科技
NuGet供应链攻击中出现60个新恶意包
,威胁软件供应链原文链接https://thehackernews.com/2024/07/60-new-malicious-packages-uncovered-in.html题图:Pexels
代码卫士
其他
CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击
payload。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读利用
其他
WordPress 插件被安后门,用于发动供应链攻击
插件,但目前证据表明攻陷仅局限于此前提到的五款插件。后门操作和IoC受感染插件中的恶意代码试图创建新的管理员账户并将SEO垃圾内容注入受陷网站。Wordfence
其他
JAVS庭审录制软件被植入后门 用于发动供应链攻击
还对所有系统进行了完全审计并重置了所有密码,确保密码如被盗,不会被用于其它攻陷事件中。该公司提到,“通过与网络当局的监控和协作,我们发现有人通过受陷文件取代
其他
AI Python 包中存在缺陷 “Llama Drama” ,威胁软件供应链
上的6000多个AI模型,凸显AI平台和开发人员解决供应链安全挑战的必要性。值得注意的是,该漏洞是由一名网络安全研究员率先发现的。该漏洞的编号是CVE-2024-34359,是因对
其他
谷歌紧急修复周内第3个已遭利用的0day
引擎中界外读引发的高危漏洞。远程攻击者可使用特殊构造的HTML页面访问所分配内存缓冲区以外的数据,导致堆损坏,从而提取敏感信息。CVE-2024-4671:位于负责处理浏览器中渲染和显示内容的
其他
RSAC 2024观察:软件供应链安全进入AI+时代
AI”两方面的实践。应加快软件物料清单(SBOM)相关的研究和应用我国的国家标准《软件物料清单数据格式》即将公开征求意见,4月份刚发布的《GB/T
其他
PyPI 恶意包假冒合法包,在PNG文件中隐藏后门
Strike的开源C2框架,供网络安全专业人员用语红队演练。Sliver因了解的人少也更不容易被检测到,因此得到越来越多的威胁行动者的青睐。“requests-darwin-lite”的创建者将
其他
谷歌修复今年第五个 Chrome 0day漏洞
组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究人员发现并报送,谷歌表示可能已遭活跃利用。谷歌在安全公告中表示,“谷歌发现
其他
国家黑客组织利用思科两个0day攻击政府网络
活动并发现攻击者至少在2023年6月就已测试并开发了相关利用。思科防火墙后门这两个漏洞可导致攻击者在受陷的ASA和FTD设备上部署此前未知的恶意软件并维护可持久性。其中一个恶意软件植入是
其他
思科修复IMC 高危根提权漏洞
root。要利用该漏洞,攻击者必须在受影响设备上拥有只读或更高权限。”该漏洞的编号是CVE-2024-20295,由对用户提供输入的验证不足引发,可在复杂度较低的攻击中使用构造的CLI
其他
CISA:Sisense事件也影响关键基础设施,或引发供应链攻击
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
其他
供应链攻击滥用 GitHub 特性传播恶意软件
中来躲避检测,在构建项目时自动执行”。因此,除非通过专门搜索才能发现,因为一般用户可能不会这样做。为了建立恶意软件的可持久性,攻击者创建了在凌晨4点运行且无需任何用户确认或交互的调度任务。而该代码与
其他
Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击
公司调查显示,不到一般的组织机构认为它们能够以安全的方式使用AI,71%的受访组织机构担心实现前的数据隐私和安全问题,61%的受访组织机构担心内部数据质量问题。尽管AI工具如
其他
思科提醒注意Small Business路由器中的XSS漏洞
交换机受思科0day影响原文链接https://securityaffairs.com/161540/security/cisco-eof-routers-xss.html题图:Pixabay
其他
思科IOS 漏洞可导致未认证的远程DoS 攻击
随后发布告警,建议管理员尽快更新系统。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读思科修复
其他
XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告
Linux是在3月26日至3月29日期间更新过的任何Kali安装https://www.kali.org/blog/about-the-xz-backdoor/OpenSUSE是Tumbleweed
其他
谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day
Edge浏览器。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读Mozilla
其他
开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源
CVE-2023-6019、CVE-2023-6020、CVE-2023-6021和CVE-2024-48023。不过该公司并未修复第5个漏洞即严重的RCE漏洞
其他
Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day
3汽车。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读Pwn2Own
其他
Pwn2Own 2024温哥华大赛落幕 Master of Pwn 诞生
团队,使用一个UAF转RCE漏洞在Edge和Chrome浏览器的渲染器中执行利用,获得8.5万美元和9个积分点。成功Valentina
科技
AWS修复 Airflow 服务中严重的 “FlowFixation” 漏洞
(DAGS)。在某些条件下,这些操作可导致MWAA的基础、横向移动到其它服务的实例上实现RCE。”该漏洞的根因在于AWS
其他
“会话溢出”网络攻击绕过 AI 安全攻击企业高管
的使用增多,尤其是针对高管人员的攻击更是如此,他们遭受的QR码钓鱼攻击要比一般员工高42倍。这类攻击技术的出现表明我们需要保持警醒,Kowski
