Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day

Chrome、Firefox、Brave 和 Edge 刚刚修复了一个被利用的 0day WebP 编解码器中发现了重大漏洞，促使包括 Google 和 Mozilla 在内的主要浏览器加快发布更新来解决该问题。 这个新发现的漏洞，被标识为CVE-2023-4863，涉及到 WebP 图像格式中的堆缓冲区溢出。Chrome 和 Firefox 等浏览器使用 WebP 来进行高效的图像压缩。对这个漏洞的恶意利用可能会危及数百万互联网用户的安全。 包含修复程序的软件版本号如下： Chrome版本 116.0.5846.187（Mac / Linux）；Chrome版本 116.0.5845.187/.188（Windows） : Firefox 117.0.1；Firefox ESR 102.15.1；Firefox ESR 115.2.1；Thunderbird 102.15.1；Thunderbird 115.2.2 Edge版本 116.0.1938.81 Brave 浏览器版本 1.57.64 请尽快更新到以上新版本。

谷歌推迟了 Android 14 的发布，可能会与 Pixel 8 一起发布。

谷歌推迟了 Android 14 的发布，可能会与 Pixel 8 一起发布。 谷歌原计划于 2023 年 9 月 5 日发布 Android 14 源代码，但看起来计划有所变化，据称，OEM厂商被谷歌告知延迟了发布，这个决定似乎做出得太晚了。 OEM厂商被告知 Android 14 安全补丁清单中详细列出的漏洞将于 2023 年 10 月 4 日发布，这可能成为新的系统发布日期。 这个日期与 Made by Google 事件日期相符，预计在那里将推出 Pixel 8 和 Pixel Watch 2 。这将是 AOSP 发布首次被推迟以与新 Pixel 设备发布同时进行。

