新发现的安全漏洞允许任何人冒充微软员工发送电子邮件

新发现的安全漏洞允许任何人冒充微软员工发送电子邮件 上周，网名为 Slonser 的 Vsevolod Kokorin 在 X（Twitter 的前身）上写道，他发现了电子邮件欺骗漏洞并向微软报告，但微软在表示无法重现他的发现后驳回了他的报告。这促使 Kokorin 在 X 上公布了这一漏洞，但没有提供技术细节以帮助其他人利用这一漏洞。"微软只是说他们无法重现，但没有提供任何细节，"Koroin 在一次在线聊天中表示。"微软可能注意到了我的推文，因为几个小时前他们重新打开了[原文如此]我几个月前提交的一份报告。"据 Kokorin 称，该漏洞仅在向 Outlook 账户发送电子邮件时有效。不过，根据微软最新的财报，其在全球至少有 4 亿用户。科科林说，他最后一次与微软联系是在6月15日。"我没想到我的帖子会引起如此大的反响。老实说，我只是想分享我的挫败感，因为这种情况让我很难过，"Kokorin说。"许多人误解了我，以为我想要钱或类似的东西。实际上，我只是希望公司不要忽视研究人员，当你试图帮助他们时，他们应该更加友好。"目前还不清楚是否有 Kokorin 以外的其他人发现了这个漏洞，或者这个漏洞是否已被恶意利用。尽管目前尚不清楚这一漏洞的威胁，但微软近年来已经历了多次安全问题，并引发了联邦监管机构和国会立法者的调查。上周，微软总裁布拉德-史密斯（Brad Smith）在众议院听证会上作证，此前中国黑客于2023年从微软服务器上窃取了一批美国联邦政府电子邮件。史密斯在听证会上承诺，在经历了一系列安全丑闻之后，公司将继续努力把网络安全放在首位。几个月前的一月份，微软证实，一个与俄罗斯政府有关联的黑客组织侵入了微软公司的电子邮件账户，窃取了公司高层对黑客本身的了解。上周，ProPublica 揭露，微软没有注意到关于一个关键漏洞的警告，该漏洞后来在俄罗斯支持的针对科技公司 SolarWinds 的网络间谍活动中被利用。 ... PC版： 手机版：

微软正在将安全改进作为公司当前的首要任务

微软正在将安全改进作为公司当前的首要任务 其中一起早在 2023 年 7 月就有报道。一个位于中国的黑客组织利用获取的 MSA 密钥伪造了自己的令牌，从而得以访问美国和欧洲的 Outlook 电子邮件账户。2024 年 1 月，另一个位于俄罗斯的黑客组织成功访问了微软一些高层管理人员的电子邮件账户。该公司后来承认，黑客利用这些电子邮件中的信息获取了一些源代码。4 月早些时候，一个安全小组发现，微软的一个 Azure 存储服务器由于没有密码保护，因此向任何可能知道如何访问该服务器的人开放。据报道，所有这些事件以及其他事件都导致微软对其项目进行了大刀阔斧的改革。The Verge 通过未具名消息来源报道称，微软首席执行官萨蒂亚-纳德拉（Satya Nadella）和总裁布拉德-史密斯（Brad Smith）在四月早些时候的一次内部领导会议上谈到了这些问题。报道称，纳德拉和史密斯在会议上告诉大家，安全改进是微软现在最优先考虑的问题。报道称，这意味着微软的团队现在强调安全改进，而不是增加新功能或试图提前推出新产品。尽管微软在加强安全方面做出了新的努力，但也有一些人认为微软不应该让用户为安全功能支付更多的费用。微软的长期记者和分析师玛丽-乔-弗利（Mary Jo Foley）本周就这一问题撰写了一篇文章。她指出，微软应该把重要的安全选项作为基本订阅计划的一部分，而不是额外收费。现在，微软已经注意到了自己的安全漏洞，他们在这一领域的努力能否取得成效，并阻止客户离开，我们拭目以待。 ... PC版： 手机版：

