HackerNews 编译，转载请注明出处： Ivanti发出警告，黑客在零日攻击中利用了Connect Secure远程代码执行漏洞（CVE-2025-0282），在设备上安装了恶意软件。 该公司表示，在Ivanti Integrity Checker Tool（ICT）检测到客户设备上的恶意活动后，他们意识到了这一漏洞。Ivanti随即展开调查，并确认威胁行为者正在积极利用CVE-2025-0282作为零日漏洞。 CVE-2025-0282是一个严重（9.0分）的栈溢出漏洞，存在于Ivanti Connect Secure 22.7R2.5版本之前、Ivanti Policy Secure 22.7R1.2版本之前以及Ivanti Neurons for ZTA网关22.7R2.3版本之前的版本中，允许未经身份验证的攻击者远程在设备上执行代码。 尽管该漏洞影响了这三款产品，但Ivanti表示，他们目前仅发现Ivanti Connect Secure设备受到了该漏洞的利用。 Ivanti的一篇博客文章写道：“在披露时，我们已知有少数客户的Ivanti Connect Secure设备受到了CVE-2025-0282的利用。” “我们尚未发现CVE在Ivanti Policy Secure或Neurons for ZTA网关中被利用。” Ivanti已紧急为Ivanti Connect Secure发布了安全补丁，该补丁已在固件版本22.7R2.5中解决。 然而，根据今日发布的安全公告，Ivanti Policy Secure和Ivanti Neurons for ZTA网关的补丁将于2025年1月21日发布。 Ivanti Policy Secure：此解决方案不面向互联网，因此被利用的风险显著降低。Ivanti Policy Secure的修复计划于2025年1月21日发布，并将在标准下载门户中提供。客户应始终确保其IPS设备根据Ivanti的建议进行配置，且不暴露于互联网。我们尚未发现CVE在Ivanti Policy Secure中被利用。 Ivanti Neurons for ZTA网关：在生产环境中，Ivanti Neurons ZTA网关无法被利用。如果为该解决方案生成的网关未连接到ZTA控制器，则存在该生成网关被利用的风险。修复计划于2025年1月21日发布。我们尚未发现CVE在ZTA网关中被利用。 该公司建议所有Ivanti Connect Secure管理员执行内部和外部ICT扫描。 如果扫描结果正常，Ivanti仍建议管理员在升级到Ivanti Connect Secure 22.7R2.5之前进行出厂重置。 但是，如果扫描结果显示存在安全漏洞，Ivanti表示，出厂重置应能移除已安装的恶意软件。然后，应使用22.7R2.5版本将设备重新投入生产。 今日的安全更新还修复了另一个被追踪为CVE-2025-0283的漏洞，Ivanti表示，该漏洞目前尚未被利用或与CVE-2025-0282结合使用。此漏洞允许经过身份验证的本地攻击者提升权限。 由于Ivanti正与Mandiant和微软威胁情报中心合作调查这些攻击，我们很快就会看到有关检测到的恶意软件的报告。 BleepingComputer就这些攻击向Ivanti提出了进一步的问题，并在收到回复后更新本文。 今年10月，Ivanti发布了安全更新，修复了三个在攻击中被积极利用的Cloud Services Appliance（CSA）零日漏洞。   消息来源：Bleeping Computer, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个以Mirai为基础的新型僵尸网络正逐渐变得更为复杂，现在正在利用工业路由器和智能家居设备安全漏洞的零日漏洞进行攻击。 