新发现的安全漏洞允许任何人冒充微软员工发送电子邮件

新发现的安全漏洞允许任何人冒充微软员工发送电子邮件 上周，网名为 Slonser 的 Vsevolod Kokorin 在 X（Twitter 的前身）上写道，他发现了电子邮件欺骗漏洞并向微软报告，但微软在表示无法重现他的发现后驳回了他的报告。这促使 Kokorin 在 X 上公布了这一漏洞，但没有提供技术细节以帮助其他人利用这一漏洞。"微软只是说他们无法重现，但没有提供任何细节，"Koroin 在一次在线聊天中表示。"微软可能注意到了我的推文，因为几个小时前他们重新打开了[原文如此]我几个月前提交的一份报告。"据 Kokorin 称，该漏洞仅在向 Outlook 账户发送电子邮件时有效。不过，根据微软最新的财报，其在全球至少有 4 亿用户。科科林说，他最后一次与微软联系是在6月15日。"我没想到我的帖子会引起如此大的反响。老实说，我只是想分享我的挫败感，因为这种情况让我很难过，"Kokorin说。"许多人误解了我，以为我想要钱或类似的东西。实际上，我只是希望公司不要忽视研究人员，当你试图帮助他们时，他们应该更加友好。"目前还不清楚是否有 Kokorin 以外的其他人发现了这个漏洞，或者这个漏洞是否已被恶意利用。尽管目前尚不清楚这一漏洞的威胁，但微软近年来已经历了多次安全问题，并引发了联邦监管机构和国会立法者的调查。上周，微软总裁布拉德-史密斯（Brad Smith）在众议院听证会上作证，此前中国黑客于2023年从微软服务器上窃取了一批美国联邦政府电子邮件。史密斯在听证会上承诺，在经历了一系列安全丑闻之后，公司将继续努力把网络安全放在首位。几个月前的一月份，微软证实，一个与俄罗斯政府有关联的黑客组织侵入了微软公司的电子邮件账户，窃取了公司高层对黑客本身的了解。上周，ProPublica 揭露，微软没有注意到关于一个关键漏洞的警告，该漏洞后来在俄罗斯支持的针对科技公司 SolarWinds 的网络间谍活动中被利用。 ... PC版： 手机版：

微软正在将安全改进作为公司当前的首要任务

微软正在将安全改进作为公司当前的首要任务 其中一起早在 2023 年 7 月就有报道。一个位于中国的黑客组织利用获取的 MSA 密钥伪造了自己的令牌，从而得以访问美国和欧洲的 Outlook 电子邮件账户。2024 年 1 月，另一个位于俄罗斯的黑客组织成功访问了微软一些高层管理人员的电子邮件账户。该公司后来承认，黑客利用这些电子邮件中的信息获取了一些源代码。4 月早些时候，一个安全小组发现，微软的一个 Azure 存储服务器由于没有密码保护，因此向任何可能知道如何访问该服务器的人开放。据报道，所有这些事件以及其他事件都导致微软对其项目进行了大刀阔斧的改革。The Verge 通过未具名消息来源报道称，微软首席执行官萨蒂亚-纳德拉（Satya Nadella）和总裁布拉德-史密斯（Brad Smith）在四月早些时候的一次内部领导会议上谈到了这些问题。报道称，纳德拉和史密斯在会议上告诉大家，安全改进是微软现在最优先考虑的问题。报道称，这意味着微软的团队现在强调安全改进，而不是增加新功能或试图提前推出新产品。尽管微软在加强安全方面做出了新的努力，但也有一些人认为微软不应该让用户为安全功能支付更多的费用。微软的长期记者和分析师玛丽-乔-弗利（Mary Jo Foley）本周就这一问题撰写了一篇文章。她指出，微软应该把重要的安全选项作为基本订阅计划的一部分，而不是额外收费。现在，微软已经注意到了自己的安全漏洞，他们在这一领域的努力能否取得成效，并阻止客户离开，我们拭目以待。 ... PC版： 手机版：