在间谍软件供应商的推动下 2023年被恶意利用的0day漏洞猛增50%

在间谍软件供应商的推动下 2023年被恶意利用的0day漏洞猛增50% 在 97 个0day漏洞中，研究人员能够确定其中 58 个漏洞的威胁者动机。其中 48 个漏洞归因于间谍行为，其余 10 个归因于出于经济动机的黑客。FIN11 利用了三个0day，Nokoyawa、Akira、LockBit和Magniber四个勒索软件团伙分别利用了另外四个0day。报告指出，FIN11 是影响Accellion 传统文件传输设备的2021 0day的幕后黑手，该设备被用于攻击数十家知名机构。研究人员说："FIN11 高度关注文件传输应用，这些应用提供了对受害者敏感数据的高效访问，无需横向网络移动，简化了外流和货币化的步骤。随后，大规模勒索或勒索软件活动带来的巨额收入很可能会助长这些组织对新漏洞的额外投资"。其中值得注意的是，与中国有关联、专注于间谍活动的黑客制造了 12 起0day事件，高于 2022 年的 7 起。研究人员广泛报道了几起源自中国的活动，包括明确针对梭子鱼（Barracuda）电子邮件安全网关的活动，黑客的目标是东盟成员国外交部的电子邮件域和用户，以及台湾和香港的外贸办事处和学术研究机构的个人。Google指出，其中一个0day漏洞与Winter Vivern有关，这是一个由白俄罗斯国家赞助的网络组织，曾多次攻击乌克兰和其他欧洲国家。Google说，这是已知的第一个与白俄罗斯有关联的间谍组织在其活动中利用0day漏洞的实例，这表明该组织"日益复杂"。就目标产品而言，研究人员发现，威胁行为者寻求"产品或组件中的漏洞，这些产品或组件提供了对多个目标的广泛访问"。研究人员说，梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry和趋势科技 Apex One等企业专用技术多次成为攻击目标，并补充说，这些产品通常提供广泛的访问权限和高级权限。商业间谍软件供应商的参与2023 年企业专用技术开发量的增长主要受安全软件和设备开发量的推动。商业监控供应商（CSV）是浏览器和移动设备漏洞利用的罪魁祸首，在 2023 年针对Google产品和Android生态系统设备的已知0day漏洞中，Google占 75%（17 个漏洞中的 13 个）。TAG 公司的研究人员 Maddie Stone 说，Google的0day发现最令人震惊的是，大量漏洞被 CSV 在野外利用，而且缺乏针对该行业的全球规范。她说："我们已经广泛记录了 CSV 造成的危害，但它们仍占针对最终用户的0day漏洞的大多数。"这家科技巨头再次警告说，商业监控行业继续向世界各国政府出售尖端技术，这些技术利用消费设备和应用程序中的漏洞，"在个人设备上偷偷安装间谍软件"。私营公司参与发现和销售漏洞已有多年，但我们注意到，在过去几年中，由这些行为者驱动的漏洞利用明显增加。Google今年 2 月表示，它正在追踪至少 40 家参与制造间谍软件和其他黑客工具的公司，这些间谍软件和黑客工具被出售给政府，并被用来对付"高风险"用户，包括记者、人权活动家和持不同政见者。浏览器内部攻击Google还指出，第三方组件和库中的漏洞是"一个主要的攻击面，因为它们往往会影响多个产品"。2023 年，Google发现这种针对浏览器的攻击有所增加。他们发现有三个浏览器0day漏洞被第三方组件利用，影响了不止一个浏览器。报告指出，影响 Chrome 浏览器的 CVE-2023-4863 和影响 Safari 浏览器的 CVE-2023-41064"实际上是同一个漏洞"，并补充说它还影响了Android和Firefox浏览器。他们还引用了 CVE-2023-5217 - 一个去年出现的影响 libvpx 的头条漏洞。去年还有其他几个浏览器内部工具也被利用。令人惊讶的是，去年没有发现针对 macOS 的野外0day漏洞。Google解释说，虽然发现的一些 iOS 漏洞由于共享组件也会影响 macOS，但发现的漏洞只针对 iPhone。"2023年，有8个被利用的0day针对Chrome浏览器，11个针对Safari浏览器。"研究人员说："跟踪到的 Safari 浏览器0day程序被用于针对 iPhone 的链中，而除了一个 Chrome 浏览器0day程序外，其他所有0day程序都被用于针对 Android 设备链中。"Google警告说，随着越来越多的黑客投入巨资进行研究，被利用的零漏洞数量很可能会继续增加。0day漏洞利用"不再仅仅是少数行为者可以利用的利基能力，我们预计，随着供应商继续减少其他入侵途径，以及威胁行为者将越来越多的资源集中在0day漏洞利用上，我们在过去几年中看到的增长可能会继续下去"。TAG 的斯通告诉 Recorded Future News，报告中最有希望的发现是Google的 MiraclePtr 和苹果的 Lockdown 模式等供应商的缓解措施，这两种措施都成功地阻止了对许多野外使用的漏洞链的利用。她补充说："这表明了供应商在安全方面的投资如何能够产生明显的影响，使攻击者更难利用0day利用用户。" ... PC版： 手机版：

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞 微软已发布补丁来修复两个流行开源库中的零日漏洞，这些漏洞影响了多个微软产品，包括 Skype、Teams 及其 Edge 浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。 谷歌和公民实验室的研究人员表示，这两个漏洞是上个月发现的，并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。 这些漏洞是在两个常见的开源库 webp 和 libvpx 中发现的，这两个漏洞编号分别是 (CVE-2023-4863) 和 (CVE-2023-5217)，这些库被广泛集成到浏览器、应用和手机中，用于处理图像和视频。 微软在周一发布的中表示，已经推出了修复程序，解决了其产品中集成的 webp 和 libvpx 库的两个漏洞，并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新 谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说，这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少，但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备，“否则停止使用该产品。”据 GrapheneOS 称，这是对其在四月报告的漏洞第二部分修复，这些漏洞“正被取证公司积极利用。”该公司还表示，“该问题已通过 6 月更新 (安卓 14 QPR3) 在 Pixel 上得到修复，并将随着其他安卓设备最终升级到安卓 15 而修复。如果没有更新到安卓 15，可能不会得到修复，因为安全补丁目前还没有向后移植。”

【微软发布漏洞修复补丁，部分漏洞可使得攻击者获取系统权限】

【微软发布漏洞修复补丁，部分漏洞可使得攻击者获取系统权限】 5月10日消息，微软发布漏洞修复补丁以修复发现的38项安全漏洞，其中代号为CVE-2023-29336的漏洞可使得攻击者获取系统权限；CVE-2023-29325是一个远程代码执行漏洞，允许攻击者通过发送特制电子邮件来入侵受害者的设备。