据Chainxin X Lab研究人员监测，该僵尸网络的发展和攻击始于2024年11月，开始利用之前未知的漏洞。 其中一个安全问题是CVE-2024-12856，这是Four-Faith工业路由器的一个漏洞，VulnCheck在12月底发现，但注意到在12月20日左右已有人试图利用该漏洞。 该僵尸网络还依赖于针对Neterbit路由器和Vimar智能家居设备中未知漏洞的自定义漏洞利用程序。 它于去年2月被发现，目前拥有15,000个每日活跃僵尸节点，主要分布在中国、美国、俄罗斯、土耳其和伊朗。 其主要目标似乎是为了盈利而对指定目标进行分布式拒绝服务（DDoS）攻击，每天针对数百个实体，活动在2024年10月和11月达到高峰。 目标国家 该恶意软件利用20多个漏洞的公共和私有漏洞利用程序，传播到暴露在互联网上的设备，针对数字视频录像机（DVR）、工业和家庭路由器以及智能家居设备。 具体来说，它针对以下设备： ASUS路由器（通过N日漏洞利用程序） 华为路由器（通过CVE-2017-17215） Neterbit路由器（自定义漏洞利用程序） LB-Link路由器（通过CVE-2023-26801） Four-Faith工业路由器（通过现在被追踪为CVE-2024-12856的零日漏洞） PZT摄像机（通过CVE-2024-8956和CVE-2024-8957） Kguard DVR Lilin DVR（通过远程代码执行漏洞利用程序） 通用DVR（使用如TVT editBlackAndWhiteList RCE等漏洞利用程序） Vimar智能家居设备（可能使用未公开的漏洞） 各种5G/LTE设备（可能通过配置错误或弱凭据） 该僵尸网络具有针对弱Telnet密码的暴力破解模块，使用具有唯一签名的自定义UPX打包，并实现基于Mirai的命令结构，用于更新客户端、扫描网络和进行DDoS攻击。 X Lab报告称，该僵尸网络的DDoS攻击持续时间短，在10到30秒之间，但强度很高，流量超过100 Gbps，即使对于坚固的基础设施也会造成中断。 “攻击目标遍布全球，分布在各行各业，”X Lab解释说。 “攻击的主要目标分布在中国、美国、德国、英国和新加坡，”研究人员说。 总体而言，该僵尸网络展示了利用N日甚至零日漏洞在多种设备类型上保持高感染率的独特能力。 用户可以遵循一般建议来保护他们的设备，即安装来自供应商的最新设备更新，如果不需要则禁用远程访问，并更改默认管理帐户凭据。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一名使用@NSA_Employee39昵称的X平台用户声称，在开源文件归档软件7-Zip中发现了一个零日漏洞。该账号已通过X平台验证。 该用户宣布，本周将“连续曝光零日漏洞”，首个目标便是7-Zip软件中的任意代码执行漏洞。 攻击者可通过诱骗受害者打开精心制作的.7z归档文件，利用此漏洞在受害者系统上执行恶意代码。 用户已在Pastebin上发布了针对此零日漏洞的利用代码。Pastebin上的描述称：“此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。通过调整偏移量和有效载荷，利用代码操控内部缓冲区指针以执行shellcode，从而实现任意代码执行。当受害者使用7-Zip的易受攻击版本（当前版本）打开或解压归档文件时，利用代码将被触发，执行有效载荷以启动calc.exe（可自行更改）。” 然而，多位专家对此声明提出质疑，称该利用代码无效，所谓的零日漏洞并不存在。 7-Zip的作者伊戈尔·帕夫洛夫（Igor Pavlov）表示，该漏洞为伪造。他解释说，LZMA解码器中不存在RC_NORM函数。 帕夫洛夫写道：“普遍结论是，Twitter上这段伪造的利用代码是由LLM（AI）生成的。” “伪造代码中的注释包含以下声明： 此利用代码针对7-Zip软件中LZMA解码器的漏洞。