所有主要供应商的 GPU 都容易受到新的像素窃取攻击

所有主要供应商的GPU都容易受到新的像素窃取攻击研究人员在周二发表的一篇论文中证明，所有六家主要供应商的GPU都容易受到新发现的攻击，该攻击允许恶意网站读取其他网站显示的用户名、密码和其他敏感视觉数据。跨源攻击允许来自一个域（例如example.com）的恶意网站有效地读取来自example.org或另一个不同域的网站显示的像素。然后，攻击者可以以允许他们查看后一个站点显示的文字或图像的方式重建它们。这种泄露违反了一项关键的安全原则，该原则构成了保护互联网的最基本的安全边界之一。它被称为同源策略，它要求一个网站域上托管的内容与所有其他网站域隔离。来源：ars投稿：@ZaiHuaBot频道：@TestFlightCN

Win10 / Win11 被曝 MHTML 零日漏洞：滥用 IE 浏览器分发恶意文件

Win10/Win11被曝MHTML零日漏洞：滥用IE浏览器分发恶意文件攻击者使用mhtml:URI启动URL后，Windows会自动在InternetExplorer中启动URL，而不是默认浏览器。在InternetExplorer中打开网页会给攻击者带来额外的好处，下载恶意文件时安全警告较少。https://www.ithome.com/0/781/055.htm

TikTok 内置浏览器可监控用户输入密码与信用卡号

TikTok内置浏览器可监控用户输入密码与信用卡号安全研究人员发现，短视频平台TikTok内置浏览器将程序语言JavaScript嵌入外部网站，以允许应用程序监控使用者输入的所有内容，包括密码和信用卡号码。TikTok回应：监控功能确实存在，但没有使用https://www.inside.com.tw/article/28669-tiktok频道投稿：@zaihuabot交流群组：@zaihuachat花花优券：@zaihuatb

安全公司披露Chrome浏览器高危漏洞

安全公司披露Chrome浏览器高危漏洞1月15日消息，网络安全公司ImpervaRed近日披露了存在于Chrome/Chromium浏览器上的漏洞细节，并警告称全球超过25亿用户的数据面临安全威胁。该公司表示，这个追踪编号为CVE-2022-3656的漏洞可以窃取包括加密钱包、云提供商凭证等敏感数据。在其博文中写道：“该漏洞是通过审查浏览器与文件系统交互的方式发现的，特别是寻找与浏览器处理符号链接的方式相关的常见漏洞”。ImpervaRed将符号链接（symlink）定义为一种指向另一个文件或目录的文件类型。它允许操作系统将链接的文件或目录视为位于符号链接的位置。ImpervaRed表示符号链接可用于创建快捷方式、重定向文件路径或以更灵活的方式组织文件。在GoogleChrome的案例中，问题源于浏览器在处理文件和目录时与符号链接交互的方式。具体来说，浏览器没有正确检查符号链接是否指向一个不打算访问的位置，这允许窃取敏感文件。该公司在解释该漏洞如何影响谷歌浏览器时表示，攻击者可以创建一个提供新加密钱包服务的虚假网站。然后，该网站可以通过要求用户下载“恢复”密钥来诱骗用户创建新钱包。博文中写道：“这些密钥实际上是一个zip文件，其中包含指向用户计算机上云提供商凭证等敏感文件或文件夹的符号链接。当用户解压缩并将‘恢复’密钥上传回网站后，攻击者将获得对敏感文件的访问权限”。ImpervaRed表示，它已将该漏洞通知谷歌，该问题已在Chrome108中得到彻底解决。建议用户始终保持其软件处于最新状态，以防范此类漏洞。src:果核剥壳

【朝鲜黑客组织利用 Chrome 0day 漏洞攻击加密货币等机构】

【朝鲜黑客组织利用Chrome0day漏洞攻击加密货币等机构】谷歌研究人员发现有2个朝鲜黑客组织利用了Chrome浏览器中的一个远程代码执行0day漏洞超过1月，用于攻击新闻媒体、IT公司、加密货币和金融科技机构。OperationAppleJeus利用同一个漏洞利用套件攻击了加密货币和金融科技行业的85个用户，并成功入侵了至少2个金融科技公司网站，并植入了隐藏的iframe。研究人员还发现攻击者搭建了一些伪造的网站来传播木马化的加密货币应用，隐藏了iframe并将访问者指向漏洞利用套件。