从理论上讲，将照片和视频上传到云端应该是确保你的文件安全可靠的一种便捷方式。但在Windows版iCloud的情况下，结果似乎正好相反。来自MacRumors的一份报告指出了一系列来自iCloud for Windows用户的投诉，他们解释说，在将他们的视频上传到云端后，文件最终被完全损坏，以至于无法再观看它们。 然而，更令人担忧的是，一些用户最终获得了属于他人的照片，原因至今都还没有确定。目前还不太清楚为什么会出现这种情况，但苹果公司还没有对这个bug发表评论。但根据上述消息来源，整个事情有可能是由服务器端问题引起的，删除iCloud forWindows并重新安装该应用似乎并不能使事情恢复正常。 “iCloud for Windows正在破坏从iPhone14 Pro Max录制的视频，导致出现带有一条白色扫描线的黑色视频。在极少数情况下，它还会显示可能是其他人的iCloud账户里的内容，我在我的iCloud账户中看到了我在生活中从未见过的其他人的家庭照片，足球比赛和其他随机照片。显然，这非常令人担忧，并不完全让我感到使用iCloud有足够安全。”一位用户解释说。 在这一点上，看起来Windows版iCloud运行的平台不是主要原因，因为这个问题在Windows 10和Windows 11上都会发生。目前官方似乎还没有提供解决的办法。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7168862497855209999/?log_from=3332e25087635_1669171877414 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： SecuRing的研究人员Wojciech Reguła（@_r3ggi）发布了一个macOS沙盒逃逸漏洞的技术细节和概念验证（PoC）代码，该漏洞被追踪为CVE-2022-26696（CVSS评分7.8）。 在Regula发表的总结中，研究人员观察到，这个漏洞是由他在沙盒macOS应用程序中观察到的一个奇怪行为引起的，这个行为可能会启动任何不继承主应用程序沙盒配置文件的应用程序。 苹果公司发布的建议写道：“沙盒进程可能可以绕过沙盒限制，该建议通过改进环境卫生解决了该漏洞。 ZDI发布的报告中写道：“该漏洞允许远程攻击者逃离受影响的Apple macOS安装上的沙盒。攻击者必须首先获得在目标系统上执行低权限代码的能力，才能利用此漏洞。LaunchServices组件中的XPC消息处理过程中存在特定漏洞，精心制作的消息可能会触发特权操作的执行。攻击者可以利用此漏洞提升权限，并在当前用户的上下文中执行任意代码。” 该漏洞于2021年12月22日报告给供应商，并于2022年8月15日披露。 Regula将分析重点放在Terminal.app的Objective-C方法上。 专家写道：“设置__OSINSTALL_ENVIRONMENT环境变量时，+[TTApplicationisRunningInInstallEnvironment]将返回YES，因此，当终端启动，+[TTApplicationisRunningInInstallEnvironment]返回YES时，一些环境变量没有被清除。通过简单的命令注入，我能够在终端中执行代码，而无需任何沙盒！” 专家通过将漏洞嵌入到Word文档中，并加载Mythic的JXA有效载荷，从而将漏洞武器化。 Regula解释道：“在终端内执行代码可能非常危险，因为它可能已经获得了一些TCC权限。” Reguła分享了一个视频PoC，演示了如何将Word文档武器化，以逃离沙盒并在终端内执行代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

