【慢雾创始人余弦：保持IOS系统更新习惯，另外建议尽量不要使用iMessage功能】

【慢雾创始人余弦：保持IOS系统更新习惯，另外建议尽量不要使用iMessage功能】 卡巴斯基首席执行官尤金·卡巴斯基在社交媒体上称，我们发现了一种针对 iOS 的新网络攻击，称为三角测量。攻击从带有恶意附件的 iMessage 开始，利用 iOS 中的多个漏洞安装间谍软件。无需用户操作。 对此，慢雾创始人余弦转发提醒称，这黑客组织是下血本的，一条 iMessage 消息不需要什么用户交互即可静默地在你的 iOS 上植入木马，远程控制你的 iPhone，禁用升级、重启恢复、偷钱包的能力肯定也是绰绰有余，但这个组织的意图不是这个。不过还是别大意，系统保持更新习惯（虽然木马会禁用更新，这个可能也可以作为判断你 iPhone 是否正常的点），另外强烈建议，iMessage 这功能没什么软用就别用了…

WPS Office 存在远程代码执行漏洞

WPS Office 存在远程代码执行漏洞 WPS 近日发布安全通告，确认 WPS Office 存在代码执行漏洞，建议用户更新到最新版本。 WPS 官方称，攻击者利用本漏洞专门构造出恶意文档，受害者打开该文档并执行相应操作后，才会联网从远程服务器下载恶意代码到指定目录并执行，前提是系统当前用户对该目录具备写权限，攻击者进而控制其电脑。 影响范围 •WPS Office 个人版，Windows 平台，版本号低于 12.1.0.15120（含） •WPS Office 机构版本（如专业版、专业增强版），Windows 平台，版本号低于 11.8.2.12055（含）

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞，攻击者可通过漏洞执行任意指令

重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞，攻击者可通过漏洞执行任意指令 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时，作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中，由于server_name参数没有进行适当的校验，直接被用于SQL查询，从而导致了SQL注入的风险。 漏洞原理：这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中，server_name参数没有进行适当的校验和清洗，直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句，从而实现SQL注入攻击。 通过构造特定的请求，作者成功地利用这个漏洞执行了SQL命令，包括获取数据库名称和MySQL版本信息，以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作 官方响应：目前宝塔官方尚未对这个问题进行公开回复，可能已通过暗改方式修复，但用户仍需要注意 安全建议： 1. 宝塔用户应该立即检查自己的系统，看是否存在被这个漏洞利用的迹象。 2. 关注宝塔官方的通告和更新，及时安装最新的安全补丁。 3. 考虑采取额外的安全措施，比如使用第三方的安全工具来增强WAF的防护能力。 注：用户卸载 WAF 也可避免该问题 参考信息：

