内存映射系统调用中存在整数溢出问题，允许攻击者对设备物理内存进行广泛的读/写访问。 CVE-2023-32435：在 Safari 漏洞中用于执行 shellcode，作为多阶段攻击的一部分。 CVE-2023-38606：使用硬件 MMIO 寄存器绕过页面保护层 （PPL） 的漏洞，覆盖基于硬件的安全保护。 除了影响iPhone之外，这些秘密硬件功能及其高危零日漏洞还存在于Mac、iPod、iPad、Apple TV和Apple Watch中。更重要的是，卡巴斯基发现，这些漏洞并非“失误”，而是被有意开发用于这些设备。 三角测量行动攻击链 史上最复杂的iPhone间谍软件 在上述漏洞中，CVE-2023-38606是最令卡巴斯基分析师感兴趣的。 通过利用CVE-2023-38606漏洞，黑客可以绕过 Apple 芯片上的硬件保护，这个硬件防护可以防止黑客在获得对内核内存的读写访问权限时获得对设备的完全控制权。不过这个漏洞已经在今年7月24日发布的iOS/iPadOS 16.6 中得到了修补。 卡巴斯基研究人员称，CVE-2023-38606 针对的是 Apple A12-A16 仿生处理器中未知的 MMIO（内存映射 I/O）寄存器，这些寄存器可能与芯片的 GPU 协处理器相关联，这些协处理器未在 DeviceTree 中列出。 三角测量攻击中针对的 MIMO 范围 相较于这些年卡巴斯基发现的其他攻击软件，研究人员认为这绝对是他们见过的最复杂的攻击链。目前并不知道黑客是如何学会使用这种未知的硬件功能的，也不知道该软件的最初目的是什么。同时也不清楚该软件是由苹果公司开发的，还是第三方组件。 卡巴斯基研究人员推测，这个未记录的硬件特性之所以包含在最终供消费者使用的iPhone版本中，可能是出于失误，或者是为了方便苹果工程师进行调试和测试。 转自FreeBuf，原文链接：https://www.freebuf.com/news/388065.html 封面来源于网络，如有侵权请联系删除

昨天，谷歌发布了 Chrome 网络浏览器的安全更新，以解决据报道已被攻击者利用的高级零日漏洞。 该漏洞被指定为 CVE-2023-7024，被描述为 WebRTC 框架内基于堆的缓冲区溢出错误。该漏洞可能导致程序崩溃或任意代码执行。 有关安全漏洞的其他详细信息目前尚未披露，以防止进一步滥用。Google 确认 CVE-2023-7024 的漏洞已经存在，并在实际攻击中被积极使用。 这一发现的错误成为自今年年初以来 Chrome 中第八个被积极利用的零日漏洞。之前的包括： CVE-2023-2033（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-2136（CVSS 分数：9.6）——Skia 中的整数溢出； CVE-2023-3079（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-4762（CVSS 评分：8.8）- V8 中的类型混淆； CVE-2023-4863（CVSS 评分：8.8）- WebP 中的缓冲区溢出； CVE-2023-5217（CVSS 分数：8.8）- libvpx 中 vp8 编码中的缓冲区溢出； CVE-2023-6345（CVSS 评分：9.6）是 Skia 中的整数溢出。 据专家介绍，2023 年最常见的漏洞类型是：远程代码执行、安全机制绕过、缓冲区操纵、权限提升以及输入验证和处理错误。 建议任何桌面平台上的所有 Chrome 用户检查其浏览器版本并更新（如果有可用更新）。目前版本 120.0.6099.129 及更高版本被认为是安全的。 基于 Chromium 的浏览器（例如 Microsoft Edge、Brave、Opera、Vivaldi 和 Yandex Browser）的用户也应该在修复程序可用后立即应用它们。 转自安全客，原文链接：https://www.anquanke.com/post/id/292099 封面来源于网络，如有侵权请联系删除

