微软发现严重安全漏洞，影响数十亿下载量 Android 应用

微软发现严重安全漏洞，影响数十亿下载量 Android 应用 “Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用 Android 的内容提供程序系统。该系统通常用于设备上不同应用之间安全地交换数据，并包含严格的数据隔离、特定 URI 附加权限以及文件路径验证等安全措施，以防止未经授权的访问。 然而，如果内容提供程序系统没有被正确实现，就会产生漏洞。微软研究人员发现，不当使用“自定义意图”（custom intents，Android 应用组件之间的通信系统）可能会暴露应用的敏感区域。例如，易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。 攻击者利用“Dirty Stream”漏洞后，可以诱骗易受攻击的应用覆盖其私有存储空间中的关键文件。这种攻击可能使得攻击者完全控制应用，未经授权访问敏感用户数据，或拦截私密登录信息。 微软的研究表明，此漏洞并非个例，研究人员发现许多流行的 Android 应用都存在内容提供程序系统实现不当的问题。例如，拥有超过 10 亿安装量的小米文件管理器和拥有约 5 亿安装量的 WPS Office 都存在此漏洞。

微软发现严重安全漏洞：受影响Android应用安装量超40亿次

微软发现严重安全漏洞：受影响Android应用安装量超40亿次 目前上述两个厂商已经及时确认其软件中存在的问题。微软研究员强调了面临风险的设备数量惊人：“我们在Google Play商店中发现了几个易受攻击的应用程序，这些应用的总安装量超过了40亿。”根据介绍，“Dirty Stream”漏洞的核心在于恶意应用可以操纵和滥用Android的内容提供程序系统，该系统通常用于设备上不同应用程序之间的安全数据交换。同时该系统还包含严格的数据隔离、特定URI（统一资源标识符）附加权限以及文件路径验证等安全措施，以防止未经授权的访问。然而微软研究人员发现，不正确地使用“自定义意图”（允许Android应用组件进行通信的消息传递系统）可能会暴露应用的敏感区域。例如易受攻击的应用可能无法充分检查文件名或路径，从而为恶意应用提供了可乘之机，使其可以将伪装成合法文件的恶意代码混入其中。了解更多： ... PC版： 手机版：

尽管可以免费访问 GPT-4，但微软的 Copilot 应用并未影响 ChatGPT 的安装量或收入

尽管可以免费访问 GPT-4，但微软的 Copilot 应用并未影响 ChatGPT 的安装量或收入 根据对应用商店数据的最新分析，该公司最新推出的微软 Copilot 应用似乎并未将用户从 ChatGPT 手中夺走。进行这项新分析的应用市场研究公司 Appfigures 认为，潜在消费者基本上没有注意到 Copilot 应用的推出。 虽然 ChatGPT 应用下载量有所放缓，但这早在微软 Copilot 应用发布之前就开始了。在微软 Copilot 应用积累 210 万次安装期间，ChatGPT 应用又获得了 420 万次下载。没有任何迹象表明微软 Copilot 本身对 ChatGPT 的安装量或收入产生任何影响，事实上后者还在继续增长。 < 详细报告

新发现的安全漏洞允许任何人冒充微软员工发送电子邮件

新发现的安全漏洞允许任何人冒充微软员工发送电子邮件 上周，网名为 Slonser 的 Vsevolod Kokorin 在 X（Twitter 的前身）上写道，他发现了电子邮件欺骗漏洞并向微软报告，但微软在表示无法重现他的发现后驳回了他的报告。这促使 Kokorin 在 X 上公布了这一漏洞，但没有提供技术细节以帮助其他人利用这一漏洞。"微软只是说他们无法重现，但没有提供任何细节，"Koroin 在一次在线聊天中表示。"微软可能注意到了我的推文，因为几个小时前他们重新打开了[原文如此]我几个月前提交的一份报告。"据 Kokorin 称，该漏洞仅在向 Outlook 账户发送电子邮件时有效。不过，根据微软最新的财报，其在全球至少有 4 亿用户。科科林说，他最后一次与微软联系是在6月15日。"我没想到我的帖子会引起如此大的反响。老实说，我只是想分享我的挫败感，因为这种情况让我很难过，"Kokorin说。"许多人误解了我，以为我想要钱或类似的东西。实际上，我只是希望公司不要忽视研究人员，当你试图帮助他们时，他们应该更加友好。"目前还不清楚是否有 Kokorin 以外的其他人发现了这个漏洞，或者这个漏洞是否已被恶意利用。尽管目前尚不清楚这一漏洞的威胁，但微软近年来已经历了多次安全问题，并引发了联邦监管机构和国会立法者的调查。上周，微软总裁布拉德-史密斯（Brad Smith）在众议院听证会上作证，此前中国黑客于2023年从微软服务器上窃取了一批美国联邦政府电子邮件。史密斯在听证会上承诺，在经历了一系列安全丑闻之后，公司将继续努力把网络安全放在首位。几个月前的一月份，微软证实，一个与俄罗斯政府有关联的黑客组织侵入了微软公司的电子邮件账户，窃取了公司高层对黑客本身的了解。上周，ProPublica 揭露，微软没有注意到关于一个关键漏洞的警告，该漏洞后来在俄罗斯支持的针对科技公司 SolarWinds 的网络间谍活动中被利用。 ... PC版： 手机版：

微软在 TikTok for Android 中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户

微软在 TikTok for Android 中发现一个“高严重性漏洞”，攻击者能接管点击恶意链接的账户 安卓版 TikTok 应用的一个漏洞可能让攻击者接管任何点击恶意链接的账户，可能影响该平台的数亿用户。 今天，微软 365 防御研究小组的研究人员在一篇中披露了一键式攻击的细节。微软向 TikTok 披露了这一漏洞，此后已打上补丁。 该漏洞及其导致的攻击被称为 "高严重性漏洞"，一旦任何 TikTok 用户点击一个特制的链接，就可以在他们不知情的情况下劫持他们的账户。点击该链接后，攻击者可以访问账户的所有主要功能，包括上传和发布视频的能力，向其他用户发送消息，以及查看存储在账户中的私人视频。 潜在的影响是巨大的，因为它影响了安卓 TikTok 应用的所有全球变体，该应用在谷歌应用商店的总下载量超过了 15 亿次。然而，没有证据表明它被坏人利用了，TikTok 发言人莫琳-沙纳汉说："参与发现和披露的研究人员赞扬了 TikTok 的快速反应。"

《地铁跑酷》全球下载量超过 40 亿次

《地铁跑酷》全球下载量超过 40 亿次 在5月份迎来11岁生日之际，超级流行的无尽奔跑游戏《地铁跑酷》的下载量已经达到了40亿次。 该下载次数是所有移动平台的总数，开发者表示这是一个巨大的成就。在2020年时，它的下载量就已达到了30亿次。 标签: #地铁跑酷 #下载量 频道: @GodlyNews1 投稿: @GodlyNewsBot