根据GitHub的一份报告，大众汽车Discover Media信息娱乐系统的漏洞是在2023年2月28日发现的。 该漏洞可能会使未打补丁的系统遭到拒绝服务（DoS）攻击。该漏洞起初是由大众汽车的用户发现的，随后大众汽车方面确认了该漏洞，漏洞的标识为CVE-2023-34733。 关于漏洞详情 根据GitHub的报告，发现并报告该漏洞的人所使用的车型是大众捷达2021。根据NIST的报告，该漏洞的评分是6.8，是一个中等严重漏洞。 起初该用户将他的笔记本电脑连接到大众汽车的USB端口，并用模糊器生成媒体文件。随后进行模糊测试，以找出大众汽车媒体系统的漏洞。该实验是在包括MP3、WMA、WAV等媒体文件上进行的。 该用户在GitHub上写道，”由于大众汽车的媒体播放器比预期的更强大，我专门为大众汽车的信息娱乐系统创建了一个单独的媒体文件模糊器。我每天模糊处理2万多个媒体文件，经过一天的模糊测试，发现了OGG文件的漏洞”。 然后通过模糊测试识别了一个媒体文件，导致大众汽车媒体系统中的漏洞被触发。这也导致了大众汽车信息娱乐系统在关闭后无法打开。 当USB插入端口时，媒体文件会自动播放，信息娱乐系统会被强行终止，这个现象可以通过手动重启大众汽车信息娱乐系统来解决。 据观察，该漏洞可能导致远程代码执行等安全问题。 大众汽车对该漏洞的回应 该漏洞是在大众汽车媒体信息娱乐系统软件版本0876中发现的。在收到用户的这份报告后，德国汽车巨头对该漏洞进行了确认。 大众汽车给用户的回复截图（照片：GitHub） 该公司让其事件响应小组分析了大众汽车信息娱乐系统的漏洞，后来又让研发部门分析了这个漏洞。随后他们向上述电子邮件截图中名为 “zj3t “的用户确认了该漏洞，并表示该漏洞是一个产品质量的问题，会及时改进。     转自 Freebuf，原文链接：https://www.freebuf.com/news/370513.html 封面来源于网络，如有侵权请联系删除

The Hacker News 网站披露，攻击者在 npm 开源软件包存储库中“投放”大量伪造的软件包，这些软件包导致了短暂拒绝服务（DoS）攻击。 Checkmarx 的研究人员 Jossef Harush Kadouri 在上周发布的一份报告中表示，攻击者利用开源生态系统在搜索引擎上的良好声誉，创建恶意网站并发布带有恶意网站链接的空包，此举可能导致拒绝服务（DoS）攻击，使 NPM 变得极不稳定，甚至偶尔会出现服务不可用的“错误”。 在最近观察到的一波攻击活动中，软件包版本数量达到了 142 万个，显然比 npm 上发布的约 80 万个软件包数量大幅上升。 Harush Kadouri 解释称攻击者“借用”开源存储库在搜索引擎中排名创建流氓网站，并在 README.md 文件中上传空的 npm 模块和指向这些网站的链接。由于开源生态系统在搜索引擎上享有盛誉，任何新的开源软件包及其描述都会继承这一良好声誉，并在搜索引擎中得到很好的索引，因此毫无戒心的用户更容易看到它们。 值得注意的是，鉴于整个攻击过程都是自动化的，众多虚假软件包同时发送产生的负载导致 NPM 在 2023 年 3 月底时间歇性地出现了稳定性问题。 Checkmarx 指出，此次攻击活动背后可能有多个威胁攻击者，其最终目的也略有差别，大致可分作为以下三种： 第一是利用 RedLine Stealer、Glupteba、SmokeLoader 和加密货币矿工等恶意软件感染受害者的系统；第二是使用恶意链接会将用户索引至类似速卖通这样的具有推荐 ID 的合法电子商务网站，一旦受害者在这些平台上购买商品，攻击者就会获得分成利润； 第三类则是邀请俄罗斯用户加入专门从事加密货币的 Telegram 频道。 最后，Harush Kadouri 强调攻击者会不断地利用新技术来发动网络攻击活动，因此在同毒害软件供应链生态系统的攻击者进行斗争具有很强的挑战性， 为了防止此类自动化攻击活动，建议 npm 在创建用户帐户时采用反机器人技术。     转自 Freebuf，原文链接：https://www.freebuf.com/news/363174.html 封面来源于网络，如有侵权请联系删除