微软修复 Internet Explorer 中被网络犯罪分子滥用一年多的零日漏洞

微软修复 Internet Explorer 中被网络犯罪分子滥用一年多的零日漏洞 微软最新的"星期二补丁"更新包括对 Internet Explorer 浏览器引擎零日漏洞的修复。该漏洞被追踪为 CVE-2024-38112，自 2023 年 1 月以来一直被未知犯罪分子利用，诱骗用户在本地未受保护的机器上运行恶意代码。CVE-2024-38112 漏洞最早由 Check Point 研究人员发现，微软将其描述为 Windows MSHTML 平台欺骗漏洞。MSHTML 也被称为 Trident，是 Internet Explorer 使用的专有浏览器引擎。Windows 11 不再使用该浏览器，但上述引擎仍包含在操作系统中，微软计划至少在 2029 年前支持该引擎。CVE-2024-38112 的严重性评级为 7.0（满分 10 分），攻击者需要采取额外行动才能确保成功利用该漏洞。微软警告说，威胁行为者必须诱使受害者下载并执行恶意文件，而用户成为攻击目标、受到攻击和实际被入侵似乎已经有一年多的时间了。Check Point分析师警告说，IE引擎不安全且已过时，针对CVE-2024-38112设计的零日漏洞利用者使用了一些巧妙的技巧来伪装他们实际想要达到的目的。犯罪分子使用一个恶意 URL 链接，看似打开一个 PDF 文档，然后在 Internet Explorer 模式下打开 Edge 浏览器 (msedge.exe)。在调用 MSHTML 后，犯罪分子本可以利用一些与 IE 相关的零日漏洞，立即获得远程代码执行权限。然而，Check Point 发现的恶意样本并不包括 IE 引擎中任何以前未知的缺陷。相反，他们使用了另一种新奇的伎俩，打开一个对话框，要求用户保存一个 PDF 文件。PDF扩展名被用来伪装恶意HTA文件，这是一个从HTML文档中调用的可执行程序，通过一个名为Microsoft HTML Application Host (mshta.exe)的工具在Windows上运行。Check Point说，事实上，CVE-2024-38112攻击的总体目标是让受害者相信他们正在打开一个PDF文件。该公司发现并散列了该活动中使用的六个恶意.url文件，建议Windows用户尽快安装最新的"补丁星期二"更新。 ... PC版： 手机版：

WPS Office 存在远程代码执行漏洞

WPS Office 存在远程代码执行漏洞 WPS 近日发布安全通告，确认 WPS Office 存在代码执行漏洞，建议用户更新到最新版本。 WPS 官方称，攻击者利用本漏洞专门构造出恶意文档，受害者打开该文档并执行相应操作后，才会联网从远程服务器下载恶意代码到指定目录并执行，前提是系统当前用户对该目录具备写权限，攻击者进而控制其电脑。 影响范围 •WPS Office 个人版，Windows 平台，版本号低于 12.1.0.15120（含） •WPS Office 机构版本（如专业版、专业增强版），Windows 平台，版本号低于 11.8.2.12055（含）

微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它

微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它 据安全公司Vectra称， Microsoft Teams以未加密的明文模式存储身份验证令牌，从而允许攻击者潜在地控制组织内的通信。该漏洞影响了使用微软 Electron 框架构建的 Windows、Mac 和 Linux 桌面应用程序。微软已经意识到了这个问题，但表示没有计划在短期内进行修复，因为漏洞利用还需要网络访问。 根据 Vectra 的说法，具有本地或远程系统访问权限的黑客可以窃取当前在线的任何 Teams 用户的凭据，然后即使在他们离线时也可以冒充他们。他们还可以通过与 Teams 相关的应用程序（例如 Skype 或 Outlook）假装是用户，同时绕过通常需要的多因素身份验证 (MFA)。

Microsoft 帐户的 OAuth 令牌可被 Harvest App 中的开放重定向漏洞窃取

Microsoft 帐户的 OAuth 令牌可被 Harvest App 中的开放重定向漏洞窃取 安全研究员Vikrant Singh Chauhan近日公开了一项关于Harvest App的安全漏洞研究。Harvest是一款提供时间跟踪服务的软件，允许用户通过OAuth连接其Outlook日历。Chauhan发现了一个开放重定向漏洞，攻击者可以利用这个漏洞通过隐式授权流程窃取OAuth访问令牌。他提供了详细的概念验证过程，并展示了如何构造攻击链以利用这个漏洞。尽管他在2020年就报告了这个问题，但Harvest团队对此反应迟缓，直到2023年才修复漏洞。Chauhan对Harvest团队的沟通和处理过程表示不满，并在文章中详细记录了整个事件的时间线，同时决定公开披露这个漏洞，以提醒社区对类似安全问题的重视。 消息来源:

Realtek芯片存在漏洞,允许远程UDP包执行任意指令，即将出现在野利用

Realtek芯片存在漏洞,允许远程UDP包执行任意指令，即将出现在野利用 漏洞ID:CVE-2022-27255 版本： rtl819x-eCos-v0.x 系列rtl819x-eCos-v1.x 系列 Realtek AP-Router SDK 威胁分数:9.8 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现 该漏洞允许重写 SDP 数据的 SIP ALG 函数存在基于堆栈的缓冲区溢出,严重分数为9.8 远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码，这个过程完全无需身份验证。此外，攻击者还可以通过 WAN 接口利用漏洞 [包括开启拒绝外部访问] 攻击者只需有漏洞设备的外部 IP 地址，就可以 利用CVE-2022-27255 漏洞，不需要与用户交互 攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞； 此漏洞可能对路由器影响最大，但一些基于 Realtek SDK 的物联网设备也可能受到影响 [包括软路由] 该漏洞允许攻击者执行以下操作: 导致设备崩溃，执行任意代码，建立持久性的后门，改变网络流量的路线，拦截网络流量

Telegram Android 版本发现 0day 漏洞允许将恶意文件伪装成视频

Telegram Android 版本发现 0day 漏洞允许将恶意文件伪装成视频 安全公司 ESET 上月初在一个黑客论坛发现有人在出售一个 Android 版本的 Telegram 漏洞，允许攻击者在 Telegram 频道、群组和聊天中发送伪装成视频的恶意文件。研究人员称该漏洞为 EvilVideo，Telegram 在本月初的 v10.14.5+ 版本中修复了该漏洞。攻击者有大约五周时间利用该 0day 漏洞，但不清楚是否被利用。EvilVideo 利用了 Telegram 自动下载媒体文件的默认设置。该设置可手动禁用，但如果用户点击共享文件的下载按钮，有效负荷仍可以安装在设备上。如果用户尝试播放，Telegram 会显示无法播放的信息，建议使用外部播放器，黑客将恶意应用伪装成外部播放器。修复后的 Telegram 能正确将恶意文件识别为应用而不是视频。 via Solidot