微软修复 Internet Explorer 中被网络犯罪分子滥用一年多的零日漏洞

微软修复 Internet Explorer 中被网络犯罪分子滥用一年多的零日漏洞 微软最新的"星期二补丁"更新包括对 Internet Explorer 浏览器引擎零日漏洞的修复。该漏洞被追踪为 CVE-2024-38112，自 2023 年 1 月以来一直被未知犯罪分子利用，诱骗用户在本地未受保护的机器上运行恶意代码。CVE-2024-38112 漏洞最早由 Check Point 研究人员发现，微软将其描述为 Windows MSHTML 平台欺骗漏洞。MSHTML 也被称为 Trident，是 Internet Explorer 使用的专有浏览器引擎。Windows 11 不再使用该浏览器，但上述引擎仍包含在操作系统中，微软计划至少在 2029 年前支持该引擎。CVE-2024-38112 的严重性评级为 7.0（满分 10 分），攻击者需要采取额外行动才能确保成功利用该漏洞。微软警告说，威胁行为者必须诱使受害者下载并执行恶意文件，而用户成为攻击目标、受到攻击和实际被入侵似乎已经有一年多的时间了。Check Point分析师警告说，IE引擎不安全且已过时，针对CVE-2024-38112设计的零日漏洞利用者使用了一些巧妙的技巧来伪装他们实际想要达到的目的。犯罪分子使用一个恶意 URL 链接，看似打开一个 PDF 文档，然后在 Internet Explorer 模式下打开 Edge 浏览器 (msedge.exe)。在调用 MSHTML 后，犯罪分子本可以利用一些与 IE 相关的零日漏洞，立即获得远程代码执行权限。然而，Check Point 发现的恶意样本并不包括 IE 引擎中任何以前未知的缺陷。相反，他们使用了另一种新奇的伎俩，打开一个对话框，要求用户保存一个 PDF 文件。PDF扩展名被用来伪装恶意HTA文件，这是一个从HTML文档中调用的可执行程序，通过一个名为Microsoft HTML Application Host (mshta.exe)的工具在Windows上运行。Check Point说，事实上，CVE-2024-38112攻击的总体目标是让受害者相信他们正在打开一个PDF文件。该公司发现并散列了该活动中使用的六个恶意.url文件，建议Windows用户尽快安装最新的"补丁星期二"更新。 ... PC版： 手机版：

Barracuda ESG 零日漏洞 (CVE-2023-2868) 在全球范围内被攻击性和技术娴熟的攻击者利用，疑似与中国有关

Barracuda ESG 零日漏洞 (CVE-2023-2868) 在全球范围内被攻击性和技术娴熟的攻击者利用，疑似与中国有关。 Google Cloud 的子公司 Mandiant 的安全研究人员表示，受中国支持的黑客可能是大规模利用最近发现的梭子鱼网络电子邮件安全设备安全漏洞的幕后黑手，该漏洞促使客户警告移除并更换受影响的设备。 受邀负责 Barracuda 事件响应的 Mandiant 表示，黑客利用该漏洞破坏了数百家组织，这可能是支持中国政府的间谍活动的一部分。 梭子鱼网络有限公司（Barracuda Networks INC）成立于2003年，总部位于美国硅谷，是一家提供包括邮件安全和归档、WEB应用安全、负载均衡等产品的网络应用厂商。 详细请看

微软发布 5 月 Win10 / Win11 安全更新：修复 61 个漏洞，3 个零日漏洞

微软发布 5 月 Win10 / Win11 安全更新：修复 61 个漏洞，3 个零日漏洞 IT之家附上本次更新修复的漏洞内容如下：17 个权限提升漏洞、2 个安全功能绕过漏洞、27 个远程代码执行漏洞、7 个信息披露漏洞、3 个拒绝服务漏洞、4 个欺骗漏洞 61 个漏洞中，不包括 5 月 2 日修复的 2 个微软 Edge 漏洞和 5 月 10 日修复的 4 个漏洞。 本月补丁星期二活动日共计修复了 3 个零日漏洞，其中 2 个已经被证明有黑客利用发起攻击，而还有 1 个是公开披露的。

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞 微软已发布补丁来修复两个流行开源库中的零日漏洞，这些漏洞影响了多个微软产品，包括 Skype、Teams 及其 Edge 浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。 谷歌和公民实验室的研究人员表示，这两个漏洞是上个月发现的，并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。 这些漏洞是在两个常见的开源库 webp 和 libvpx 中发现的，这两个漏洞编号分别是 (CVE-2023-4863) 和 (CVE-2023-5217)，这些库被广泛集成到浏览器、应用和手机中，用于处理图像和视频。 微软在周一发布的中表示，已经推出了修复程序，解决了其产品中集成的 webp 和 libvpx 库的两个漏洞，并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】

【谷歌Chrome浏览器发布针对零日漏洞的修复版本】 6月7日消息，在6月5日的Chrome博客公告中，谷歌已确认其Chrome网络浏览器中的零日漏洞正在被积极利用，并发布了紧急安全更新作为回应。谷歌称，桌面应用程序已经更新到Mac和Linux的114.0.5735.106版本以及Windows的114.0.5735.110的版本，所有这些都将“在未来几天/几周内推出”。 公告称此次更新中包含两个安全修复程序，但实际上只有一个被详细说明：CVE-2023-3079。CVE-2023-3079是V8 JavaScript引擎中的类型混淆漏洞，且是谷歌Chrome 2023年的第三个零日漏洞。类型混淆漏洞会带来重大风险，使攻击者能够利用内存对象处理中的弱点在目标机器上执行任意代码，强烈建议用户及时更新浏览器以减轻潜在风险。

片名：零日风暴 S1又名：零日风暴 第一季 / 零时差 / 零日漏洞 / 零日攻击 / 零时差攻击 / Zero Day

片名：零日风暴 S1 又名：零日风暴 第一季 / 零时差 / 零日漏洞 / 零日攻击 / 零时差攻击 / Zero Day 地区：美国 首映：2025-02-20(美国) 主演：罗伯特·德尼罗 / 杰西·普莱蒙 / 丽兹·卡潘 / 康妮·布里顿 / 琼·艾伦 类型：剧情 / 惊悚 简介：《零日风暴》向所有人提出了一个问题：如果世界变得危机四伏，就像已被我们无法控制的力量撕裂，我们该如何找到真相？而在一个阴谋论和诡计盛行的时代，这些力量中有多少是我们自己造成的，甚至是我们自己想象出来的？IMDb: tt23872886。集数：6 #零日风暴 影片已上传 点击下方搜索 【优影臻享】@Youxiu_bot