流媒体服务器软件Emby 警告有黑客利用漏洞渗透到了用户自托管

流媒体服务器软件Emby警告有黑客利用漏洞渗透到了用户自托管服务器2023年5月25日Emby官方发布自部署服务器安全警告的通知。该通知告知用户从2023年5月中旬开始，一名黑客设法渗透了用户托管的EmbyServer服务器，这些服务器可通过公共互联网访问，并且管理用户帐户的配置不安全。结合最近在beta通道中修复的“代理标头漏洞”，这使攻击者能够获得对此类系统的管理访问权限。最终，这使得攻击者可以安装自己的自定义插件，从而在EmbyServer的运行过程中建立后门。问题原因：大量emby搭建者会开启本地无需密码登录等不安全设置，但是服务器存在标头漏洞，攻击者可以通过伪造标头来实现无密码登录，再通过插件安装实现后门安装，后门会持续性的转发每次登录的密码/用户名到攻击者的后台——，

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞

GoogleChromev124.0.6367.201/.202版紧急更新修复高危安全漏洞基于安全性考虑通常新版本发布时谷歌不会立即透露漏洞的完整细节避免更多黑客利用漏洞展开攻击，待大多数用户已经更新到不受影响的版本时，谷歌才会逐渐向研究人员和公众披露漏洞细节。此次修复的这枚漏洞编号为CVE-2024-4671，漏洞位于视觉组件中，属于Use-after-free类的安全漏洞，由匿名安全研究人员在5月8日报告给谷歌。如此快发布更新进行修复的原因在于，谷歌已经意识到已经有黑客在野外利用这类漏洞发起攻击，所以谷歌接到通报后就立即着手修复并发布新版本。需要提醒的是此漏洞影响Chromium浏览器/内核，因此接下来基于Chromium开发的浏览器包括但不限于MicrosoftEdge、Vivaldi、Opera、Brave等浏览器也都需要发布新版本修复该漏洞。建议使用其他Chromium浏览器的用户也注意开发商发布的更新，如果有更新最好立即安装避免漏洞遭到利用影响安全性。注：124.0.6367.202版适用于Windows和Mac，124.0.6367.201版适用于Linux系统。...PC版：https://www.cnbeta.com.tw/articles/soft/1430585.htm手机版：https://m.cnbeta.com.tw/view/1430585.htm

iOS 16.6.1 更新修复严重漏洞    Apple 呼吁所有用户尽快更新

iOS 16.6.1 更新修复严重漏洞    Apple 呼吁所有用户尽快更新今天凌晨，苹果发布了iOS16.6.1版本更新，主要专注于修补两大安全漏洞，而非新增任何功能。苹果建议所有支援iOS16版本的iPhone用户尽快安装此次更新，以确保系统的安全性。 iOS16.6.1版本更新主要针对ImageIO和Wallet两大漏洞进行修复，公民实验室发现，黑客能透过ImageIO漏洞制作恶意图像进行攻击，当使用者打开这些图片时，系统将产生安全漏洞，使黑客可以执行任意代码。 除了修复ImageIO漏洞之外，苹果表示该漏洞会涉及PassKit附件错误，PassKit是一个允许开发人员将ApplePay整合到其应用程序中的框架。除了推出iOS16.6.1版本之外，也同步推出iPadOS16.6.1、watchOS9.6.2、macOS13.5.2更新，以解决相同的安全漏洞。——、

macOS端Zoom获更新 修复高危安全漏洞

macOS端Zoom获更新修复高危安全漏洞援引国外科技媒体MacRumors报道，Zoom已经发布了新版补丁，修复了存在于macOS端应用中的漏洞，允许黑客入侵接管用户的操作系统。在安全公告中，Zoom承认存在CVE-2022-28756这个问题，并表示在最新的5.11.5版本中已经提供了修复，用户应该理解下载安装。Objective-SeeFoundation的联合创始人兼安全专家帕特里克·沃德尔（PatrickWardle）率先发现了这个漏洞，并在上周召开的DefCon黑客大会上公开演示。该漏洞存在于Zoom的macOS安装包内，需要特别的用户权限来执行。通过利用该工具，沃德尔利用Zoom安装包的加密签名来安装恶意程序。接下来，攻击者可以接管用户的系统，允许修改、删除和添加文件。在引用Zoom的更新之后，沃德尔表示：“感谢Zoom能够如此快地修复这个问题。反转补丁，Zoom安装程序现在调用lchown来更新更新.pkg的权限，从而防止恶意使用”。您可以通过首先在Mac上打开应用程序并从屏幕顶部的菜单栏中点击zoom.us（这可能因您所在的国家/地区而异）来在Zoom上安装5.11.5更新。然后，选择检查更新，如果可用，Zoom将显示一个窗口，其中包含最新的应用程序版本，以及有关更改内容的详细信息。从这里，选择更新开始下载。相关文章:利用macOS端Zoom安装器漏洞黑客可以接管你的Mac...PC版：https://www.cnbeta.com/articles/soft/1304807.htm手机版：https://m.cnbeta.com/view/1304807.htm

＃安全: Mozilla 计划下周二释出更新修复中间人攻击漏洞

＃安全:Mozilla计划下周二释出更新修复中间人攻击漏洞Mozilla计划于9月20日（下周二）释出更新修复Firefox能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与Mozilla实现的证书绑定（Certificatepinning）保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书，防止伪造证书，即使那些证书是浏览器信任的CA签发的。但研究人员发现Mozilla的实现有漏洞，允许中间人攻击者使用浏览器信任的CA签发伪造的Mozilla扩展addons.mozilla.org服务器证书，向目标用户传送恶意扩展更新。有能力入侵CA签发伪造证书的攻击者通常被认为有国家在背后支持。Tor项目在周五对这一漏洞发出了警告，Tor浏览器是基于Firefox。http://arstechnica.com/security/2016/09/mozilla-checks-if-firefox-is-affected-by-same-malware-vulnerability-as-tor/

Paradigm 研究员：Twitter 安全漏洞现已修复

Paradigm研究员：Twitter安全漏洞现已修复Paradigm研究员samczsun发文称，社交媒体X（原Twitter）出现的仅点击链接就能获得用户账户完全访问权限的关键漏洞目前已修复完成，该问题为Twitter子域中的反射XSS和CORS/CSP绕过允许以本地身份验证的用户身份向TwitterAPI发出任意请求。今日早些时候消息，fuzzland联创ChaofanShou在X平台发文表示，发现X（原Twitter）存在未修复的漏洞。Paradigm研究员samczsun引用其推文并表示，黑客只需点击一个链接，就能完全访问Twitter账号。黑客可以发推、转发、点赞、屏蔽等，但无法更改用户密码。在漏洞修复之前，用户需安装uBlockOrigin保护账号安全。