其他
软件供应链投毒 — NPM 恶意组件分析(二)
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
其他
研究员开发出AI蠕虫,可在AI系统之间自动传播
联合发布关于保护AI系统开发安全新指南谷歌发布漏洞奖励计划和其它举措,保护AI安全原文链接https://gbhackers.com/created-ai-worm/题图:Pixabay
其他
思科修复 Data Center OS 中的多个高危漏洞
3000和9000系列交换机的端口信道子界面访问控制列表编程中,可在无需认证的情况下被远程用于绕过ACL防护。周三还修复了第五个漏洞,它影响Intersight
其他
俄罗斯政府软件被安装后门,传播恶意软件
文件。当该文件启动时会触发感染序列来建立与C2服务器的连接来等待进一步的指令。该RAT具有的能力包括文件传输和命令执行,据称早在2014年就投入使用,且之前被朝鲜其它黑客组织如APT37
其他
WiFi漏洞导致安卓和Linux设备易受攻击
模块受严重漏洞影响原文链接https://thehackernews.com/2024/02/new-wi-fi-vulnerabilities-expose.html题图:Pexels
其他
Linux glibc 漏洞可导致攻击者在主要发行版本获得 root 权限
公司的安全研究人员指出,“缓冲区溢出漏洞具有重大威胁,因为它可触发本地提权,导致低权限用户通过将输入构造到应用这些日志记录功能的应用,获得完整的
其他
思科提醒注意通信软件中的严重 RCE 漏洞
是一体化解决方案,提供企业级语音、视频和消息服务以及客户参与和管理。该公司已发布安全公告提醒注意该漏洞,它可导致未认证的远程攻击者在受影响设备上执行任意代码。该漏洞由
其他
全球软件供应链安全指南和法规概览
发布了两份备忘录即22-18和23-16,它们都关注软件供应链安全并开始提出要求,如要求所有向美国联邦政府出售产品的软件供应商开始自我认证如下软件安全开发实践:如NIST
其他
TensorFlow CI/CD 漏洞使供应链易遭投毒攻击
权限更改为只读。研究人员提到,“随着越来越多的组织机构将其CI/CD进程自动化,类似的CI/CD攻击正在增长。AI/ML企业的工作流要求大量计算力,而
其他
谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞
(120.0.6099.224)。尽管谷歌表示需要几天或几周的时间才能将安全更新推送给所有受影响用户,不过现在已推出。选择自动更新的用户可依靠
其他
Pwn2Own 2024温哥华大赛目标和奖金公布
特性。服务器类别2024年的服务器类别稍有减少,本次大赛主要关注服务器组件。这些服务器经常受到勒索团伙、国家黑客组织等的青睐,因此这些组织手中存在
其他
思科称严重的 Unity Connection 漏洞可导致攻击者获得root权限
设备。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读罗克韦尔自动化称
其他
FTC 推出AI声音克隆欺诈检测挑战赛,最高奖励2.5万美元
指出,“声音克隆技术存在重大风险:家庭和小企业可能遭欺诈性勒索攻击;创意性专业人员如声音艺术家的声音可能被剽窃从而导致生活可能受到威胁,公众可能会遭到欺骗。”FTC
其他
CISA:注意 Chrome 和 Excel 解析库中已遭利用的开源漏洞
中的漏洞。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读谷歌紧急修复今年第8个已遭利用的
其他
微软:新后门 “FalseFont” 正在攻击国防行业
组织在2023年2月至7月之间攻击全球数千家组织机构,主要针对的是卫星、国防和制药行业。微软提到,该组织的最终目的是收集符合伊朗国家利益的情报信息。该组织至少活跃于2013年。谷歌旗下公司
其他
OpenAI 推出的 ChatGPT 数据泄露漏洞补丁不完整
Thief!”的GPT,可将会话数据提取到由研究员操纵的一个外部URL。数据盗取涉及镜像标记渲染和提示注入,因此攻击要求受害者提交攻击者直接提供的恶意提示,或者贴到某个受害者发现和使用的地方。就像
其他
Mozilla 修复Firefox 漏洞,可导致RCE和沙箱逃逸
方法易受堆缓冲溢出漏洞影响。该漏洞可导致攻击者进行远程代码执行和沙箱逃逸。”其次严重性最高的是CVE-2023-6135,与渲染易受
其他
PyPI 仓库存在116款恶意软件,瞄准 Windows 和 Linux 系统
暂停新用户注册和项目创建原文链接https://thehackernews.com/2023/12/116-malware-packages-found-on-pypi.html题图:Pixabay
其他
软件供应链投毒 — NPM 恶意组件分析
仓库是最易遭受投毒攻击的开源仓库之一。最近一个月,奇安信开源卫士开源仓库监控平台检测出超过300个恶意组件,其中大部分的恶意组件攻击方式集中在下载安装阶段。恶意组件利用
其他
严重的蓝牙漏洞已存在多年,可用于接管安卓、iOS 和 Linux 设备
表示如果已存在该漏洞的补丁,安全团队应当马上修复。对于还在等待修复方案的设备,安全团队应当监控相关更新和布丁,同时需要让员工获知该问题并提供缓解建议如不使用蓝牙时将其禁用。Viakoo
其他
技术提供商遭供应链勒索攻击,逾60家信用社服务宕机
公司的一个组成部分,专注于灾难恢复和业务恢复业务,向信用社提供云服务,确保它们的业务活动“在不受干扰的情况下运营,即使是其它一切看似都不乐观的情况下也不例外”。美国国家信用社管理局
其他
谷歌紧急修复2023年的第六个 0day
漏洞。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读谷歌紧急修复已遭活跃利用的新
其他
CISA 和NCSC 联合发布关于保护AI系统开发安全新指南
风险缓解投入和设计安全哲学。虽然指南提供了将安全构建到AI系统中的纲领,但并未对该行业设置任何法规,这与欧盟最近发布的AI法案是不同的。因此,AI企业可遵照或不遵照此指南。Endor
其他
英韩:Lazarus 黑客组织利用安全认证软件 0day 漏洞发动供应链攻击
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等