“网络通”麻某本可以靠自身技能找工作赚干净钱，却抵不住金钱的诱惑走上邪路，一手好牌被自己打的稀烂，硬生生将自己送进“班房”，冰城警方果断出手斩断了麻某非法窃取公民信息的“黑手”。 近日，哈尔滨市公安局南岗分局网安大队民警在工作中发现，境外某黑客论坛上有一名用户于2022年10月发贴出售公民个人信息数据，自称持有数据量约20GB，售价0.2比特币，该用户还公布了29条数据样本，样本中还包括了公民姓名、联系电话、家庭住址等个人信息。由于该线索涉及侵犯公民个人信息犯罪，且涉案数据量较大，立即引起了各级网安部门的高度重视。在哈尔滨市公安局网安支队统一指挥下，两级网安部门成立专案组，合力开展侦查工作。 专案组民警在调查中发现，犯罪嫌疑人精通电脑操作及网络知识，隐藏得很深，给侦查工作造成了不小的难度。专案组的民警们昼夜不眠，将被泄露数据在海量的数据源中进行比对、分析，经过96小时的艰苦奋战，最终确定了犯罪嫌疑人的作案手法、作案时间段及使用的IP地址。 10月22日，南岗公安分局民警在哈尔滨市平房区将涉嫌非法获取计算机信息系统数据的犯罪嫌疑人麻某抓获，并在其电脑中查获非法获取的公民个人信息10万余条。经审讯，犯罪嫌疑人麻某供述，其为IT行业从业人员，利用某医疗机构微信公众号的系统漏洞，在今年4月至10月间，通过技术手段非法获取该计算机系统数据10万余条，而后在境外某黑客论坛发帖出售，截至落网前，已非法获利1500美元。 目前，麻某已因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕，案件正在进一步工作中。 转自 安全内参，原文链接：https://www.secrss.com/articles/49228 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： Rapid7研究人员在运行CentOS定制发行版的F5 BIG-IP和BIG-IQ设备中发现了几个漏洞。专家们还发现了安全控制的几个绕过，安全供应商F5并不认为这是可利用的漏洞。 专家发现的漏洞有： CVE-2022-41622是一种通过跨站点请求伪造 （CSRF） 执行未经身份验证的远程代码，会影响BIG-IP和BIG-IQ产品。 供应商发布的公告表示：“攻击者可能会欺骗具有资源管理员角色权限并通过iControl SOAP中的基本身份验证的用户执行关键操作。攻击者只能通过控制平面（而不是数据平面）利用此漏洞。如果被利用，此漏洞可能会危及整个系统。” CVE-2022-41800是通过RPM规范注入执行经过身份验证的远程代码，驻留在设备模式iControl REST中。在设备模式下，具有分配管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。 公告中写道：“在设备模式下，具有分配给管理员角色的有效用户凭据的认证用户可以绕过设备模式限制。这是一个控制平面问题；没有数据平面暴露。设备模式由特定许可证强制实施，或者可以为单个虚拟群集多处理器（vCMP）来宾实例启用或禁用。” 上述漏洞被评为高严重性。 Rapid7于2022年8月18日向F5报告了这两个漏洞，并支持供应商解决这些问题。 以下是 F5 因不可利用而拒绝的安全控制的绕过： ID1145045 – 通过错误的UNIX套接字权限提升本地权限 （CWE-269） ID1144093 – 通过不正确的文件上下文绕过SELinux （CWE-732） ID1144057 – 通过更新脚本中的命令注入绕过SELinux （CWE-78）   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

11月15日，据Info Risk Today报道，安全研究人员警告称，推特的多因素身份验证存在一个漏洞，可能导致账户接管。 该漏洞出现之际正值埃隆•马斯克（Elon Musk）执掌推特第三周，公司的主要安全合规人员离职，大量员工和承包商被解雇。 一位匿名研究人员向媒体透露，向推特验证服务发送“STOP”会导致关闭短信双因素认证，它会自动回复“您的设备已被移除，所有账户的短信双因素验证已被禁用。” 经ISMG验证，该漏洞允许黑客欺骗注册的电话号码以禁用双因素认证。这可能会使账户遭受密码重置攻击或通过密码填充接管账户。推特允许用户通过除短信以外的其他方式建立多因素认证，包括认证应用程序和安全密钥。