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞

Google Chrome v126.0.6478.114/.115正式版发布 修复4个高危安全漏洞 下面是此次更新的漏洞概览：高危安全漏洞：CVE-2024-6100，为 JavaScript V8 引擎中的类型混淆问题，该漏洞由安全研究人员 @0x10n 提交，漏洞奖金为 20,000 美元高危安全漏洞：CVE-2024-6101，为 WebAssembly 中的不适当实现，该漏洞由安全研究人员 @ginggilBesel 报告，漏洞奖金为 7,000 美元高危安全漏洞：CVE-2024-6102，Dawn 中的越界内存访问，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定高危安全漏洞：CVE-2024-6103，Dawn 中的 Use-after-Free 问题，该漏洞由安全研究人员 @wgslfuzz 报告，漏洞奖金待定除了四个外部安全研究人员反馈的高危漏洞外，谷歌内部还发现了两个漏洞并通过此版本进行修复，不过这两个漏洞的细节谷歌并没有提供，也没有或者不需要分配 CVE 编号。使用 Chrome 浏览器的用户请转到关于页面检查更新，亦可通过蓝点网文件下载服务器获取此次更新的离线安装包进行覆盖升级： ... PC版： 手机版：

【报告：内部报告表明加密货币交易所Bitfinex存在安全漏洞】

【报告：内部报告表明加密货币交易所Bitfinex存在安全漏洞】 Ledger Lab发布了针对Bitfinex安全漏洞的调查，调查发现，访问交易所系统所需的两个安全密钥存储在一个设备上。这些密钥提供了对安全令牌的访问权限，这使攻击者能够操纵 Bitfinex的操作系统。该文件称，如果一个实体控制了该计划中三个密钥中的两个，它将赋予该实体对所有比特币的控制权。 据悉，此次调查的机密报告由Bitfinex的所有者之一iFinex委托，由加拿大加密货币咨询和开发公司 Ledger Labs制作，从未公开。但有组织犯罪和腐败报告项目已获得该报告的一个版本，其中包含详细的调查结果、结论和建议。

微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量 Android 应用 “Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施，以防止未经授权的访问。 然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（custom intents，Android 应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。 攻击者利用“Dirty Stream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。 微软的研究表明，此漏洞并非个例，研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如，拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

微软将包含员工凭证的服务器暴露在互联网上长达一个月之久

微软将包含员工凭证的服务器暴露在互联网上长达一个月之久 SOCRadar的研究人员于 2 月 6 日发现了这一漏洞，并立即通知了微软。该服务器包含公司数据，包括登录其他内部数据库和系统的凭证。雷德蒙德于 3 月 5 日保护了该服务器。目前还不清楚在研究人员发现之前，这些数据被公开访问了多久。该漏洞的严重程度足以使其他安全系统，包括目前正在运行的服务，面临被入侵的严重风险。SOCRadar研究员Can Yoleri介绍说："[暴露的数据]可能导致更严重的数据泄露，并可能危及正在使用的服务。"虽然 SOCRadar 证实该服务器现已安全，但微软拒绝对此事件发表评论。目前还不清楚微软是否用新密码保护了所有其他可能暴露的系统，除研究人员外，是否有其他人访问过这些数据也是未知数。虽然错误很低级，但微软也并不是数据泄露和外泄的新手。《防火墙时报》列出了自2010年以来该公司或其产品造成内部或第三方安全漏洞的21次事件。只有少数是由于内部失误，而不是来自坏人的攻击。上一次内部事故发生在 2019 年，当时一个客户服务和支持服务器被"错误配置"，导致 2.5 亿微软客户的数据泄露，这些数据可追溯到 2005 年。微软在2019年12月5日的安全组变更后，让该服务器大开着。在搜索引擎开始索引其文件后，研究人员发现了这台不安全的服务器。微软在 12 月 29 日收到泄漏通知后迅速保护了服务器。至于外部威胁，微软是一个巨大的目标，因此攻击者不断攻击该公司的产品和服务也就不足为奇了。最近，美国网络安全审查委员会就对被怀疑是中国国家支持的黑客发起的"可预防的"Exchange Online黑客攻击事件对雷德蒙德进行了抨击。这次攻击导致黑客有权访问 500 多名政府雇员的电子邮件，其中包括白宫高级内阁成员和国会议员。 ... PC版： 手机版：