它使用包含畸形LZMA数据流的.7z归档文件，在RC_NORM函数中触发缓冲区溢出条件。” 但LZMA解码器中不存在RC_NORM函数。相反，7-Zip在LZMA编码器和PPMD解码器中包含了RC_NORM宏。因此，LZMA解码代码不会调用RC_NORM。利用代码注释中关于RC_NORM的陈述是不真实的。”   消息来源：Security Affairs, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 上周晚些时候，Palo Alto Networks通知客户，其已修复一个零日漏洞，该漏洞曾被用于对其防火墙发动拒绝服务（DoS）攻击。 该安全漏洞编号为CVE-2024-3393，影响了运行于Palo Alto Networks防火墙上的PAN-OS软件的DNS安全功能。漏洞允许未经身份验证的攻击者通过数据平面发送特制数据包，导致防火墙重启。 Palo Alto Networks警告称：“多次尝试触发此条件将导致防火墙进入维护模式。” 该公司还指出，其“已意识到当防火墙拦截触发此问题的恶意DNS数据包时，客户会遭遇拒绝服务（DoS）”。 尽管存在此情况且CVE-2024-3393被评为“高危”，但Palo Alto Networks仅将此漏洞的紧急程度定为“中等”，并指出仅当PAN-OS软件启用DNS安全日志记录，并应用DNS安全许可证或高级DNS安全许可证时，才会受到影响——两个条件需同时满足，漏洞利用才可能实现。 PAN-OS 10.1.14-h8、10.2.10-h12、11.1.5和11.2.3版本已修复此漏洞。而PAN-OS 11.0版本已于11月17日停止支持，因此不会收到修复补丁。同时，该公司还提供了临时解决方案和缓解措施。 Palo Alto Networks对爱沙尼亚CERT-EE提供的取证和分析协助表示感谢。但关于该漏洞的发现方式以及利用该漏洞的攻击情况，目前尚未有更多信息。 威胁组织利用Palo Alto防火墙漏洞发动攻击的情况并不罕见。在安全公司追踪的“月球窥探”行动中，恶意行为者曾利用两个PAN-OS零日漏洞攻破了大量防火墙。   消息来源：Security Week, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

苹果公司19日发布安全更新，修复了两个被用于攻击Mac用户的安全漏洞，并建议所有用户安装。 苹果在官网发布的安全公告中表示，发现了两个漏洞（CVE-2024-44308、CVE-2024-44309），可能在基于英特尔处理器的Mac系统上“被积极利用”。这类漏洞属于零日漏洞，因为在漏洞被攻击者利用时，苹果尚未意识到它们的存在。 为修复这两个漏洞，苹果发布了一系列软件更新，包括macOS、iOS和iPadOS。 目前尚不清楚针对Mac用户的攻击是由谁发起，也不清楚有多少用户成为目标，或者是否有用户设备已经被成功攻破。这些漏洞由谷歌威胁分析小组报告，该小组专注于调查政府支持的黑客行为和网络攻击。这表明，此次攻击可能涉及某个政府背景的行为者。而政府支持的网络攻击有时会使用商业间谍软件针对目标设备展开行动。 苹果在公告中表示，这些漏洞与WebKit和JavaScriptCore有关。WebKit是Safari浏览器运行网络内容的核心引擎，同时也是恶意攻击者的常见目标。攻击者通常通过利用WebKit引擎中的漏洞，侵入设备的软件系统，进而窃取用户的隐私数据。 安全公告进一步指出，这些漏洞可通过诱使易受攻击的苹果设备处理恶意构造的网络内容（如伪造的网站或电子邮件），触发任意代码执行，从而在目标设备上植入恶意软件。 苹果建议用户尽快更新其iPhone、iPad和Mac设备，以降低安全风险。 苹果生态已成零日攻击高发地带 加上这两个漏洞，苹果在2024年已累计修复了六个零日漏洞。