不知名的黑客组织 Shadow Brokers 公开了NSA关联黑客团队开发的部分网络入侵工具，公开的代码包含了思科、Junip

不知名的黑客组织ShadowBrokers公开了NSA关联黑客团队开发的部分网络入侵工具，公开的代码包含了思科、Juniper、Fortinet和两家中国公司的防火墙产品的漏洞利用。其中被称为ExtraBacon的漏洞利用针对的是思科AdaptiveSecurityAppliance(ASA)防火墙，软件版本8.x到8.4。如果漏洞被成功利用，攻击者不需要有效的用户名或密码就能访问防火墙。思科证实它是一个0day漏洞，它在8月17日释出了两个补丁修复了两个远程代码执行漏洞。思科称，ExtraBacon利用了ASA等防火墙产品的SimpleNetworkManagementProtocol代码的缓冲溢出漏洞。http://blogs.cisco.com/security/shadow-brokers

负责无线通信技术标准的官方机构蓝牙协会（Bluetooth SIG）日前承认存在一个严重的蓝牙安全漏洞，该漏洞将使攻击者更容易与

负责无线通信技术标准的官方机构蓝牙协会（BluetoothSIG）日前承认存在一个严重的蓝牙安全漏洞，该漏洞将使攻击者更容易与你的设备强行配对。蓝牙连接的工作原理是两台设备都必须同意连接。一个发送请求，另一个必须接受它，并通过交换公共密钥来验证设备的身份，并为连接生成加密密钥，确保连接是安全的。蓝牙安全漏洞意味着攻击者可能会干扰加密设置，迫使加密密钥更短，这样就很容易地尝试所有可能的加密密钥来建立连接。研究人员发现，攻击设备有可能干扰用于两个设备之间的BR/EDR连接上设置加密的过程，从而减少使用的加密密钥的长度。此外，由于并非所有蓝牙规范都给定了明确的加密密钥的最小长度，一些安全程度较低的蓝牙产品就更容易受到攻击。攻击者可成功地将加密密钥设置为更短的长度，然从而轻易地破解密钥，操控目标手机或操纵流量。蓝牙协会在蓝牙规范中要求相关厂商更新他们的蓝牙设备，以确保加密密钥至少有7个八位元。由于欺骗连接可用的窗口时间很短，所以只要保证密钥长度达到规范标准，基本足以防范此类攻击。苹果在其设备的最新更新中已经实现了这一点，确保你的系统已经更新到最新的公共版本即可免受这种形式的攻击。

Mozilla发布另一个Firefox修正更新 修复媒体播放时的崩溃问题

Mozilla发布另一个Firefox修正更新修复媒体播放时的崩溃问题下载地址：http://ftp.mozilla.org/pub/firefox/releases/106.0.4/根据官方文档中的发布说明，Firefox106.0.4修复了在播放受DRM保护的视频时导致崩溃的罕见问题。另一个崩溃可能发生在用户导航到about:support并触发设备重置时--106.0.4版本也修复了这个错误。最后，最新的Firefox版本解决了在切换类型时日期时间输入的布局损坏问题。以下是完整的更新日志，以及Bugzilla上修复的错误链接：修正了DRM视频播放的问题(bug1797292)修正了在切换类型时日期时间输入的布局错误(bug1797139)修正了一些用户在媒体播放时遇到的崩溃问题(bug1792115)通常情况下MozillaFirefox浏览器会自动安装最新版本，但遇到问题希望尽快解决的用户可以通过导航到帮助>关于Firefox浏览器来强制更新浏览器。另外，你可以使用官方网站上的安装程序链接下载并安装Firefox106.0.4。Mozilla正在考虑延长对Windows7上Firefox的支持。微软将很快结束为其13年的操作系统提供扩展支持的计划，而Chrome的开发者也准备弃船，让Windows7永远沉没。看起来，Mozilla认为最好继续支持其浏览器几个月，因为其Windows7的受众仍然比较多。...PC版：https://www.cnbeta.com.tw/articles/soft/1331749.htm手机版：https://m.cnbeta.com.tw/view/1331749.htm

Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞

Curl将于10月11日修复一个严重程度为“HIGH”安全漏洞10月11日，curl将推出新版本8.4.0。该更新将修复一个严重程度为HIGH等级的安全漏洞。这不是什么普通的错误。据维护人员称，这可能是他们长期以来见过的最严重的curl安全问题。有关漏洞的具体信息在发布前仍处于保密状态，预计于10月11日06:00UTC时间发布。已知信息：CVE-2023-38545：严重性HIGH（同时影响libcurl和curl工具）CVE-2023-38546：严重性LOW（仅影响libcurl，不影响工具）详细信息：https://github.com/curl/curl/discussions/12026

微软发布 5 月 Win10 / Win11 安全更新：修复 61 个漏洞，3 个零日漏洞

微软发布5月Win10/Win11安全更新：修复61个漏洞，3个零日漏洞https://www.ithome.com/0/768/077.htmIT之家附上本次更新修复的漏洞内容如下：17个权限提升漏洞、2个安全功能绕过漏洞、27个远程代码执行漏洞、7个信息披露漏洞、3个拒绝服务漏洞、4个欺骗漏洞61个漏洞中，不包括5月2日修复的2个微软Edge漏洞和5月10日修复的4个漏洞。本月补丁星期二活动日共计修复了3个零日漏洞，其中2个已经被证明有黑客利用发起攻击，而还有1个是公开披露的。

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】

【Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞】2023年04月17日10点58分4月17日消息，Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞（CVE编号：CVE-2023-2033），利用该漏洞，受害者只要浏览了攻击者精心构造的恶意页面，攻击者即可在受影响的设备上执行任意代码，所造成的危害包括但不限于盗取比特币私钥、盗取通讯录、相册等敏感文件等，建议立即升级以避免被攻击。如果使用的是诸如MicrosoftEdge、猎豹浏览器、360安全浏览器等等使用了Chrome内核的浏览器的话，也需要升级至带有最新版本。（SecurityOnline）