【微软发布漏洞修复补丁，部分漏洞可使得攻击者获取系统权限】

【微软发布漏洞修复补丁，部分漏洞可使得攻击者获取系统权限】 5月10日消息，微软发布漏洞修复补丁以修复发现的38项安全漏洞，其中代号为CVE-2023-29336的漏洞可使得攻击者获取系统权限；CVE-2023-29325是一个远程代码执行漏洞，允许攻击者通过发送特制电子邮件来入侵受害者的设备。

美国联邦机构声称中国黑客利用常见漏洞窥探网络流量

美国联邦机构声称中国黑客利用常见漏洞窥探网络流量 几家美国联邦机构今天透露，中国的攻击者已经瞄准并破坏了主要的电信公司和网络服务提供商，以窃取凭据并收集数据。 正如美国国家安全局、中央情报局和联邦调查局在周二发布的联合网络安全公告中所说，中国黑客组织利用众所周知的漏洞入侵了从未打补丁的小型办公室/家庭办公室 (SOHO) 路由器到中型甚至大型企业网络的任何东西。 一旦受到威胁，攻击者就会将这些设备用作他们自己的攻击基础设施的一部分，作为他们可以用来破坏更多网络的命令和控制服务器和代理系统。... 这三个联邦机构公布了这些常见漏洞和暴露 (CVE) 是自 2020 年以来受国家支持黑客最常利用的网络设备 CVE。（）

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户

360公司称黑客正利用 Log4j2 漏洞大量攻击个人用户 12月12日下午消息，360公司今日透露，监测到大量黑客利用Apache Log4j 2漏洞攻击个人用户，其中Minecraft（游戏名称“我的世界”） Java版便是其中之一。这也意味着，元宇宙概念游戏正遭到大规模网络攻击。 据透露，9日晚，开源项目Apache Log4j2的一个远程代码执行漏洞的利用细节被公开，随后该漏洞被迅速公开。360安全大脑监测数据显示，目前，黑客已从攻击厂商升级为攻击个人用户，且攻击态势仍在加剧。甚至有一些恶意用户利用该漏洞简单的发起方式，在游戏的在线聊天中，发送一条带漏洞触发指令的消息，就可以对收到这条消息的用户发起攻击。 Sina，TestFlightCN频道

【CMS Strapi：攻击者可利用漏洞接管Admin帐户等权限】

【CMS Strapi：攻击者可利用漏洞接管Admin帐户等权限】 4月23日消息，慢雾研究员 IM_23pds 发推表示，开源无头 CMS Strapi 发布安全提醒，攻击者可以利用已知漏洞接管 Admin 账户或 RCE 接管服务器权限。虚拟货币行业有大量项目方使用此产品，请立即升级。

安全公司警告：黑客开始大规模利用 Ivanti VPN 设备中的零日漏洞

安全公司警告：黑客开始大规模利用 Ivanti VPN 设备中的零日漏洞 网络安全公司 Volexity 周一警告说，黑客已经开始大规模利用 Ivanti 企业 VPN 设备中的两个关键零日漏洞。该网络安全公司上周首次报告说，来自中国的黑客正在利用 Ivanti Connect Secure 中的两个未修补的漏洞，分别是「」，以侵入客户网络并窃取信息。当时，Ivanti 表示，已经知道“不到10个客户”受到“零日”漏洞的影响。在周一发布的更新博客文章中，Volexity 表示现在有大规模利用的证据。并表示全球已经有超过1,700台 Ivanti Connect Secure 设备受到了利用，影响到了航空航天、银行、国防、政府和电信等行业的组织。 、

谷歌 Chromecast 曝光多个漏洞：允许攻击者安装流氓固件或间谍软件

谷歌 Chromecast 曝光多个漏洞：允许攻击者安装流氓固件或间谍软件 安全研究人员谷歌 Chromecast 中的一系列漏洞。利用这些漏洞，攻击者可以安装恶意固件或间谍软件。相关漏洞需要物理访问才能利用。另一个问题涉及与内置麦克风的配对遥控器相关的风险。攻击者可能会远程激活此麦克风，从而截获设备附近的音频。在今年第二季度收到这些漏洞的通知后，谷歌于本月安全更新。