推特并未回应该漏洞。据报道，其沟通团队已解体。 账户安全一直是推特的痛处。2017年，十几岁的黑客接管了数十个知名账户，包括马斯克、巴拉克·奥巴马、金·卡戴珊·韦斯特和杰夫·贝佐斯的账户，并在其账户中发布加密货币欺诈等信息。 纽约金融服务部（New York Department of Financial Services）认定，推特的内部安全协议薄弱，而且缺乏负责网络安全的高管。 在马斯克担任首席执行官期间，出现了另一个与账户控制有关的问题——大量假冒跨国品牌的假账户。 据路透社13日报道，推特早前推出的每月8美元蓝V用户付费认证订阅服务，导致假账号激增，已于11日被叫停。据报道，此前，推特上拥有蓝V认证的用户中有大多是通过身份认证的名人、记者、政治家等公众人物。但自从马斯克接手推特以来，启动大规模改革，于5日正式推出全新订阅服务，每月收费8美元，以向用户提供蓝V认证标记。报道称，该公司的安全团队曾事先警告马斯克，8美元并不能阻止假帐号。 转自 Freebuf，原文链接：https://www.freebuf.com/articles/network/349902.html 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 网络安全研究人员已经披露了Zendesk Explore中现已修补的漏洞的详细信息，攻击者可能利用这些漏洞从启用了该功能的客户帐户中获取未经授权的信息访问权限。 Varonis在与The Hacker News共享的一份报告中表示：“在修补之前，该漏洞将允许黑客在启用Explore的情况下访问Zendesk帐户中的对话、电子邮件地址、票证、评论和其他信息。” 这家网络安全公司表示，没有证据表明这些问题在现实世界的攻击中被积极利用。客户无需采取任何行动。 Zendesk Explore是一种报告和分析解决方案，允许组织“查看和分析有关客户和支持资源的关键信息”。 根据该安全软件公司的说法，利用该漏洞首先需要攻击者以新的外部用户身份注册受害者Zendesk帐户的票务服务，该功能可能默认启用，以允许最终用户提交支持票证。 该漏洞与GraphQL API中的SQL注入有关，该注入可能被滥用，以管理员身份泄露数据库中存储的所有信息，包括电子邮件地址、票证以及与实时代理的对话。 第二个漏洞涉及与查询执行API相关的逻辑访问问题，该API被配置为在不检查进行调用的“用户”是否有足够权限的情况下运行查询。 这意味着新创建的最终用户可以调用此API，更改查询，并从目标Zendesk帐户的RDS中的任何表中窃取数据，而无需SQLi。 Varonis表示，这些问题已于8月30日向Zendesk披露，随后该公司于2022年9月8日纠正了这些漏洞。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

如果你正在寻找一种可以很快赚到很多钱的方法，你可以尝试寻找操作系统和关键应用软件中的安全漏洞，并申请漏洞赏金。一位研究人员在发现了一种无需密码就能解锁Android手机的方法后，从Google那里获得了7万美元的报酬，而且他是无意中做到的。 匈牙利的研究人员David Schütz报告了这个高危漏洞，被追踪为CVE-2022-20465，它被描述为由于代码中的逻辑错误导致的锁屏绕过，可能导致本地权限升级，不需要额外的执行权限。 触发该漏洞需要攻击者拥有一台Android设备，但它的危害程度相当大，可以一次规避包含由PIN、形状、密码、指纹或脸部保护的屏幕锁在内的所有保护方法。Schütz在旅行24小时后发现了这个缺陷，他的Pixel 6在发送一系列短信时出现死机。连接充电器并重启设备后，Pixel要求输入SIM卡的PIN码，这与锁屏密码是分开的；它的目的是阻止别人从物理上盗取SIM卡并使用它。舒兹记不起他的密码，在他输入三次错误的数字后，导致SIM卡被锁定。 重置锁定的SIM卡的唯一方法是使用个人解锁密码，即PUK。这些代码通常印在SIM卡的包装上，或者可以通过致电运营商的客户支持来获得。Schütz使用了前者，使他能够重置PIN。