QNAP 修补漏洞进度一拖再拖，研究人员强烈谴责 公开漏洞迫使其尽快修补

QNAP 修补漏洞进度一拖再拖，研究人员强烈谴责 公开漏洞迫使其尽快修补 （英文） （英文） 资安机构 watchTowr 17 日发表声明，批评 QNAP 至今仍未修复 1 月向其报告的安全漏洞，修补速度极其缓慢，为了让 QNAP 正视问题，watchTowr 决定公开漏洞迫其尽快解决问题。 据了解，watchTowr 研究 QNAP NAS 的作业系统，包括 QTS、QuTSCloud 和 QTS hero 等共发现了 15 个严重漏洞，其中一个是 2023 年 12 月向 QNAP 公报告，其余漏洞则是 1 月初报告，但直至 2024 年 5 月 17 日，只有 4 个漏洞已经被修复，6 个漏洞已被 QNAP 确认但未有修复，还有 5 个漏洞 QNAP 完全没有作出公布。 2023-02-01

威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证等

威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证等 ：不正确的验证机制允许未经授权的用户通过网络（远程）破坏系统的安全性。 ：此漏洞可让通过身份验证的用户通过网络在系统上执行任意命令，可能导致未经授权的系统访问或控制。 ：此漏洞可让通过身份验证的管理员通过网络注入恶意 SQL 代码，从而破坏数据库的完整性并篡改其内容。

华硕7款消费级路由器存在高危安全漏洞 涉及AX88U、AX58U、AC86U等

华硕7款消费级路由器存在高危安全漏洞 涉及AX88U、AX58U、AC86U等 华硕在上周发布安全公告透露 7 款华硕热门的消费级路由器存在高危安全漏洞，攻击者借助这些漏洞可以绕过身份验证直接远程登录路由器，登录路由器后就可以窃取信息亦或者篡改 DNS 设置将用户引导到钓鱼网站等。其中危害程度最高的是 CVE-2024-3080 漏洞，该漏洞属于鉴权绕过也就是可以无视身份验证，CVSS 评分为 9.8 分 / 10 分。第二个高危漏洞是 CVE-2024-3079，该漏洞属于堆栈缓冲区溢出问题，具备管理权限的攻击者可以在路由器上执行任意指令。这些漏洞影响的消费级路由器包括：ZenWiFi XT8ZenWiFi XT8_V2RT-AX88URT-AX58URT-AX57RT-AC86URT-AC68U华硕在公告中说是这些漏洞已经通过新版固件进行修复，不过蓝点网检查后暂未找到更新后的固件链接，使用上述路由器的用户可以登录路由器后转到系统管理里检查固件更新，看看有没有近期发布的新固件。需要提醒的是固件发布日期一般会更靠前，即厂商会在固件发布之后才会发布安全公告，因此安全公告发布日期与固件更新日期可能是不同的。除了两个高危漏洞外华硕还修复了多个其他漏洞，包括华硕下载大师客户端软件，该软件也存在漏洞，新发布的版本为版。华硕建议用户立即更新到最新固件 / 最新版本，如果无法立即更新则应当使用高强度账号密码并禁用任何远程访问功能，包括 WAN 远程访问、端口转发、DDNS、DMZ 和端口触发等。 ... PC版： 手机版：

重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了

重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了解决这个问题，谷歌紧急推出了一个安全更新，并建议所有的 Chrome 用户尽快安装。 这个漏洞被命名为 CVE-2023-2033，是一个类型混淆漏洞，出现在 Chrome 浏览器使用的 V8 JavaScript 引擎中。简单来说，类型混淆漏洞是一种允许使用错误的类型访问内存的 Bug，从而导致越界读写内存。这个漏洞的危险之处在于，黑客可以制作一个恶意的 HTML 页面，利用堆内存的损坏来执行任意代码。 根据谷歌的威胁分析组（TAG）的报告，这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度，但谷歌将其定为“高”级别的问题，并在周五发布了一个公告，提醒用户注意。 来源:

数以百万计的 Android 智能手机受到关键 UNISOC 芯片漏洞的影响

数以百万计的 Android 智能手机受到关键 UNISOC 芯片漏洞的影响 紫光展锐的智能手机芯片组被发现存在严重的安全漏洞，它可能被用来通过发送错误数据包来中断智能手机的无线电连接。 以色列网络安全公司 Check Point 在 The Hacker News 发表的研究报告中表示，“如果不打补丁，黑客或军队可以利用这样的弱点来禁用特定位置的通信。” “缺陷在于调制解调器固件，而不是安卓操作系统。” 根据Counterpoint Research的数据，总部位于上海的半导体企业紫光展锐是全球第四大移动处理器制造商，仅次于联发科、高通和苹果，占 2021 年第三季度所有 SoC 出货量的 10%。 CVE-2022-20210 指定已发布给现已修补的漏洞，该漏洞在 CVSS 漏洞评估系统中的严重性等级为 9.4（满分 10）。 简而言之，该漏洞是在对 UNISOC 的 LTE 协议栈实施进行逆向工程后发现的，是处理非接入层( NAS ) 信号的调制解调器固件组件中的缓冲区溢出漏洞，从而导致拒绝服务攻击. 一旦 Google 2022 年 6 月的Android 安全公告中提供了最新的可用软件，用户就应该将其 Android 设备升级到最新的可用软件，以降低风险。 Check Point 的 Slava Makkaveev 说：“攻击者可能利用无线电台发送了一个错误的数据包来重置调制解调器，从而阻止用户进行通信。”