【密码管理器KeePass最近修复了一个允许检索主密码的漏洞】

【密码管理器KeePass最近修复了一个允许检索主密码的漏洞】 SlowMist发布安全警报，密码管理器KeePass最近修复了一个允许检索主密码的漏洞。可利用此漏洞从软件内存中检索明文主密码。目前PoC已经公开，暂无补丁。使用本软件的用户注意资产风险。

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞 微软已发布补丁来修复两个流行开源库中的零日漏洞，这些漏洞影响了多个微软产品，包括 Skype、Teams 及其 Edge 浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。 谷歌和公民实验室的研究人员表示，这两个漏洞是上个月发现的，并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。 这些漏洞是在两个常见的开源库 webp 和 libvpx 中发现的，这两个漏洞编号分别是 (CVE-2023-4863) 和 (CVE-2023-5217)，这些库被广泛集成到浏览器、应用和手机中，用于处理图像和视频。 微软在周一发布的中表示，已经推出了修复程序，解决了其产品中集成的 webp 和 libvpx 库的两个漏洞，并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。

【微软发布漏洞修复补丁，部分漏洞可使得攻击者获取系统权限】

【微软发布漏洞修复补丁，部分漏洞可使得攻击者获取系统权限】 5月10日消息，微软发布漏洞修复补丁以修复发现的38项安全漏洞，其中代号为CVE-2023-29336的漏洞可使得攻击者获取系统权限；CVE-2023-29325是一个远程代码执行漏洞，允许攻击者通过发送特制电子邮件来入侵受害者的设备。

密码管理工具 KeePass 已推出 2.53.1 版本，修复了允许攻击者导出数据库明文的漏洞

密码管理工具 KeePass 已推出 2.53.1 版本，修复了允许攻击者导出数据库明文的漏洞 KeePass 2.53.1 版本中去除了“策略”选项卡中，“导出不重复输入密码”的选项。目前，任何导出操作都必须再次输入当前密码库的主密码来确认。 通过篡改用户硬盘上的 KeePass XML 配置文件，并注入恶意触发器的攻击手段已不再有效。

Notepad++ 漏洞允许执行任意代码

Notepad++ 漏洞允许执行任意代码 流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞，允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现，Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞，这些漏洞的风险评分从 5.5（中危）到 7.8（高危）不等。他是在四月底报告了漏洞，但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复，因此根据披露政策公开了漏洞和 PoC。来源 ， 频道：@kejiqu 群组：@kejiquchat

密码管理软件KeePass出恶性漏洞

密码管理软件KeePass出恶性漏洞 近日，开源密码管理软件KeePass就被爆出存在恶性安全漏洞，攻击者能够在用户不知情的情况下，直接以纯文本形式导出用户的整个密码数据库。据悉，KeePass采用本地数据库的方式保存用户密码，并允许用户通过主密码对数据库加密，避免泄露。 但刚刚被发现的CVE-2023-24055漏洞，能够在攻击者获取写入权限之后，直接修改KeePass XML文件并注入触发器，从而将数据库的所有用户名和密码以明文方式全部导出。 这整个过程全部在系统后台完成，不需要进行前期交互，不需要受害者输入密码，甚至不会对受害者进行任何通知提醒。目前，KeePass官方表示，这一漏洞不是其能够解决的，有能力修改写入权限的黑客完全可以进行更强大的攻击。