今年的首次修复发生在1月，随后在3月修复了两个漏洞，5月修复了第四个漏洞。 相比2023年修复的20个遭在野利用的零日漏洞，今年的情况有了显著改善。 以下是2023年苹果修复零日漏洞的时间表： 11月修复的两个零日漏洞（CVE-2023-42916和CVE-2023-42917） 10月修复的两个零日漏洞（CVE-2023-42824和CVE-2023-5217） 9月修复的五个零日漏洞（CVE-2023-41061、CVE-2023-41064、CVE-2023-41991、CVE-2023-41992和CVE-2023-41993） 7月修复的两个零日漏洞（CVE-2023-37450和CVE-2023-38606） 6月修复的三个零日漏洞（CVE-2023-32434、CVE-2023-32435和CVE-2023-32439） 5月修复的三个零日漏洞（CVE-2023-32409、CVE-2023-28204和CVE-2023-32373） 4月修复的两个零日漏洞（CVE-2023-28206和CVE-2023-28205） 2月修复的另一个WebKit零日漏洞（CVE-2023-23529）。       转自安全内参，原文链接：https://www.secrss.com/articles/72598 封面来源于网络，如有侵权请联系删除

11月12日，五眼联盟（美国、英国、澳大利亚、加拿大和新西兰）网络安全机构报告称，黑客越来越多地利用零日漏洞访问目标网络。 与过去相比，当前的安全威胁或关注点可能已经发生了变化。2022年和2021年发布的类似警告称，恶意网络行为者更频繁地利用旧软件漏洞，现在可能更关注新披露的漏洞。 在联合咨询报告中，机构列出了2023年最常被利用的15个漏洞，其中CVE-2023-3519（影响Citrix网络产品NetScalers的问题）被最广泛地使用。 NetScalers漏洞被修补时的报告称，攻击者利用漏洞，以自动化的方式破坏了数千个设备，放置了webshells以获得持续访问权限。 其他被广泛利用的漏洞包括影响思科路由器的关键漏洞，影响Fortinet VPN设备的漏洞，以及一个影响MOVEit文件传输工具的漏洞，该漏洞被Clop勒索软件团伙广泛利用。 报告指出，自美国网络安全和基础设施安全局（CISA）及其合作伙伴开始共享这份年度列表以来，其中大多数漏洞最初都是作为零日漏洞被利用。 尽管咨询报告只涵盖了去年的情况，但根据英国国家网络安全中心（NCSC）的说法，零日漏洞利用的趋势已经延续到2024年，标志着“与2022年相比发生了转变，当时列表只有不到一半作为零日漏洞被利用。” NCSC首席技术官Ollie Whitehouse警告说：“常规化的零日漏洞初始利用代表了新常态，恶意行为者寻求渗透网络，这应该引起最终用户组织和供应商的关注，。” “为了降低被入侵的风险，所有组织都必须通过及时应用补丁，并在技术市场上使用安全设计产品来保持领先地位。”Whitehouse说。       转自E安全，原文链接：https://mp.weixin.qq.com/s/sZGhRNMcdMxRXisqxWnlFg 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌的研究人员发现，黑客利用 Zimbra 电子邮件产品的一个漏洞，攻击了希腊、突尼斯、摩尔多瓦、越南和巴基斯坦的政府机构。 谷歌的威胁分析团队在 6 月份首次发现了这个漏洞，编号为 CVE-2023-37580。从 6 月开始，四个不同的组织利用零日漏洞攻击了 Zimbra Collaboration，这是一个许多组织用来托管电子邮件的电子邮件服务器。 该漏洞是一个跨站点脚本(XSS)漏洞，允许黑客向受害者网站注入恶意脚本。 黑客窃取了电子邮件信息、用户凭证和认证令牌。