但是，Pixel没有要求提供锁屏密码，而只是要求进行指纹扫描，出于安全考虑，Android设备在重启后要求提供密码/PIN。 舒茨对这种异常情况进行了实验。最终，他发现可以再不重启设备的情况下重现这些动作，从而绕过整个锁屏，甚至不需要指纹就可以进入主界面。 Schütz说，这个过程在他的Pixel 6和Pixel 5上均有作用。Google在11月5日的最新Android系统更新中修复了这一问题，但不怀好意的攻击者至少可以在接下来的数月内继续利用它。所有运行Android 10到Android 13的设备如果没有更新到2022年11月的补丁都会受到影响。 Google可以向报告锁屏绕过漏洞的人支付最高10万美元，Schütz获得了相对较少的7万美元，这是因为有人已经报告了他发现的那个漏洞，但Google无法重现它。 转自 cnBeta，原文链接：https://www.toutiao.com/article/7166223697941660191/?log_from=1f8eee6993cb3_1668563046935 封面来源于网络，如有侵权请联系删除

日前，谷歌Project Zero报告披露了三个三星手机漏洞，分别为CVE-2021-25337、CVE-2021-25369和CVE-2021-25370，目前已被一家监控公司利用。 这三个漏洞具体表现为： CVE-2021-25337： SMR Mar-2021第1版之前的三星移动设备中剪贴板服务的访问控制不当，允许不受信任的应用程序读取或写入某些本地文件。 CVE-2021-25369： SMR MAR-2021第1版之前的sec_日志文件中存在一个不正确的访问控制漏洞，将暴露用户空间内敏感的内核信息。 CVE-2021-25370: SMR Mar-2021第1版之前，dpu驱动程序中处理文件描述符的实现不正确，导致内存损坏，内核死机。 而这家监控供应商正是将上述的三个漏洞链接起来，以危害三星手机。 目前TAG团队只获得了三星手机可能处于测试阶段的部分漏洞链，研究人员指出，这家监控公司在其间谍软件中包含了对这三个漏洞的攻击，这些漏洞在被攻击时为零日漏洞。研究人员称：“这条攻击链是一个很好的例子，值得进一步分析。它与我们过去看到的许多Android攻击相比，具有不同的攻击面和“形状”。此链中的所有3个漏洞都在制造商的定制组件中，而不是AOSP平台或Linux内核中。值得注意的是，3个漏洞中有2个是逻辑和设计漏洞，而不是内存安全。” 专家们进一步解释说，该漏洞样本针对的是运行内核为4.14.113和Exynos SOC的三星手机。这种特定的SOC常被于欧洲和非洲销售的手机使用。该漏洞依赖于针对Exynos三星手机的马里GPU驱动程序和DPU驱动程序。据悉，该样本可以追溯到2020年底，而在2020年底运行4.14.113内核的三星手机为S10、A50和A51。 在2020年底发现这些漏洞后，谷歌立即向三星报告了这些漏洞，该供应商也于2021年3月份解决了这些漏洞。谷歌没有透露监控供应商的名字，只是强调了与其他针对Android用户的活动的相似之处。 Project Zero指出，三星发布的关于这些问题的建议没有提到它们在野外的开发。报告总结道：“当已知漏洞在野外被利用时，标记对目标用户和安全行业都很重要。当在野零日漏洞未被透明披露时，我们无法使用该信息进一步保护用户，只能使用补丁分析和变体分析来了解攻击者已经了解的情况。” 经历了此次事件之后，研究人员说：“对这一漏洞链的分析为我们提供了新的见解，它让我们进一步了解攻击者是如何针对Android设备展开攻击的。这也突出了对制造商特定组件进行更多研究的必要性。”   转自 E安全，原文链接：https://mp.weixin.qq.com/s/ALP8lEK7GgpM26ExYHn9Aw 封面来源于网络，如有侵权请联系删除

