TikTok 缓解针对知名账户的恶意软件攻击

TikTok 缓解针对知名账户的恶意软件攻击 TikTok表示已修复导致本周发生网络攻击的漏洞。黑客向用户发送了一条带有恶意软件的私人消息，用户打开该消息后就会接管用户的帐户。TikTok 证实，身份不明的黑客已经成功接管 CNN 的账号。黑客还试图劫持帕丽斯·希尔顿 (Paris Hilton) 的 TikTok 账户。目前尚不清楚此次攻击的幕后黑手是谁以及黑客利用了什么漏洞，但这种类型的攻击极为罕见，可能不会影响普通用户。TikTok 发言人补充说，公司正在积极与受影响的账户所有者合作，以恢复他们的访问权限

谷歌三星抢先修补了Android智能机的Dirty Pipe漏洞

谷歌三星抢先修补了Android智能机的Dirty Pipe漏洞 本周早些时候，Google 发布了 2022 年 4 月份的 Android 安全更新，但它并未包含对上月曝光的“Dirty Pipe”漏洞的修补。 庆幸的是，尽管大多数厂商可能要拖到 5 月才推出补丁，但谷歌和三星已经先行一步。 据悉，作为 Linux 内核中发现的一个安全漏洞，CVE-2022-0847 会允许某人在只读进程中注入并覆盖数据，而无需 root 或任何管理员权限。 XDA-Developers指出：Dirty Pipe 漏洞已被用于在 Android 设备上实现临时 root 访问，但也很容易被恶意软件和其它未知软件获得系统访问权限。 目前 Linux 内核（Kernel 5.16.11、5.15.25 和 5.10.102）已经完成 CVE-2022-0847 安全漏洞的修复，但可惜谷歌尚未将它全面包含到 2022 年 4 月份的 Android 安全更新中。 不愿等待 5 月安全更新的朋友，如果你正在使用 Pixel 6 / 6 Pro，那现在已经能够获取谷歌在周四发布的 Android QPR3 Beta 2（包含该内核补丁）。 与此同时，三星也率先为旗下 Galaxy 设备的 4 月 Android 更新引入了该修复程序（有在安全公告中提及 CVE-2022-0847），且被验证能够抵御 Dirty Pipe 攻击。 尴尬的是，小米12 / 12 Pro 的速度太过拖沓 自 2 月首发以来，尚未向用户提供过安全更新，此外一加等 Android 智能机厂商也尚未发布其 4 月更新。 在此之前，还请广大 Android 智能机用户保持良好的使用习惯，尤其注意不安装来源不明的 APK 文件。 cnBeta

安卓关键漏洞曝光数月后，三星、小米、谷歌等公司仍未进行修复

安卓关键漏洞曝光数月后，三星、小米、谷歌等公司仍未进行修复 谷歌披露了配备 Mali GPU 的手机存在的几个安全漏洞，例如配备 Exynos SoC 的手机。该公司的Project Zero团队表示，它在今年夏天将问题报告给了ARM （设计 GPU 的公司）。ARM 在 7 月和 8 月结束时解决了这些问题。然而，Project Zero 表示，截至本周早些时候，包括三星、小米、Oppo 和谷歌在内的智能手机制造商尚未部署补丁来修复这些漏洞。 研究人员在 6 月和 7 月发现了五个新问题，并立即将它们标记为 ARM。“其中一个问题导致内核内存损坏，一个导致物理内存地址被泄露给用户空间，其余三个导致物理页面释放后使用情况，”Project Zero 的 Ian Beer在一篇博文中写道。“这些将使攻击者能够在物理页面返回系统后继续读写物理页面。” 比尔指出，黑客有可能获得对系统的完全访问权限，因为他们能够绕过 Android 上的权限模型并获得对用户数据的“广泛访问”。攻击者可以通过强制内核将上述物理页面重新用作页表来实现。

这个漏洞可能让黑客在公共 Wi-Fi 网络上访问你的电脑。

这个漏洞可能让黑客在公共 Wi-Fi 网络上访问你的电脑。 如果你一直拖延安装下一个 Windows 更新，现在是时候了。上周，微软修补了一个 Windows 11 和 10 中的严重漏洞，这个漏洞可能会在你连接到公共 Wi-Fi 网络时使你的电脑处于危险之中，这一情况最早由发现。 这个漏洞（CVE-2024-30078）可能让黑客向连接在相同 Wi-Fi 网络的设备发送恶意数据包，这些地方包括机场、咖啡店、酒店，甚至是工作场所。黑客可以通过这种方式远程执行命令并获取系统访问权限这一切都无需用户进行任何交互或认证。微软在 6 月 11 日的月度安全更新中发布了补丁。 微软将这一漏洞标记为“重要”，这是该公司对安全漏洞的第二高严重性评级。即使你暂时不打算带着笔记本电脑去咖啡店，也不应该推迟更新这个补丁。 标签: #微软 #Windows 频道: @GodlyNews1 投稿: @GodlyNewsBot

密码管理软件KeePass出恶性漏洞

密码管理软件KeePass出恶性漏洞 近日，开源密码管理软件KeePass就被爆出存在恶性安全漏洞，攻击者能够在用户不知情的情况下，直接以纯文本形式导出用户的整个密码数据库。据悉，KeePass采用本地数据库的方式保存用户密码，并允许用户通过主密码对数据库加密，避免泄露。 但刚刚被发现的CVE-2023-24055漏洞，能够在攻击者获取写入权限之后，直接修改KeePass XML文件并注入触发器，从而将数据库的所有用户名和密码以明文方式全部导出。 这整个过程全部在系统后台完成，不需要进行前期交互，不需要受害者输入密码，甚至不会对受害者进行任何通知提醒。目前，KeePass官方表示，这一漏洞不是其能够解决的，有能力修改写入权限的黑客完全可以进行更强大的攻击。

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞 1 月 15 日消息，网络安全公司 Imperva Red 近日披露了存在于 Chrome / Chromium 浏览器上的漏洞细节，并警告称全球超过 25 亿用户的数据面临安全威胁。 该公司表示，这个追踪编号为 CVE-2022-3656 的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。 Imperva Red 将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。Imperva Red 表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。 在 Google Chrome 的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。 博文中写道：“这些密钥实际上是一个 zip 文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。Imperva Red 表示，它已将该漏洞通知谷歌，该问题已在 Chrome 108 中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。 src: 果核剥壳