微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量 Android 应用 “Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施，以防止未经授权的访问。 然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（custom intents，Android 应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。 攻击者利用“Dirty Stream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。 微软的研究表明，此漏洞并非个例，研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如，拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

微软发现影响多款数亿次下载量安卓应用的安全漏洞

微软发现影响多款数亿次下载量安卓应用的安全漏洞 微软在 Android 应用中发现了与自定义意图 (Custom Intents) 有关的漏洞，并将其命名为“Dirty Stream”，该漏洞可使恶意应用覆盖易受攻击的应用主目录中的文件。此漏洞模式的影响包括任意代码执行和身份凭证窃取。该漏洞与用于安卓应用间共享数据的内容提供程序系统有关，如果开发者没有正确实现该功能，就会产生暴露应用中的敏感数据。 微软在谷歌 Play 商店中发现了多个存在漏洞的应用，这些应用的安装量累积超过40亿次，其中至少有四个应用的安装量超过5亿。其中被发现的应用示例是小米文件管理器 (安装量超过10亿) 和 WPS Office (安装量超过5亿)。截至2024年2月，微软已通知的应用开发者均已发布修复程序，并建议用户保持其设备和已安装的应用为最新版本。

Phoenix UEFI固件被曝安全漏洞 数百款Intel CPU PC受影响

Phoenix UEFI固件被曝安全漏洞 数百款Intel CPU PC受影响 该漏洞由安全研究公司Eclypsium发现，并在联想ThinkPad X1 Carbon第7代和X1 Yoga第4代设备上得到确认。Phoenix公司已于4月发布警告，而联想迅速响应，于5月推出了新的固件更新，修复了150多种不同机型上的漏洞问题。受影响的英特尔CPU型号包括Alder Lake、Coffee Lake、Comet Lake、Ice Lake、Jasper Lake、Kaby Lake、Meteor Lake、Raptor Lake、Rocket Lake和Tiger Lake等。由于这些CPU被广泛应用于联想、戴尔、宏碁和惠普等品牌的数百款机型中，因此潜在的安全风险波及范围广泛。Eclypsium指出，漏洞存在于Phoenix SecureCore固件的系统管理模式（SMM）子系统中，攻击者可通过覆盖相邻内存来提升权限，进而可能安装引导工具包恶意软件，对设备安全构成严重威胁。不过虽然联想已经采取了修复措施，但其他厂商目前尚未完全跟进。 ... PC版： 手机版：

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码 微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar 的安全研究人员发现了一个托管在 Microsoft Azure 云服务上的开放公共存储服务器，该服务器存储与微软必应搜索引擎相关的内部信息。Azure 存储服务器包含代码、脚本和配置文件，其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护，互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后，微软于3月5日修复。

微软严重漏洞：Microsoft Teams 在 Windows、Linux、Mac中以明文形式存储授权令牌

微软严重漏洞：Microsoft Teams 在 Windows、Linux、Mac中以明文形式存储授权令牌 安全分析师在Microsoft Teams的桌面应用程序中发现了一个严重的安全漏洞，使威胁者能够访问认证令牌和开启了多因素认证（MFA）的账户。 Microsoft Teams是一个通信平台，包括在365产品系列中，有超过2.7亿人使用，用于交换文本信息、视频会议和存储文件。 新发现的安全问题影响到Windows、Linux和Mac的应用程序版本，指的是Microsoft Teams以明文存储用户认证令牌而不保护对它们的访问。 在安装了Microsoft Teams的系统上拥有本地访问权的攻击者可以窃取令牌并使用它们来登录受害者的账户。 网络安全公司Vectra的康纳-皮珀斯（Connor Peoples）在本周的一份报告中解释说："这种攻击不需要特殊的权限或高级恶意软件就可以逃脱重大的内部破坏。"

带有恶意SDK的 Android 应用从 Google Play 安装了 4.21 亿次

带有恶意SDK的 Android 应用从 Google Play 安装了 4.21 亿次 一种新的Android恶意软件被发现，它被作为广告SDK分发在多个应用程序中，共发现101 个应用程序，其中许多应用程序之前曾在Google Play上，累计下载次数超过4亿次。（） Dr. Web的安全研究人员发现了这个间谍模块，并将其跟踪为'SpinOk'，警告称它可以窃取用户设备上存储的私人数据并将其发送到远程服务器。 以下发现有该SDK的最多下载的应用程序列表 Noizz: 带音乐的视频编辑器 (1亿次下载) Zapya – 文件传输、分享 (1亿次下载；Dr. Web表示，该木马模块出现在版本6.3.3到版本6.4中，但在当前版本6.4.1中已不再存在) VFly: 视频编辑器&制作工具 (5000万次下载) MVBit – MV视频状态制作器 (5000万次下载) Biugo – 视频制作&编辑器 (5000万次下载) Crazy Drop (1000万次下载) Cashzine – 赚钱奖励 (1000万次下载) Fizzo Novel – 离线阅读 (1000万次下载) CashEM: 获取奖励 (500万次下载) Tick: 看视频赚钱 (500万次下载) 除了一个上述应用程序外，所有应用程序都已从 Google Play 中删除，这表明 Google 收到了有关恶意 SDK 的报告并删除了违规应用程序，直到开发人员提交了一个干净的版本。 来源 ：