VMware Workstation等多款产品曝高危漏洞 应立即升级

VMware Workstation等多款产品曝高危漏洞 应立即升级 受影响的产品也包括各位用户使用的 VMware Workstation Pro 虚拟机软件，因此请要么卸载 VMware 要么就立即更新，避免存在安全缺陷。受影响的产品包括：VMware ESXi 8.0，需升级到 VMware ESXi80U2sb-23305545 版VMware ESXi 8.0 [2]，需升级到 VMware ESXi80U1d-23299997 版VMware ESXi 7.0，需升级到 VMware ESXi70U3p-23307199 版VMware Workstation Pro/Player 17.x 版，需升级到 17.5.1 版VMware Fusion 13.x 版，需升级到 VMware Fusion 13.5.1 版下载地址：使用 VMware Workstation Pro 虚拟机的用户请点击这里直接下载新版本覆盖升级： USB 控制器中的 UaF 漏洞，具有虚拟机本地管理权限的用户可以在主机上运行的 VMX 进程执行代码，实际上也就是从沙盒里逃逸了，可以直接侵入宿主机。CVE-2024-22253：UHCI USB 控制器中的 UaF 漏洞，情况与 CVE-2024-22252 类似。CVE-2024-22254：越界后写入漏洞，此漏洞使得在 VMX 进程中拥有特权的人可以触发越界写入进而导致沙箱逃逸。CVE-2024-22255：UHCI USB 控制器中的信息泄露漏洞，具有虚拟机管理访问权限的人可以利用此漏洞从 VMX 进程中泄露内存。临时解决方案：从漏洞描述中可以看到三个漏洞与 USB 控制器有关，因此 VMware 提供的临时解决方案是直接删除 USB 控制器，如果你现在无法升级到最新版本的话。删除 USB 控制器会导致虚拟 / 模拟的 USB 设备包括 U 盘或者加密狗等无法使用，也无法使用 USB 直通功能，但鼠标和键盘不受影响，键鼠并不是通过 USB 协议连接的，删除 USB 控制器后可以继续用。需要提醒的是有些虚拟机例如 Mac OS X 本身不支持 PS/2 键鼠，这些系统没有鼠标和键盘，也没有 USB 控制器。 ... PC版： 手机版：

至少 29000 台设备受到影响，威联通公告 QTS 和 QuTS hero 存在严重漏洞

至少 29000 台设备受到影响，威联通公告 QTS 和 QuTS hero 存在严重漏洞 NAS 厂商威联通（QNAP）近日发布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 两款软件存在严重漏洞 CVE-2022-27596，允许攻击者在固件中植入恶意代码

WordPress 插件 ACF 被曝高危漏洞

WordPress 插件 ACF 被曝高危漏洞 Advanced Custom Fields（ACF）是一款使用频率较高的 WordPress 插件，已在全球超过 200 万个站点安装，近日曝光该插件存在 XSS（跨站点脚本）的高危漏洞。 ACF 的这个 XSS 漏洞允许网站在未经站长允许的情况下，未授权用户潜在地窃取敏感信息。 恶意行为者可能会利用插件的漏洞注入恶意脚本，例如重定向、广告和其他 HTML 有效负载。如果有用户访问被篡改的网站之后，用户设备就会感染并执行恶意脚本。目前官方已经发布了 6.16 版本更新，修复了上述漏洞。 来源 ， 来自：雷锋 频道：@kejiqu 群组：@kejiquchat 投稿：@kejiqubot

D-Link 停止支援的 NAS 设备，三天内已出现 1 百多起攻击者尝试利用的活动

D-Link 停止支援的 NAS 设备，三天内已出现 1 百多起攻击者尝试利用的活动 GreyNoise 指出，在 9 日研究人员公布此事时，他们只看到 1 个攻击来源 IP 位址，但如今已有超过 140 个 IP 位址尝试利用漏洞，并在 10 日达到高峰，当天有 118 个 IP 位址从事漏洞利用攻击。 2024-04-08

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告

美国网络和基础设施安全局（CISA）对被拼多多应用利用的一个 Android 高危漏洞发出警告 编号为 CVE-2023-20963 的 Android Framework 漏洞允许攻击者在不需要任何用户互动的情况下在未打补丁的 Android 设备上提权。Google 在三月初释出了补丁修复了漏洞，表示该漏洞正被用于针对性的利用。3 月 21 日 Google 从其应用商店下架了拼多多应用。（Solidot）

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新 谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说，这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少，但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备，“否则停止使用该产品。”据 GrapheneOS 称，这是对其在四月报告的漏洞第二部分修复，这些漏洞“正被取证公司积极利用。”该公司还表示，“该问题已通过 6 月更新 (安卓 14 QPR3) 在 Pixel 上得到修复，并将随着其他安卓设备最终升级到安卓 15 而修复。如果没有更新到安卓 15，可能不会得到修复，因为安全补丁目前还没有向后移植。”