Zimbra 于 7 月 5 日在 GitHub 上发布了针对该问题的修复程序，并于 7 月 13 日发布了一份带有修复指导的咨询。官方补丁于 7 月 25 日发布。 谷歌表示，针对希腊政府机构的攻击发生在 6 月 29 日，而针对摩尔多瓦和突尼斯的攻击发生在 7 月 11 日。越南和巴基斯坦分别在 7 月 20 日和 8 月 25 日遭到袭击。 在官方补丁发布之前，谷歌观察到有三个威胁组织利用了这个漏洞，其中包括在修复程序最初在 Github 上公开之后可能已经了解到这个漏洞的组织。 “在官方补丁发布后，我们发现了第四次使用 XSS 漏洞的攻击。其中三次活动是在修复程序最初公开之后开始的，这强调了组织尽快应用修复程序的重要性。” 对希腊的攻击始于一封带有恶意链接的电子邮件。当用户在登录Zimbra时点击这个按钮，黑客就可以访问用户的电子邮件和附件。黑客也可以用它来设置一个自动转发规则到攻击者控制的电子邮件地址。 第二次针对摩尔多瓦和突尼斯政府的攻击被认为是一个臭名昭著的黑客组织 Winter Vivern 所为，该组织被怀疑与俄罗斯有联系。该组织此前曾被指控以乌克兰、波兰和印度的组织为目标。上个月，该组织被发现利用了一个零日漏洞，影响了欧洲各国政府使用的另一个流行的网络邮件服务。在对摩尔多瓦和突尼斯的攻击中，电子邮件中的恶意 url“包含了这些政府中特定组织的唯一官方电子邮件地址”。 第三次攻击是针对越南的一个政府组织，黑客试图通过网络钓鱼获取用户凭证。谷歌表示：“在这种情况下，利用 url 指向一个脚本，该脚本显示了一个钓鱼页面，要求用户的 webmail 凭证，并将窃取的凭证发布到一个托管在官方政府域名上的 url 上，攻击者可能会破坏这个域名。” 第四次攻击是针对巴基斯坦的一个政府组织，黑客试图窃取Zimbra认证令牌。 谷歌表示，这些黑客攻击是攻击者如何监控开源存储库的例子，这些存储库发布了漏洞修复程序，但尚未向用户发布。 研究人员补充说，这是继 2022 年利用另一个 XSS 漏洞 CVE-2022-24682 之后，第二个影响津巴布韦邮件服务器的漏洞被用于对政府的攻击。 他们表示：“邮件服务器中经常出现的跨站攻击漏洞也表明，需要对这些应用程序进行进一步的代码审计，尤其是针对跨站攻击漏洞。” “我们敦促用户和组织迅速应用补丁，并保持软件的最新状态，以获得全面的保护。”       Hackernews 编译，转载请注明出处 消息来源：TheRecord，译者：Serene

Atlas VPN 已确认存在一个零日漏洞，该漏洞允许网站所有者查看 Linux 用户的真实 IP 地址。不久前，发现该漏洞的人在Reddit上公开发布了有关该零日漏洞的详细信息以及漏洞利用代码。 关于 Atlas VPN 零日漏洞 Atlas VPN提供 “免费 “和付费的 “高级 “VPN解决方案，可以改变用户的IP地址，以及与网站和在线服务的连接进行加密。该公司为 Windows、macOS、Linux、Android、iOS、Android TV 和 Amazon Fire TV 提供应用程序。 此次发现的漏洞仅影响Lunux版AtlasVPN客户端v1.0.3（即最新版本）。 发帖者解释了漏洞的根本原因，首先，AtlasVPN Linux 客户端由两部分组成，守护进程（atlasvpnd）由管理连接，客户端（atlasvpn）由用户控制连接、断开连接和列出服务。当客户端不通过本地套接或任何其他安全手段进行连接，而是在 8076 端口的 localhost 上打开一个 API时，它没有任何身份验证。计算机上运行的任何程序，包括浏览器，都可以访问这个端口。 简而言之，通过恶意脚本，任何网站都可以向 8076 端口提出断开 VPN 连接的请求，然后运行另一个请求，泄露用户的 IP 地址。 成功 “攻击 “的前提条件是访问者使用 Linux，并在访问网站时主动使用 AtlasVPN Linux 客户端 v1.0.3。