宝塔就“大量用户面板被挂马”发表公告：未发现安全漏洞

宝塔就“大量用户面板被挂马”发表公告：未发现安全漏洞公告说：当前有个别用户反馈被挂马的情况，我司立即组织技术团队跟进排查，经过2天的紧急排查，暂未发现Nginx以及面板的安全漏洞，也没有大规模出现被挂马的情况；经分析，此木马主要行为是篡改Nginx主程序，以达到篡改网站响应内容。目前累计收到10个用户反馈网站被挂马，均为境外服务器，我们继续全力跟进和协助用户排查Nginx挂马情况，直到溯源出结果。——

微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量Android应用https://www.ithome.com/0/765/873.htm“DirtyStream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定URI附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（customintents，Android应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。攻击者利用“DirtyStream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。微软的研究表明，此漏洞并非个例，研究人员发现许多流行的Android应用都存在内容提供程序系统实现不当的问题。例如，拥有超过10亿安装量的小米文件管理器和拥有约5亿安装量的WPSOffice都存在此漏洞。

技嘉部分主板存安全漏洞：容易遭受恶意入侵

技嘉部分主板存安全漏洞：容易遭受恶意入侵在报告中公司表示：“我们正在与技嘉合作，解决他们应用中心功能的这种不安全实施。为了保护该公司免受恶意行为者的侵害，我们还以比典型漏洞披露更快的时间表公开披露此信息和防御策略。”目前，Eclypsium已经发布了一份受到该问题影响的主板列表PDF。受影响的主板多大271种不同型号，因此如果你使用了现代技嘉主板，很大可能你也中招了。而且该问题不论是AMD还是英特尔系统均受影响。问题主板列表：点击这里该漏洞的利用方式是只要处于和受影响设备同一网络上，即可拦截技嘉的不安全更新程序并将其指向另一个不安全的URL。最糟糕的是，在3个可能的下载位置中，其中一个使用了普通的HTTP地址，而不是更加安全的HTTPS。Eclypsium表示，目前他们不认为存在对该漏洞的大量利用，但“一个难以删除的广泛活跃后门给拥有技嘉系统的组织带来了供应链奉献。”对于普通游戏玩家来说这可能并不是太严重的问题，但是对于使用技嘉系统的公司组织来说这将是一场安全噩梦。普通玩家如果也不希望自己的电脑在不安全Wi-Fi情况下在你不知道的情况下加载恶意软件，需要更改一些Bios设置。目前可以采取的措施是进入PCBios，并金庸“APP中心下载和安装”功能。同时用户最好还设置一个Bios密码，增强自己设备的安全保护。...PC版：https://www.cnbeta.com.tw/articles/soft/1363039.htm手机版：https://m.cnbeta.com.tw/view/1363039.htm

微软发现严重安全漏洞：受影响Android应用安装量超40亿次

微软发现严重安全漏洞：受影响Android应用安装量超40亿次目前上述两个厂商已经及时确认其软件中存在的问题。微软研究员强调了面临风险的设备数量惊人：“我们在GooglePlay商店中发现了几个易受攻击的应用程序，这些应用的总安装量超过了40亿。”根据介绍，“DirtyStream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统，该系统通常用于设备上不同应用程序之间的安全数据交换。同时该系统还包含严格的数据隔离、特定URI（统一资源标识符）附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而微软研究人员发现，不正确地使用“自定义意图”（允许Android应用组件进行通信的消息传递系统）可能会暴露应用的敏感区域。例如易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。了解更多：https://www.microsoft.com/en-us/security/blog/2024/05/01/dirty-stream-attack-discovering-and-mitigating-a-common-vulnerability-pattern-in-android-apps/...PC版：https://www.cnbeta.com.tw/articles/soft/1429697.htm手机版：https://m.cnbeta.com.tw/view/1429697.htm

Thirdweb：发现多个智能合约存在安全漏洞

Thirdweb：发现多个智能合约存在安全漏洞12月5日消息，Web3开发工具平台Thirdweb在其官方博客中称，11月20日18:00发现多个Web3智能合约（包括Thirdweb的一些预构建智能合约）的常用开源库中存在安全漏洞，包括AirdropERC20（v1.0.3及更高版本），ERC721（v1.0.4及更高版本），ERC1155（v1.0.4及更高版本）等。除了智能合约受影响外，包括钱包、支付和基础设施服务，均未受到影响，正常运作。2022年8月，Thirdweb以1.6亿美元估值完成了2400万美元融资，由HaunVentures领投，CoinbaseVentures、Shopify、ProtocolLabs、Polygon、ShrugVC、亿万富翁JosephLacob等参投。

Linux内核被发现重大安全漏洞

Linux内核被发现重大安全漏洞研究人员在Linux内核中发现了一个漏洞，使一些低权限账户有可能在一些流行的发行版上获得root权限，包括Ubuntu、Debian和Fedora都受到了影响。该漏洞被命名为Sequoia，它存在于文件系统层。这个安全问题被认为影响了自2014年以来发布的所有版本的Linux内核，这意味着大量的发行版都有漏洞。具体来说，该漏洞是一个size_t到int的类型转换漏洞，可以被利用来提升权限。研究人员成功利用了这种不受控制的越界写入，实现了在Ubuntu20.04、Ubuntu20.10、Ubuntu21.04、Debian11和Fedora34工作站的默认安装上获得了完全的root权限；其他Linux发行版当然也有漏洞，而且可能被利用。利用这一漏洞完成提权需要大约5GB的内存。