Curl 项目将于 10 月 11 日通过 curl 8.4.0 宣布严重程度为 HIGH 的安全问题

Curl 项目将于 10 月 11 日通过 curl 8.4.0 宣布严重程度为 HIGH 的安全问题 Curl 项目正在缩短发布周期，并将于10 月 11 日发布 curl 8.4.0，其中包括修复一个严重程度标识为 HIGH 等级的 CVE 和一个 LOW 等级的 CVE 。被标识为 HIGH 的那个可能是很长时间以来 curl 的最严重的安全漏洞。 新版本以及两个 CVE 的详细信息将于发布当天 06:00 UTC 左右发布。 CVE-2023-38545：严重性 HIGH（同时影响 libcurl 和 curl 工具） CVE-2023-38546：严重性 LOW（仅影响 libcurl，不影响工具） 详细信息：

curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级

curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级 curl 8.4.0 已正式，创始人 Daniel Stenberg（社区称号 bagder）已提前预告了该版本 修复高危安全漏洞，并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞，同时影响到 libcurl 库和 curl 工具。 根据介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞 (heap buffer overflow)，该漏洞 (CVE-2023-38545) 导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 有开发者，该漏洞出现的场景是输入的域名太长，从而导致内存溢出。当然前提条件是使用了 SOCKS5 代理。 两种典型的攻击场景如下： 1、某些程序里内置 libcurl，而允许外部用户指定 socket5 代理以及输入超长的域名，则可以发起攻击 2、用户在使用 curl 或者 libcurl 时，使用了 socket5 代理，并且 http 请求到恶意服务器，并且恶意服务器返回了 http 30x 跳转，把用户访问目标指向一个超长域名从而导致溢出 详情查看： 来源：

Curl 正式发布新版本 8.4.0 ，修复 SOCKS5 堆溢出漏洞，请尽快更新。

Curl 正式发布新版本 8.4.0 ，修复 SOCKS5 堆溢出漏洞，请尽快更新。 Curl 项目的维护者在一周前就了漏洞提醒，表示将在 8.4.0 版本中修复这个严重的漏洞。据维护人员称，这可能是他们长期以来见过的最严重的 curl 安全问题，同时影响到 libcurl 库和 curl 工具。 根据 Curl 作者 Daniel Stenberg 在其个人博客中的介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞(heap buffer overflow)，该漏洞(CVE-2023-38545)会导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 目前 8.4.0 版本已正式发布，建议用户和开发者立即更新。 漏洞详情：

谷歌“快速分享”出现安全漏洞 新版本已修复

谷歌“快速分享”出现安全漏洞 新版本已修复 谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本，可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1，允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常，当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而，这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9，可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。 、

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为 JavaScript V8 引擎中的类型混淆问题，该漏洞由安全研究人员 @0x10n 提交，漏洞奖金为 20,000 美元高危安全漏洞：CVE-2024-6101，为 WebAssembly 中的不适当实现，该漏洞由安全研究人员 @ginggilBesel 报告，漏洞奖金为 7,000 美元高危安全漏洞：CVE-2024-6102，Dawn 中的越界内存访问，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn 中的 Use-after-Free 问题，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级： ... PC版： 手机版：

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新

谷歌 Pixel 设备发现高危安全漏洞 美国政府督促雇员限期更新 谷歌 Pixel 本月更新披露了一个严重的安全漏洞 (CVE-2024-32896)。谷歌警告说，这个高严重性固件漏洞“可能正受到有限的、有针对性的利用。”谷歌对这个零日漏洞提供的细节很少，但美国政府已经介入要求联邦雇员在7月4日之前更新他们的 Pixel 设备，“否则停止使用该产品。”据 GrapheneOS 称，这是对其在四月报告的漏洞第二部分修复，这些漏洞“正被取证公司积极利用。”该公司还表示，“该问题已通过 6 月更新 (安卓 14 QPR3) 在 Pixel 上得到修复，并将随着其他安卓设备最终升级到安卓 15 而修复。如果没有更新到安卓 15，可能不会得到修复，因为安全补丁目前还没有向后移植。”