当然，这也限制了潜在受害者的数量。 修复程序正在开发中 Atlas VPN 的通信主管 Rūta Čižinauskaitė 说：我们正在修复这个漏洞。该漏洞影响 Atlas VPN Linux 客户端 1.0.3 版本。正如研究人员所说，由于该漏洞，恶意行为者可能会断开应用程序，从而断开用户与 VPN 网关之间的加密流量。这可能导致用户的 IP 地址泄露。 目前，该公司正在努力尽快修复这个容易被利用的漏洞，一旦问题得到解决，就会提示用户将其 Linux 应用程序更新到最新版本。 Čižinauskaitė还表示，他们将在开发过程中实施更多的安全检查，以避免未来出现此类漏洞。     转自Freebuf，原文链接:https://www.freebuf.com/news/377482.html 封面来源于网络，如有侵权请联系删除

美国 IT 软件公司 Ivanti 今天提醒客户，一个关键的 Sentry API 身份验证绕过漏洞正在被恶意利用。 Ivanti Sentry（前身为 MobileIron Sentry）在 MobileIron 部署中充当 Microsoft Exchange Server 等企业 ActiveSync 服务器或 Sharepoint 服务器等后端资源的守门员，它还可以充当 Kerberos 密钥分发中心代理（KKDCP）服务器。 网络安全公司 mnemonic 的研究人员发现并报告了这个关键漏洞（CVE-2023-38035），未经身份验证的攻击者可以通过 MobileIron 配置服务（MICS）使用的 8443 端口访问敏感的管理门户配置 API。 攻击者利用限制性不足的 Apache HTTPD 配置绕过身份验证控制后，就可以实现这一点。 成功利用后，他们就可以在运行 Ivanti Sentry 9.18 及以前版本的系统上更改配置、运行系统命令或写入文件。 Ivanti 建议管理员不要将 MICS 暴露在互联网上，并限制对内部管理网络的访问。   Ivanti 表示：”截至目前，我们仅发现少数客户受到 CVE-2023-38035 的影响。该漏洞不会影响其他 Ivanti 产品或解决方案，如 Ivanti EPMM、MobileIron Cloud 或 Ivanti Neurons for MDM”。 随后，该公司补充说：”在得知该漏洞后，我们立即调动资源修复该问题，并为所有支持版本提供了RPM脚本。我们建议客户首先升级到支持的版本，然后应用专门为其版本设计的 RPM 脚本”。 四月份以来被攻击利用的其他 Ivanti 漏洞 自 4 月份以来，国家支持的黑客已经利用了 Ivanti 的 Endpoint Manager Mobile (EPMM)（以前称为 MobileIron Core）中的另外两个安全漏洞。 其中一个（被追踪为 CVE-2023-35078）是一个重要的身份验证绕过漏洞，该漏洞作为零日漏洞被滥用，入侵了挪威多个政府实体的网络。 该漏洞还可与一个目录遍历漏洞（CVE-2023-35081）结合，使具有管理权限的威胁行为者能够在被入侵系统上部署网络外壳。 CISA在8月初发布的一份公告中说：高级持续威胁（APT）组织至少在2023年4月至2023年7月期间利用CVE-2023-35078作为零日漏洞，从多个挪威组织收集信息，并访问和入侵了一个挪威政府机构的网络。 在CISA与挪威国家网络安全中心（NCSC-NO）发布联合公告之前，本月早些时候曾发布命令，要求美国联邦机构在8月15日和8月21日前修补这两个被主动利用的漏洞。 一周前，Ivant 还修复了其企业移动管理（EMM）解决方案 Avalanche 软件中的两个关键的基于堆栈的缓冲区溢出，被追踪为 CVE-2023-32560，利用后可能导致崩溃和任意代码执行。     转自Freebuf，原文链接:https://www.freebuf.com/news/375839.html 封面来源于网络，如有侵权请联系删除