苹果正在用PQ3协议加固iMessage加密技术 以防范尚不存在的威胁

苹果正在用PQ3协议加固iMessage加密技术 以防范尚不存在的威胁 为了在量子计算机最终得到广泛应用时挫败它们，苹果不会等到它们出现时才加强其安全性。正如苹果安全研究博客周三发表的一篇文章所述，苹果希望通过在 iMessage 中引入一种名为 PQ3 的新加密协议，保护现在进行的通信免受未来威胁。加密依赖于数学问题和算法来维护安全性，而更复杂的模型仅凭加密被破解的本质就能提供更高的安全性。如果坏人无法获得破解加密的密钥，他们就只能依靠暴力破解每一种可能的密钥组合来破解算法。对于当前的计算机来说，在发现正确的可能性之前，对每一种可能性进行计算是一项耗费时间和资源的任务。然而，量子计算机有可能快速完成同样的计算，从而破解加密。然而，由于量子计算仍在研究过程中，还不具备向更多人推广的商业可行性，因此目前还无法使用量子计算。由于量子计算在未来很可能会变得更加普及，不良分子仍在持有他们现在无法访问的加密数据，相信他们可以在未来解密这些数据。这是一种被称为"现在收获，稍后解密"的攻击方案，它更依赖于廉价的存储，而不是试图通过暴力破解安全的花费。从理论上讲，"现在收获，稍后解密"确实意味着目前所有的加密通信都有可能在未来被人大规模收集，而量子计算则可以更容易地做到这一点。后量子密码学为了尽量降低使用量子计算所带来的风险，密码学家们致力于研究后量子密码学（PQC）。这包括正在成为量子安全协议基础的新公钥算法，即当前非量子计算机可以使用，但与量子计算机对抗时仍然安全的协议。苹果公司以分级的方式描述了信息应用中的量子密码学状况，并随着级别数字的增加而增加。0 级和 1 级被视为不含量子安全的经典密码学，而 2 级及以上则被归类为使用 PQC。苹果公司在信息平台中对量子安全加密技术的分类0 级适用于未使用任何量子安全技术的信息传输系统，默认情况下也不使用端到端加密。这包括 Skype、QQ、Telegram 和微信。1 级仍未被归类为量子安全，但它默认包含端到端加密。使用这种加密的服务包括 Line、Viber、WhatsApp 和以前版本的 iMessage。在 PQC 等级方面，Signal 是第一个也是唯一一个被列为 2 级的大型信息应用，它支持后量子扩展 Diffie-Hellman(PQXDH) 密钥协议。这基本上是在对话开始时使用双方的公钥来相互验证。不过，据苹果公司称，即使是第 2 级也有问题，因为它只能在对话密钥不被泄露的情况下提供量子安全。攻击者有可能拥有破坏加密密钥的手段，在密钥被更改之前，攻击者可以访问加密对话。通过定期更换密钥，这就限制了攻击者在密钥泄露的情况下可以看到的对话内容。无论是获取密钥还是尝试量子处理，情况都是如此。根据这一思路，苹果公司表示，当 PQC 用于确保通信密钥的初始建立和持续的信息交换时，应用程序应努力实现三级安全。第 3 级还应包括自动恢复加密安全的能力，即使密钥遭到破坏。iMessage 和 PQ3苹果公司宣布，它已经提出了一种新的加密协议，称为 PQ3，并将纳入 iMessage。这一变化提供了"抵御量子攻击的最强保护"，iMessage 将成为第一个也是唯一一个支持三级安全的软件。PQ3 到 iMessage 的推广将从iOS 17.4、iPadOS 17.4、macOS14.4 和watchOS 10.4 的公开版本开始，并已纳入开发者预览版和测试版。支持 PQ3 的设备之间现有的 iMessage 对话将自动切换到新协议。苹果公司补充说，随着"PQ3 在 iMessage 的大规模全球范围内获得运行经验"，PQ3 将在 2024 年底之前取代所有支持对话中的现有加密协议。要使 PQ3 正常工作，苹果需要满足许多要求。这包括从对话一开始就引入后量子加密技术，以及限制使用单个受损密钥可以解密多少对话内容。它还必须采用混合设计，将后量子算法与当前的椭圆曲线算法相结合，这样 PQ3 的安全性就不会低于当前的协议。此外，还需要摊销信息大小，减少额外的安全开销。最后，它需要使用能够"为新协议提供强有力的安全保证"的正式验证方法，苹果写道。关于最后一点，苹果公司已经花了很大力气来正式验证 PQ3 的有效性，包括由苹果公司安全工程和架构部门的多学科团队以及密码学领域的权威专家进行广泛审查。苏黎世联邦理工学院信息安全组组长戴维-巴辛（David Basin）教授和滑铁卢大学的道格拉斯-斯蒂比拉（Douglas Stebila）教授领导的团队对互联网协议的后量子安全进行了研究。他们各自使用不同的数学方法来证明，只要底层加密算法还能继续使用，PQ3 就能保持安全。苹果还聘请了一家领先的第三方安全咨询公司对 PQ3 的源代码进行独立评估，结果没有发现任何安全问题。PQ3 如何工作PQ3 在设备本地生成的公钥中使用了新的后量子加密密钥，并将其发送到苹果服务器进行 iMessage 注册。即使接收方处于离线状态，发送方设备也能从第一条信息和初始密钥建立过程中获得接收方的公钥并生成后量子加密密钥。会话中还包含一个"定期后量子重配密钥机制"，可以自我修复密钥泄露带来的安全问题。与对话一起发送的新密钥用于创建新的加密密钥，这些密钥无法通过分析以前的密钥计算出来，从而进一步维护了安全性。攻击者还必须击败混合设计，这种设计将椭圆曲线和后量子元素结合在一起，用于初始密钥的建立和重配。重配密钥过程包括与加密设备一起在带内传输新的公开密钥材料，设备之间相互交换。基于椭圆曲线衍射-赫尔曼（ECDH）的新公钥与响应同步传输。由于后量子密钥比现有协议大得多，苹果通过定期重配密钥而不是每条信息重配密钥，最大限度地减少了密钥大小的影响。是否重新键入和传输的条件是一个试图平衡对话中信息的大小、连接能力有限的用户的体验以及保持基础设施性能的需要的条件。苹果公司补充说，如果将来需要，软件更新可以增加重新键入的频率，同时保持系统与所有支持 PQ3 的硬件向后兼容。实施 PQ3 后，iMessage 将继续使用经典加密算法验证发送者身份和验证联系人密钥验证账户密钥，因为它表示这些机制无法被未来的量子计算机追溯攻击。要在 iMessage 对话中插入自己，攻击者需要一台量子计算机，它能在通信之前或通信时破解验证密钥。苹果公司声称，这可以阻止"立即收获，稍后解密"方案，因为它要求量子计算机能够在通信本身发生时实施攻击。苹果公司认为，攻击新协议的能力"还需要很多年"，但其安全团队坚持认为，它将继续评估后量子验证的需求，以击败未来的攻击。 ... PC版： 手机版：

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户 12月12日下午消息，360公司今日透露，监测到大量黑客利用Apache Log4j 2漏洞攻击个人用户，其中Minecraft（游戏名称“我的世界”） Java版便是其中之一。这也意味着，元宇宙概念游戏正遭到大规模网络攻击。 据透露，9日晚，开源项目Apache Log4j2的一个远程代码执行漏洞的利用细节被公开，随后该漏洞被迅速公开。360安全大脑监测数据显示，目前，黑客已从攻击厂商升级为攻击个人用户，且攻击态势仍在加剧。甚至有一些恶意用户利用该漏洞简单的发起方式，在游戏的在线聊天中，发送一条带漏洞触发指令的消息，就可以对收到这条消息的用户发起攻击。 Sina，TestFlightCN频道

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯：研究人员公布 Telegram 已经修复的高危安全漏洞，该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频，Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞，攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染，该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞，#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似，#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能，避免攻击者利用类似的漏洞发起针对性的攻击