微软发现严重安全漏洞：受影响Android应用安装量超40亿次

微软发现严重安全漏洞：受影响Android应用安装量超40亿次目前上述两个厂商已经及时确认其软件中存在的问题。微软研究员强调了面临风险的设备数量惊人：“我们在GooglePlay商店中发现了几个易受攻击的应用程序，这些应用的总安装量超过了40亿。”根据介绍，“DirtyStream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统，该系统通常用于设备上不同应用程序之间的安全数据交换。同时该系统还包含严格的数据隔离、特定URI（统一资源标识符）附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而微软研究人员发现，不正确地使用“自定义意图”（允许Android应用组件进行通信的消息传递系统）可能会暴露应用的敏感区域。例如易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。了解更多：https://www.microsoft.com/en-us/security/blog/2024/05/01/dirty-stream-attack-discovering-and-mitigating-a-common-vulnerability-pattern-in-android-apps/...PC版：https://www.cnbeta.com.tw/articles/soft/1429697.htm手机版：https://m.cnbeta.com.tw/view/1429697.htm

微软发现影响多款数亿次下载量安卓应用的安全漏洞

微软发现影响多款数亿次下载量安卓应用的安全漏洞微软在Android应用中发现了与自定义意图(CustomIntents)有关的漏洞，并将其命名为“DirtyStream”，该漏洞可使恶意应用覆盖易受攻击的应用主目录中的文件。此漏洞模式的影响包括任意代码执行和身份凭证窃取。该漏洞与用于安卓应用间共享数据的内容提供程序系统有关，如果开发者没有正确实现该功能，就会产生暴露应用中的敏感数据。微软在谷歌Play商店中发现了多个存在漏洞的应用，这些应用的安装量累积超过40亿次，其中至少有四个应用的安装量超过5亿。其中被发现的应用示例是小米文件管理器(安装量超过10亿)和WPSOffice(安装量超过5亿)。截至2024年2月，微软已通知的应用开发者均已发布修复程序，并建议用户保持其设备和已安装的应用为最新版本。——

微软透露其针对低档Android手机的Outlook Lite应用下载量已超过500万次

微软透露其针对低档Android手机的OutlookLite应用下载量已超过500万次今天，微软在一篇博客文章中宣布，OutlookLite应用程序的下载量现已超过500万次。博文还披露了自OutlookLike应用程序推出以来微软对它进行的一些更新：在过去的一年里，我们一直在忙于更新OutlookLite，增加了一些你们要求的功能，如暗色模式、多账户支持和Google账户集成。这些只是其中的几个亮点；我们还做了很多其他改进，使该应用的性能和体验大为改观。博文还提到，OutlookLite开发团队听取了应用程序用户的反馈意见，并补充说："因此，请继续分享；您的意见对我们的发展和改进非常宝贵。"以下是该应用程序主要功能的简要介绍：小--精简版应用程序下载量小，占用手机存储空间极低快速-经过优化，可在所有设备上快速运行，包括内存为1GB的设备低电池使用率-在手机上运行轻便，节省电池消耗所有网络-即使在2G和3G网络中也能正常运行虽然OutlookLite应用程序最初是在全球某些地区推出的，但现在已可通过GooglePlay商店在全球使用。请注意，虽然该应用在所有市场都有提供，但并不支持所有Android设备。此外，并非所有市场都提供该应用的所有功能。例如，该应用支持的SMS短信目前仅在印度提供。...PC版：https://www.cnbeta.com.tw/articles/soft/1402283.htm手机版：https://m.cnbeta.com.tw/view/1402283.htm

蓝牙曝底层安全漏洞，数十亿设备受影响

蓝牙曝底层安全漏洞，数十亿设备受影响Eurecom的研究人员近期分享了六种新型攻击方式，统称为"BLUFFS"，这些攻击方式能够破坏蓝牙会话的保密性，使设备容易受到冒充和中间人攻击(MitM)。攻击发现者DanieleAntonioli解释道，"BLUFFS"利用了蓝牙标准中两个以前未知的漏洞，这些漏洞与会话密钥的派生方式以及交换数据的解密过程有关。这些漏洞并非受限于特定的硬件或软件配置，而是系统性的问题，也就是说它们对蓝牙技术产生了根本性的影响。该漏洞被标识为CVE-2023-24023，影响范围包括蓝牙4.2版到5.4版。考虑到蓝牙作为一种广泛应用的成熟无线通信标准，以及受到这些漏洞影响的版本，"BLUFFS"可能对数十亿设备构成威胁，包括笔记本电脑、智能手机和其他移动设备。来源：；投稿：@ZaiHuaBot频道：@TestFlightCN

微软研究人员将在黑帽大会2024中公布OpenVPN四个零日漏洞

微软研究人员将在黑帽大会2024中公布OpenVPN四个零日漏洞黑帽大会2024美国场将在2024年8月3日～8月8日举行，微软研究人员已经提前预告将公布名为OPENX的系列安全漏洞，这些安全漏洞广泛影响OpenVPNforWindows、Mac、BSD、iOS和Android。初步公开的演示文稿揭示了利用漏洞的攻击过程：1.远程代码执行(RCE)：攻击者针对OpenVPNs插件机制中的漏洞发起攻击，可能允许在系统上执行任意代码。2.本地权限升级（LPE）：攻击者利用OpenVPN系统服务中的堆栈溢出，导致NT系统服务崩溃，并触发命名管道实例创建竞赛条件。3.通过BYOVD执行内核代码(KCE)：攻击链的最后阶段涉及回收OpenVPN的命名管道资源，允许攻击者冒充特权用户并加载易受攻击的签名驱动程序，从而在内核级别执行代码。BlackHatUSA2024将会举行演讲剖析这些漏洞，并提供关键的缓解技术，以保护网络免受潜在漏洞的影响。关注频道@TestFlightCN频道投稿@TNSubmbot

＃安全 ［Android曝出两个高危漏洞］

＃安全［Android曝出两个高危漏洞］Android系统本周曝出了两个新的高危漏洞，影响大量设备，很多设备可能永远得不到修复的机会。第一个漏洞是GoogleProjectZero安全团队成员MarkBrand披露的，编号CVE2016-3861，该漏洞允许攻击者执行恶意程序或本地提权。Brand称该漏洞极端危险，因为它可以通过多种方式利用。他同时披露了漏洞利用代码。第二个漏洞编号CVE-2016-3862，类似Stagefright，能通过发送恶意图像文件利用，其中恶意代码能被隐藏在图像嵌入的Exif数据中。受害者无需任何操作就能遭到入侵。https://bugs.chromium.org/p/project-zero/issues/attachment?aid=249763