近日，谷歌发布了年度零日漏洞报告，展示了 2022 年的野外漏洞统计数据，并强调了 Android 平台中长期存在的问题，该问题在很长一段时间内提高了已披露漏洞的价值和使用。 更具体地说，谷歌的报告强调了安卓系统中的 “N-days “问题，该问题源于安卓生态系统的复杂性，涉及上游供应商（谷歌）和下游制造商（手机制造商）之间的多个环节。致使不同设备型号之间的安全更新时间存在重大差异，即对于威胁行为者来说，”N-days “就是 “0-days”。 “0-day漏洞”（又称零日漏洞），通常就是指还没有补丁的安全漏洞，也就是已经被少数人发现的，但还没被传播开来，官方还未修复的漏洞。 当“0-day漏洞”被发现并公开后，没有补丁的一段时间内（通常时间会很短），根据习惯这个漏洞会被称为1-day漏洞。当厂商提供了修复补丁，但是漏洞仍然还在被利用时，我们一般会称呼这个漏洞为N-day漏洞。 谷歌在报告中表示，尽管谷歌或其他厂商已经提供了补丁，但攻击者仍可以利用该漏洞。因为即使谷歌或其他厂商修复了漏洞，但下游的设备制造商仍需要几个月的时间才能在自己的安卓版本中推出。 因此，上游厂商和下游厂商之间补丁的间隔使得N-days（公开已知的漏洞）可以像0-days一样，因为用户无法随时获得补丁，他们唯一的办法就是停止使用设备。 N-days 与 0-days 同样危险 2022 年，诸如此类的问题对安卓系统造成了很大的影响，其中最著名的是 CVE-2022-38181，这是 ARM Mali GPU 中的一个漏洞。该漏洞于 2022 年 7 月报告给安卓安全团队，被认定为 “无法修复”，2022 年 10 月被 ARM 修补，最后被纳入安卓 2023 年 4 月的安全更新中。 2022 年 11 月，即 ARM 发布修补程序一个月后，该漏洞在野外被发现。 直到 2023 年 4 月，Android 安全更新推送修复程序时，对该漏洞的利用仍有增无减，这距离 ARM 解决该安全问题足足过去了 6 个月。 CVE-2022-3038：Chrome 105 中的沙箱逃逸漏洞，该漏洞已于 2022 年 6 月得到修补，但基于早期 Chrome 版本的供应商浏览器（如三星的 “互联网浏览器”）仍未得到解决。 CVE-2022-22706：ARM Mali GPU 内核驱动程序中的漏洞，供应商已于 2022 年 1 月修补了该漏洞。 这两个漏洞于 2022 年 12 月被发现利用，是三星安卓设备感染间谍软件的攻击链的一部分。 三星于 2023 年 5 月发布了针对 CVE-2022-22706 的安全更新，而安卓安全更新则在 2023 年 6 月的安全更新中采用了 ARM 的修复程序，延迟时间长达 17 个月之久。 即使谷歌发布了安卓安全更新，设备供应商也需要长达三个月的时间才能为支持的机型提供修补程序，这就给攻击者提供了针对特定设备攻击的机会。 这种补丁间隙实际上使 “N-day “与 “0-day “具有同等威胁，威胁者可以在未打补丁的设备上利用 “N-day”。相比于0日漏洞N-day可能威胁会更大，因为其技术细节已经公布，可能还有概念验证（PoC）漏洞，使威胁者更容易滥用它们。 好消息是，谷歌 2022 年的活动总结显示，零日漏洞与 2021 年相比有所下降，发现了 41 个，而浏览器类别的下降幅度最大，发现了 15 个漏洞（2021 年为 26 个）。 另一个值得注意的发现是，在 2022 年发现的零日漏洞中，有 40% 以上是以前报告过的漏洞的变种，因为绕过已知漏洞的修复程序通常，比找到一个新型零日漏洞要容易得多。     转自Freebuf，原文链接：https://www.freebuf.com/news/373462.html 封面来源于网络，如有侵权请联系删除