威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证等

威联通敦促用户尽快更新，其 NAS 产品存在漏洞：可绕过身份验证等 ：不正确的验证机制允许未经授权的用户通过网络（远程）破坏系统的安全性。 ：此漏洞可让通过身份验证的用户通过网络在系统上执行任意命令，可能导致未经授权的系统访问或控制。 ：此漏洞可让通过身份验证的管理员通过网络注入恶意 SQL 代码，从而破坏数据库的完整性并篡改其内容。

重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了

重要: 近日，谷歌发现 Chrome 浏览器存在一个严重的安全漏洞，该漏洞已经被黑客利用，可能导致用户的数据和电脑受到损害。为了解决这个问题，谷歌紧急推出了一个安全更新，并建议所有的 Chrome 用户尽快安装。 这个漏洞被命名为 CVE-2023-2033，是一个类型混淆漏洞，出现在 Chrome 浏览器使用的 V8 JavaScript 引擎中。简单来说，类型混淆漏洞是一种允许使用错误的类型访问内存的 Bug，从而导致越界读写内存。这个漏洞的危险之处在于，黑客可以制作一个恶意的 HTML 页面，利用堆内存的损坏来执行任意代码。 根据谷歌的威胁分析组（TAG）的报告，这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度，但谷歌将其定为“高”级别的问题，并在周五发布了一个公告，提醒用户注意。 来源:

AMD Ryzen CPU 正受到这些严重漏洞的影响

AMD Ryzen CPU 正受到这些严重漏洞的影响 AMD 承认的所有四个漏洞都被标记为高严重性漏洞。下表列出了缓解各代处理器所有问题所需的最低 AGESA 版本。有关影响每种处理器的问题和解决方案的更详细细目，请参阅该公司的安全公告。其中一个漏洞被命名为 CVE-2023-20576，由于 BIOS 中的数据真实性验证不足，攻击者可利用该漏洞发起拒绝服务攻击或提升权限。另外两个漏洞（CVE-2023-20577 和 CVE-2023-20587）可通过系统管理模式访问 SPI 闪存，从而执行任意代码。另一个被称为 CVE-2023-20579 的漏洞可通过 AMD SPI 保护功能中不当的访问控制导致完整性和可用性问题。使用 Ryzen 3000 系列台式机 CPU、4000 系列移动 APU、嵌入式 V2000 芯片或 V3000 系统的用户在接下来的几个月中应格外警惕，因为影响这几代产品的问题尚未全部得到修补。计划于本月晚些时候进行的更新将解决 4000 系列 APU 的漏洞，而 2024 年 3 月的 BIOS 更新将修复 3000 系列 CPU 的漏洞。受影响的嵌入式产品将在 4 月份收到修补程序。所有其他 Zen 处理器都在 2023 年年中至本月初的更新中获得了相关修复。对于第二代 Epyc 处理器来说，缓解去年 Zenbleed 攻击的更新也能防止新漏洞的出现。有几种方法可以检查和更新 BIOS版本。在大多数现代 PC 中，这两种方法都可以直接从 BIOS 本身进行。在系统启动时按下指定按钮进入 BIOS 后，主菜单上应显示版本号。自动更新功能因主板制造商而异。要在不重启 Windows 的情况下检查 BIOS 版本，请在搜索栏输入"系统信息"或在任务栏搜索栏输入"msinfo"，启动系统信息应用程序。版本和日期应出现在右侧窗格的列表中。最新的 BIOS 版本通常可以在主板制造商网站的支持部分找到。所有主要的主板制造商也会通过可选的管理软件提供自动更新。 ... PC版： 手机版：

邮件传输代理软件Exim存在严重安全漏洞 影响全球约150万台邮件服务器

邮件传输代理软件Exim存在严重安全漏洞 影响全球约150万台邮件服务器 邮件代理传输软件 (缩写为 MTA) 主要负责在网络上行转发电子邮件，开源免费的 Exim 就是典型的也是被广泛使用的邮件代理传输软件。Exim 设计用于 Unix 和类 Unix 系统例如 Linux，其具有灵活性和可配置型因此成为许多系统管理器的首选邮件传输代理软件。根据互联网流量统计，全球 650 万台 SMTP 邮件服务器中有 74% 可以通过 Exim 访问 (也就是 483 万台)，而 Exim 最新被发现的漏洞则影响超过 150 万台 SMTP 邮件服务器。网络安全公司 Censys 发现 Exim 存在一个安全漏洞，该漏洞编号为 CVE-2024-39929，攻击者借助该漏洞可以绕过保护机制，从而将未经过滤的可执行附件发送到最终用户的邮箱。Exim 的这个漏洞影响所有版本，包括 4.97.1 版也存在该漏洞，不过因为配置原因并不是所有使用 Exim 的服务器都可以被扫描到，情报系统检测到 156 万台邮件服务器受到影响。CVE-2024-39929 漏洞的根源是解析 RFC-2231 标头时出现错误，该标头用于管理电子邮件附件中文件名的编码和解释方式，一旦遭到利用，恶意附件就可以绕过保护机制进入用户邮箱。目前没有证据表明已经有黑客积极利用此漏洞展开攻击，不过在开源社区已经出现了相关概念验证，因此黑客利用此漏洞发起攻击也只是时间问题。在 7 月 10 日 Exim 已经发布 4.98 版修复了这个漏洞，修复漏洞的同时 Exim 新版本还加强了 DKIM DNS 记录的解析，所有使用 Exim 的系统管理员建议都尽快升级到最新版本确保安全。 ... PC版： 手机版：

数以百万计的 Android 智能手机受到关键 UNISOC 芯片漏洞的影响

数以百万计的 Android 智能手机受到关键 UNISOC 芯片漏洞的影响 紫光展锐的智能手机芯片组被发现存在严重的安全漏洞，它可能被用来通过发送错误数据包来中断智能手机的无线电连接。 以色列网络安全公司 Check Point 在 The Hacker News 发表的研究报告中表示，“如果不打补丁，黑客或军队可以利用这样的弱点来禁用特定位置的通信。” “缺陷在于调制解调器固件，而不是安卓操作系统。” 根据Counterpoint Research的数据，总部位于上海的半导体企业紫光展锐是全球第四大移动处理器制造商，仅次于联发科、高通和苹果，占 2021 年第三季度所有 SoC 出货量的 10%。 CVE-2022-20210 指定已发布给现已修补的漏洞，该漏洞在 CVSS 漏洞评估系统中的严重性等级为 9.4（满分 10）。 简而言之，该漏洞是在对 UNISOC 的 LTE 协议栈实施进行逆向工程后发现的，是处理非接入层( NAS ) 信号的调制解调器固件组件中的缓冲区溢出漏洞，从而导致拒绝服务攻击. 一旦 Google 2022 年 6 月的Android 安全公告中提供了最新的可用软件，用户就应该将其 Android 设备升级到最新的可用软件，以降低风险。 Check Point 的 Slava Makkaveev 说：“攻击者可能利用无线电台发送了一个错误的数据包来重置调制解调器，从而阻止用户进行通信。”