Skype 移动应用存在漏洞,黑客可以轻易获取你的IP地址。但微软并没有着急修复这个问题。

Skype 移动应用存在漏洞,黑客可以轻易获取你的IP地址。但微软并没有着急修复这个问题。 一位安全研究人员发现,Skype 移动应用存在漏洞,只需要发送一个链接,就可以在目标不点击链接的情况下,揭示用户的IP地址,从而暴露目标其大致的物理位置。 安全研究人员Yossi于本月早些时候向微软报告了这个漏洞,但微软表示这个问题不需要立即修复。直到404 Media联系微软,微软公司才表示将在即将发布的更新中修复此问题。 Yossi 表示,这个问题仅适用于 Skype 的移动应用程序。当目标使用 Mac 版 Skype 时,他无法获知目标的IP地址。 ( 珊瑚虫QQ? )

相关推荐

封面图片

微软了解 Microsoft Teams 的漏洞存在,但并不打算修复它

微软了解 Microsoft Teams 的漏洞存在,但并不打算修复它 据安全公司Vectra称, Microsoft Teams以未加密的明文模式存储身份验证令牌,从而允许攻击者潜在地控制组织内的通信。该漏洞影响了使用微软 Electron 框架构建的 Windows、Mac 和 Linux 桌面应用程序。微软已经意识到了这个问题,但表示没有计划在短期内进行修复,因为漏洞利用还需要网络访问。 根据 Vectra 的说法,具有本地或远程系统访问权限的黑客可以窃取当前在线的任何 Teams 用户的凭据,然后即使在他们离线时也可以冒充他们。他们还可以通过与 Teams 相关的应用程序(例如 Skype 或 Outlook)假装是用户,同时绕过通常需要的多因素身份验证 (MFA)。
封面图片

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞 微软已发布补丁来修复两个流行开源库中的零日漏洞,这些漏洞影响了多个微软产品,包括 Skype、Teams 及其 Edge 浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。 谷歌和公民实验室的研究人员表示,这两个漏洞是上个月发现的,并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。 这些漏洞是在两个常见的开源库 webp 和 libvpx 中发现的,这两个漏洞编号分别是 (CVE-2023-4863) 和 (CVE-2023-5217),这些库被广泛集成到浏览器、应用和手机中,用于处理图像和视频。 微软在周一发布的中表示,已经推出了修复程序,解决了其产品中集成的 webp 和 libvpx 库的两个漏洞,并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。
封面图片

黑客破解串流掌机PS Portal后报告索尼 帮助修复漏洞

黑客破解串流掌机PS Portal后报告索尼 帮助修复漏洞 随后Nguyen向索尼报告了这些问题,并确认漏洞已在本周一推送的2.06更新中被解决。在加入谷歌之前,Nguyen曾发布过PS Vita越狱程序,并揭露过PS4漏洞。然而,在最初宣布PS Portal被破解时,Nguyen明确表示他的团队无意向公众公布细节。Nguyen举动遭到了部分玩家的批评,他们质问他为什么要帮助索尼修复漏洞而不是将其公之于众。Nguyen解释说,即使他公布该漏洞,索尼最终也会得出此事并修复它,一切只是时间问题,所以报告这个漏洞才是正确的做法。 ... PC版: 手机版:
封面图片

重要: 宝塔 WAF 防火墙存在未授权访问漏洞,攻击者可通过漏洞访问后台API

重要: 宝塔 WAF 防火墙存在未授权访问漏洞,攻击者可通过漏洞访问后台API 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证,无视宝塔的随机登录地址,直接访问宝塔后台的某些API,实现远程控制 漏洞原理: 这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中,通过检查源代码可以发现,只要请求满足特定的IP和域名条件,就可以无需登录直接访问后台API,通过特定的HTTP请求头配置,攻击者可以模拟来自127.0.0.1的请求,并将Host头设置为127.0.0.251,从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。 注:这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。 安全建议: 1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。 2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。 3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。 注:用户卸载 WAF 也可避免该问题 参考消息:
封面图片

#互联网观察 ▎苹果M系列芯片存在硬件漏洞,软件层面修复困难

#互联网观察 ▎苹果M系列芯片存在硬件漏洞,软件层面修复困难 研究人员针对苹果基于 Arm 架构自研的 A 系列和 M 系列芯片进行研究,发现这些芯片存在硬件漏洞,只能从软件层面修补。但如果在软件层面修复则会降低芯片的性能。 研究人员通过设计恶意应用程序,利用上述漏洞,可以欺骗芯片的数据存取预取器(DMP),将与密钥相关的数据放入缓存中,从而重构出密钥获取电脑上的重要隐私。 苹果表示该公司已经计划在未来通过软件更新彻底解决这个漏洞。 ▎新闻引用 频道 @AppDoDo
封面图片

通过MailChannels漏洞,黑客可以无需鉴权伪造邮件地址

通过MailChannels漏洞,黑客可以无需鉴权伪造邮件地址 据SpamChannel分享,黑客可通过cloudflare worker向MailChannels api发送请求来伪造域名发送邮件。造成这一原因主要一点是MailChannels api对所有cloudflare ip进行了加白,不需要在post请求中填入相应的身份验证信息。而MailChannels作为有名的邮件服务商,许多知名企业都有使用。这使得黑客可以通过脚本扫描著名企业的域名txt记录来寻找目标。在github上用于此漏洞的js请求脚本创建于去年,但在今年才被发现。 演示视频

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人