与俄罗斯有关的APT29间谍组织利用了一个 “鲜为人知 “的Windows功能，称为 “凭证漫游”，对欧洲外交实体发起攻击。 “Mandiant研究员Thibault Van Geluwe de Berlaere在一份技术文件中说：”此次攻击符合俄罗斯的国家利益和目标，也是APT29的一贯作风“。 APT29作为一个俄罗斯间谍组织，也被称为Cozy Bear、Iron Hemlock和The Dukes，其旨在收集与国家战略目标一致的情报。据了解它是由外国情报局（SVR）赞助的。。 谷歌旗下的安全情报和事件响应公司表示，他们在2022年初APT29出现在受害者网络内的时间里发现了凭证漫游的使用，并对活动目录系统进行了 “大量具有非正常性的LDAP查询”。 在Windows Server 2003 Service Pack 1（SP1）中引入的凭证漫游是一种机制，允许用户以安全的方式在Windows域的不同工作站中访问他们的凭证（即私钥和证书）。 在进一步调查其内部运作时，Mandiant发现了一个任意文件写入漏洞，攻击者可以利用这个漏洞实现远程代码执行。 这个漏洞被命名为CVE-2022-30170，该公司强调，利用该漏洞需要用户登录到Windows，攻击成功后可以获得远程交互式登录机器的权利，而受害者的账户通常不会拥有这种特权。 目前该漏洞已在微软2022年9月13日 “补丁星期二 “更新中得到解决。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349385.html 封面来源于网络，如有侵权请联系删除

Bleeping Computer  网站披露，VMware 近期发布了安全更新，以解决 Workspace ONE Assist 解决方案中的三个严重漏洞，分别追踪为 CVE-2022-31685（认证绕过）、CVE-2022-31686 （认证方法失败）和 CVE-2022-31687 （认证控制失败）。据悉，这些漏洞允许远程攻击者绕过身份验证并提升管理员权限。 Workspace ONE Assist  可以提供远程控制、屏幕共享、文件系统管理和远程命令执行，以帮助服务后台和 IT 人员从 Workspace ONE 控制台实时远程访问设备并排除故障。 未经身份认证的威胁攻击者可以在不需要用户交互进行权限升级的低复杂度攻击中利用这些漏洞。从 VMware 发布的声明来看，一旦具有 Workspace ONE Assist 网络访问权限的恶意攻击者成功利用这些漏洞，无需对应用程序进行身份验证就可以获得管理访问权限。 漏洞现已修复 目前，VMware为Windows 已经为客户发布了 Workspace ONE Assist 22.10（89993），对这些漏洞进行了修补。 此外，VMware 还修补了一个反射式跨站脚本（XSS）漏洞（CVE-2022-31688）以及一个会话固定漏洞（CVE-2022-31689），前者允许攻击者在目标用户的窗口中注入 javascript 代码，，后者允许攻击者获得有效会话令牌后进行身份验证。 值得一提的是，Workspace ONE Assist 22.10 版本修补的所有漏洞都是由 REQON IT-Security的Jasper Westerman、Jan van der Put、Yanick de Pater 和 Harm Blankers 发现并报告给 VMware 的。 VMware 修复了多个安全漏洞 今年 8 月，VMware 警告管理员要修补 VMware Workspace ONE Access、Identity Manager 和 vRealize Automation 中另外一个关键身份认证绕过安全漏洞，该漏洞允许未经认证的攻击者获得管理权限。 同年 5 月，Mware 修补了一个几乎相同的关键漏洞，该漏洞是 Innotec Security的Bruno López 在 Workspace ONE Access、VMware Identity Manager（vIDM）和vRealize Automation 中发现的另一个身份验证绕过漏洞（CVE-222-22972）。 转自 Freebuf，原文链接：https://www.freebuf.com/news/349339.html 封面来源于网络，如有侵权请联系删除