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为 JavaScript V8 引擎中的类型混淆问题，该漏洞由安全研究人员 @0x10n 提交，漏洞奖金为 20,000 美元高危安全漏洞：CVE-2024-6101，为 WebAssembly 中的不适当实现，该漏洞由安全研究人员 @ginggilBesel 报告，漏洞奖金为 7,000 美元高危安全漏洞：CVE-2024-6102，Dawn 中的越界内存访问，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn 中的 Use-after-Free 问题，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级： ... PC版： 手机版：

【报告：内部报告表明加密货币交易所Bitfinex存在安全漏洞】

【报告：内部报告表明加密货币交易所Bitfinex存在安全漏洞】 Ledger Lab发布了针对Bitfinex安全漏洞的调查，调查发现，访问交易所系统所需的两个安全密钥存储在一个设备上。这些密钥提供了对安全令牌的访问权限，这使攻击者能够操纵 Bitfinex的操作系统。该文件称，如果一个实体控制了该计划中三个密钥中的两个，它将赋予该实体对所有比特币的控制权。 据悉，此次调查的机密报告由Bitfinex的所有者之一iFinex委托，由加拿大加密货币咨询和开发公司 Ledger Labs制作，从未公开。但有组织犯罪和腐败报告项目已获得该报告的一个版本，其中包含详细的调查结果、结论和建议。

微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量 Android 应用 “Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施，以防止未经授权的访问。 然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（custom intents，Android 应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。 攻击者利用“Dirty Stream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。 微软的研究表明，此漏洞并非个例，研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如，拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用

安全漏洞让CSC ServiceWorks的洗衣房服务可以无限免费用 访问：NordVPN 立减 75% + 外加 3 个月时长 另有NordPass密码管理器 通常情况下，想要使用该公司服务的人需要在手机上安装 CSC Go 应用程序，加载余额，然后在附近的洗衣机上开始洗衣循环。任何具备必要知识的人都可以利用这个漏洞，通过远程向这家拥有 90 年历史的公司在美国、加拿大和欧洲的住宅、酒店和大学校园里运营的联网洗衣机发送指令，获得免费洗衣服务。事情要从今年 1 月初说起，当时 Sherbrooke 正带着笔记本电脑坐在地下室的洗衣房里。在账户中没有余额的情况下，他尝试运行一个代码脚本，命令面前的洗衣机运行一个洗衣周期，结果成功了。此外，学生们还在自己的一个洗衣账户中添加了数百万美元，这些钱也出现在了 CSC Mobile Go 应用程序中。据这两名学生称，该公司仍对漏洞的存在和修复要求一无所知。1 月初，他们试图通过多种渠道联系 CSC ServiceWorks，如通过在线联系表单发送多条信息和拨打电话，但均无人接听。该公司没有专门的安全页面来报告安全漏洞。虽然 CSC ServiceWorks 没有回应学生研究人员，但在他们报告发现后，CSC ServiceWorks 删除了大量账户余额。不过，该漏洞仍未修复，他们可以增加任何金额。目前尚不清楚该公司是否正在进行内部修复。根据两人的说法，该漏洞存在于移动应用程序使用的 API 中，该 API 可帮助设备和应用程序通过互联网相互通信。他们发现，他们可以直接向 CSC 的服务器发送命令，从而躲过应用程序的安全检查。学生研究人员告诉本刊，通过直接访问 API 和公司公布的服务器命令公开列表，他们可以找到"CSC ServiceWorks 连接网络上的每一台洗衣机"并与之交互。安全研究人员通常要等三个月才会公开他们的研究成果。这对学生说，他们等得更久，本月初在大学网络安全俱乐部展示了他们的发现。他们还与卡内基梅隆大学的 CERT 协调中心分享了他们的发现，该中心提供指导并帮助安全研究人员向供应商披露漏洞。 ... PC版： 手机版：