网络安全软件提供商 Qualys Inc.今天发布的一份新报告发现，到 2023 年，只有不到 1% 的漏洞会导致最高风险被广泛利用。 2023 年威胁形势回顾报告详细介绍了漏洞威胁形势、主要漏洞类型和其他相关数据的关键见解，包括平均利用时间、MITRE ATT&CK 策略和技术，以及 2023 年最活跃的勒索软件和黑客。 报告发现，有 97 个可能被利用的高风险漏洞并未列在网络安全和基础设施安全局的已知被利用漏洞目录中。四分之一的高风险漏洞在发布当天就被利用，三分之一的高风险漏洞影响网络设备和 Web 应用程序。 2023 年发现的漏洞数量为 26,447 个，比 2022 年披露的漏洞数量多出 1,500 多个，是有史以来披露的最高数量。 在已披露的漏洞中，超过 7,000 个漏洞具有概念验证漏洞利用代码，可能会导致成功利用漏洞。但漏洞利用代码的质量通常较低，这可能会降低攻击成功的可能性。 大约 206 个漏洞具有可用的武器化利用代码，这意味着如果使用它们，它们很可能会危害目标系统。有 115 个漏洞经常被黑客、恶意软件和勒索软件组织（例如 Clop）利用。 超过三分之一的已识别高风险漏洞可以被远程利用。五种最常见的漏洞类型占已发现漏洞总数的 70% 以上。 2023 年高危漏洞的平均利用时间约为公开披露后 44 天。报告指出，在许多情况下，利用几乎是在瞬间发生的，有些漏洞在公布当天就被利用了。 据说，利用已知的漏洞代表了攻击者作案方式的转变，突显了黑客效率的不断提高和防御者响应窗口的不断缩小。25% 的高风险常见漏洞和暴露在发布当天就被发现已被利用。 全年被利用的主要漏洞包括针对 PaperCut NG、MOVEit Transfer、各种 Windows 操作系统、Google Chrome、Atlassian Confluence 和 Apache ActiveMQ 的漏洞。许多漏洞可以远程利用，无需物理访问目标系统。 2023 年按产品类型划分的被利用漏洞 2023 年使用的顶级 MITRE ATT&CK 技术和方法包括编号为 T1210 和 T0866 的远程服务漏洞利用，这种情况在企业中发生了 72 次，在工业控制系统中发生了 24 次，凸显了保护远程服务协议安全的重要性。 接下来是面向公众的应用程序的利用，称为 T1190 和 T0819，在企业中观察到 53 次，在 ICS 中观察到 19 次，而特权升级利用（称为 T1068）以 20 次记录的实例位居第三。 MITRE ATT&CK 策略和技术的出现情况 2023 年最活跃的攻击者团伙是Clop勒索软件，有时称为 TA505 或 CL0P。该组织是备受瞩目的网络攻击的幕后黑手，这些攻击利用了GoAnywhere MFT、PaperCut、MOVEit 和SysAid等平台上的0Day漏洞。在勒索软件方面，Clop 和LockBit是领先的威胁组织。 该报告提出了许多安全建议，并指出“很明显，漏洞武器化的快速发展和威胁行为者的多样性给全球组织带来了重大挑战。” 建议包括，企业应采用多层方法，通过使用各种传感器来清查面向公众的应用程序和远程服务的漏洞。还建议根据 CISA KEV 列表中的内容、高利用概率分数以及武器化利用代码的可用性等因素确定修复工作的优先顺序。 最常被利用的漏洞列表 转自会杀毒的单反狗，原文链接：https://mp.weixin.qq.com/s/ykDuq9BjUNqgua06WKP6Og 封面来源于网络，如有侵权请联系删除

苹果周一推出了以安全为主题的 iOS 和 iPadOS 更新，以解决使移动用户遭受恶意黑客攻击的多个严重漏洞。 最新的iOS 17.2 和 iPadOS 17.2包含至少 11 个已记录的安全缺陷的修复程序，其中一些缺陷严重到足以导致任意代码执行或应用程序沙箱逃逸。 根据库比蒂诺安全响应团队的报告，最严重的问题是 ImageIO 中的内存损坏，可能会导致在处理某些图像时执行任意代码。 iOS 17.2 的推出还解决了 WebKit 渲染引擎中的代码执行缺陷以及允许应用程序突破设备沙箱的内存安全问题。 该公司还修复了帐户中的隐私问题、AVEVideoEncoder 中的信息泄露问题、允许访问敏感用户数据的扩展套件，以及允许具有物理访问权限的攻击者使用语音机器人访问敏感用户数据的 Siri 缺陷。 苹果还推出了iOS 16.7.3和iPadOS 16.7.3，为运行旧版本操作系统的设备提供了一批安全修复程序。这些更新还包括修复之前记录的通过野外利用捕获的 WebKit 零日漏洞。   转自安全客，原文链接https://www.anquanke.com/post/id/291798 封面来源于网络，如有侵权请联系删除