WinRAR没有自动更新功能,但你会想着马上修补它。

WinRAR没有自动更新功能,但你会想着马上修补它。 如果你使用的是WinRAR,那么在发现一个已经被攻击者利用的严重安全漏洞后,是时候更新到最新版本了。谷歌威胁分析小组(TAG)发现,自2023年初以来,多个政府支持的黑客组织一直在利用WinRAR漏洞。 TAG在一篇详细介绍WinRAR漏洞的博客文章中说:“现在有补丁可用,但许多用户似乎仍然容易受到攻击。”“监控小组观察到,来自许多国家的政府支持的行为者利用WinRAR漏洞作为其行动的一部分。” WinRAR 6.24和6.23版本都包含对安全漏洞的修复,但应用程序不会自动更新,所以你必须手动下载并安装补丁。没错,现在是2023年,最受欢迎的Windows应用程序之一仍然没有自动更新功能。 WinRAR漏洞允许攻击者在Windows用户打开ZIP存档中的PNG文件时执行任意代码。TAG将安全漏洞描述为“WinRAR中的一个逻辑漏洞,在处理精心制作的档案时导致多余的临时文件扩展,并在尝试打开扩展名包含空格的文件时,结合Windows的ShellExecute实现中的一个奇怪现象。” 标签: #WinRAR 频道: @GodlyNews1 投稿: @GodlyNewsBot

相关推荐

封面图片

政府支持的黑客正在利用 WinRAR 中的已知漏洞

政府支持的黑客正在利用 WinRAR 中的已知漏洞 如果你正在使用压缩工具 WinRAR,那么建议是时候更新到最新版本了。 最近几周,谷歌的威胁分析小组 (TAG) 观察到多个政府支持的黑客组织正在利用 WinRAR 中的已知漏洞 CVE-2023-38831。 2023 年 8 月,RARLabs 发布了 WinRAR 的更新版本(版本 6.23),修复了多个与安全相关的错误,其中一个错误是 CVE-2023-38831 逻辑漏洞。 虽然补丁已经发布,但许多用户并没有更新,所以仍然容易受到攻击。 WinRAR 版本 6.24 和 6.23 都包含安全漏洞的修复程序,但该应用没有自动更新功能,因此你必须手动下载并安装补丁。
封面图片

谷歌修补商业间谍软件供应商利用的零日漏洞

谷歌修补商业间谍软件供应商利用的零日漏洞 谷歌已紧急修复 Chrome 中被商业间谍软件供应商利用的零日漏洞。 就在补丁发布前两天,谷歌威胁分析小组(TAG)的 Clement Lecigne 向 Chrome 团队报告了该漏洞。 谷歌,它已经意识到这个漏洞的存在,该漏洞被追踪为 CVE-2023-5217,并被描述为“libvpx 中 vp8 编码的堆缓冲区溢出”。 谷歌威胁分析小组(TAG)的研究员 Maddie Stone 在推特上,该 Chrome 漏洞已被利用来安装间谍软件。 该漏洞已在 Google Chrome 117.0.5938.132 中修复,该版本现已通过稳定桌面通道向 Windows、Mac 和 Linux 用户推出。
封面图片

Windows Wi-Fi 驱动中存在远程代码执行漏洞(CVE-2024-30078)

Windows Wi-Fi 驱动中存在远程代码执行漏洞(CVE-2024-30078) (英文) (英文) 该漏洞可导致未认证攻击者通过向目标发送特殊构造的网络数据包,在受影响系统上执行代码。很显然,目标需要位于攻击者的无线范围内并使用 WiFi 适配器,但这也是唯一的限制。微软将该漏洞列为“不太可能遭利用”,但鉴于它可攻击每个受支持的 Windows 版本,因此很可能会吸引攻击者和红队等的大量关注。 建议更新
封面图片

Google 紧急发布 Chrome 安全更新

Google 紧急发布 Chrome 安全更新 近日,Google 针对 macOS、Windows 与 Linux 平台上的 Chrome 浏览器发布了一项关键安全更新。该更新旨在修补一个已被发现可被利用的 Zero Day 漏洞。Google 在其 Stable Channel 更新公告中提到,他们已知这个名为 CVE-2023-6345 的漏洞正被恶意利用。 这一漏洞是在上周由 Google 威胁分析小组 (TAG) 的安全研究人员发现的。虽然 Google 没有透露更多有关 CVE-2023-6345 漏洞的细节,但普遍认为这与 Skia 有关。Skia 是 Chrome 图形引擎中使用的一个开源 2D 图形库。根据 macOS 更新的说明,该漏洞允许至少一名攻击者透过恶意文件 “可能进行沙盒逃逸”,理论上可能导致任意代码执行和数据窃取。 标签: #Google #Chrone 频道: @GodlyNews1 投稿: @GodlyNewsBot
封面图片

#安全资讯:研究人员公布 Telegram 已经修复的高危安全漏洞,该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegr

#安全资讯:研究人员公布 Telegram 已经修复的高危安全漏洞,该漏洞暴露超过一个月才被彻底修复 漏洞仅存在于 Telegram for Android 版 利用漏洞攻击者可以将恶意 APK 文件伪造成视频,Telegram 会自动下载并尝试调用此漏洞已在 7 月 11 日发布的 10.14.5 版中修复 4 月份时就有消息传出即时通讯应用 Telegram 桌面版存在高危安全漏洞,攻击者只需要向用户发送特制的媒体文件即可在无需用户交互的情况下完成感染,该漏洞依赖 Telegram 默认开启的自动下载媒体文件功能。 今天知名安全软件开发商 ESET 的研究人员披露 Telegram #另一个高危安全漏洞,#该漏洞至少在 6 月 6 日就被黑客发现并利用直到 7 月 11 日Telegram 在v10.14.5 版中才完成修复 该漏洞本质上与 Telegram 桌面版出现的漏洞类似,#都是利用 Telegram API 的一些缺陷将特制文件伪造为媒体这样就可以在 Telegram 自动下载。 在这里还是继续建议 Telegram 用户关闭自动媒体文件自动下载功能,避免攻击者利用类似的漏洞发起针对性的攻击
封面图片

微软发布补丁,修复 Win10、Win11 关键漏洞:可安装恶意软件

微软发布补丁,修复 Win10、Win11 关键漏洞:可安装恶意软件 (英文) 该漏洞存在于 ms-appinstaller 统一资源标识符(URI)方案中,攻击者利用该漏洞,可以绕过常规的安全措施,在用户浏览网页的时候悄悄植入危险软件。 攻击者利用 ms-appinstaller 隐藏快捷方式,在受害者 PC 上偷偷安装恶意软件。微软本次补丁已经禁用了这个快捷方式,这意味着从网站下载的任何应用程序都必须像正常下载文件一样通过安全检查。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人