文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Solidot 公告
投 票
热门评论
- 假新闻 (1 points, 一般) by scottcgi 在 2024年05月07日00时26分 星期二 评论到 中美 AI 芯片竞争
- 使用开源并不是因为便宜 (1 points, 一般) by Craynic 在 2024年04月18日13时19分 星期四 评论到 李彦宏声称开源大模型更昂贵
- 火星的起源找着了 (1 points, 一般) by 18611782246 在 2024年04月15日21时15分 星期一 评论到 水星可能曾和地球一样大
- (1 points, 一般) by solidot1713165490 在 2024年04月15日15时19分 星期一 评论到 美国议员呼吁禁止进口中国制造的电动车
- AI 就像拼音输入法 (1 points, 一般) by jerry 在 2024年04月10日19时48分 星期三 评论到 Google 宣布辅助编程用的开放大模型 CodeGemma
- (1 points, 一般) by solidot1563266937 在 2024年03月02日08时20分 星期六 评论到 美国总统称中国联网汽车有国家安全风险
- You either die a hero (1 points, 一般) by lot 在 2024年02月29日13时34分 星期四 评论到 空气污染与严重痴呆症相关
- 只是从众 (1 points, 一般) by scottcgi 在 2024年02月27日00时40分 星期二 评论到 共情能传播,人能通过观察环境和其他人获得或失去同情心
- 有误 (1 points, 一般) by 陈少举 在 2024年02月23日10时04分 星期五 评论到 Google 暂停了 Gemini 的图像生成功能
- (1 points, 一般) by mirus 在 2024年02月22日14时34分 星期四 评论到 美国阿拉巴马州最高法院裁决冷冻胚胎是“儿童”
北大安全研究员 Ruihan Li 发现了一个被成为 StackRot 的内核漏洞,负责管理虚拟内存区的 maple tree 可在没有正确获得 MM 写锁的情况下进行节点替换操作,导致释放后使用问题。非特权本地用户可利用该漏洞提权。漏洞影响 Linux v6.1-6.4,没有证据表明该漏洞正被利用。Li 表示,StackRot 位于内核内存子系统中,影响所有内核配置,触发需要的功能非常少,但利用富有挑战性。该漏洞是在 6 月 15 日披露的,7 月 1 日释出的稳定版内核 v6.1.37、6.3.11 和 6.4.1 修复了漏洞,POC 以及其它技术细节预计将在本月底公开。
安全研究人员在一个广泛使用的 WordPress 插件中发现了一个正被利用的漏洞。该高危漏洞 CVE-2023-3460 的危险等级为 9.8/10。漏洞存在于用于精简用户注册和登陆流程的 Ultimate Member 插件中,它被逾 20 万 WordPress 网站使用。漏洞允许黑客在目标网站提权,潜在导致未经授权访问和控制受影响网站。对该漏洞的利用至少从六月初就开始了,部分网站报告了可疑活动,如创建了未授权的管理员账号。
黑客组织 Anonymous Sudan 声称入侵了微软服务器窃取了包含有逾 3000 万客户账号凭证的数据库。微软对此说法予以否认。Anonymous Sudan 以发动 DDoS 攻击闻名,它被认为与亲俄的 Killnet 等组织有关联。微软上个月承认其服务 Azure、Outlook 和 OneDrive 等发生的短暂宕机是遭到了 Anonymous Sudan 的 DDoS 攻击。Anonymous Sudan 正以 5 万美元的价格出售窃取的微软客户数据库,但微软发言人表示没有证据表明其客户数据遭到泄露。
世界最大的半导体制造商台积电成为勒索软件黑帮 LockBit 最新一位的受害者,该组织勒索 7000 万美元以交换不泄露窃取的数据。LockBit 是通过台积电的供应商 Kinmax Technologies 窃取到该公司的数据。Kinmax 是一家从事网络、云计算、存储、安全和数据库管理的 IT 服务商。对 Kinmax 的入侵发生在 6 月 29 日。台积电已经证实了此次攻击,表示网络入侵导致了与服务器初始设置和配置相关的信息泄露,没有任何客户信息泄露。它已经采取行动终止了与 Kinmax 的数据交换。
一所美国高中将所有学生的密码都重置为 Ch@ngeme!,让每个学生都有机会黑入任何同学的账号。伊利诺伊州 Oak Park and River Forest (OPRF)高中通知学生家长,在安全评估期间,供应商失误重置了所有学生的密码,使学生无法登陆其 Google 账号。为了解决这个问题,他们将所有学生的密码重设为 Ch@ngeme!,学生将可以再次访问他们的 Google 账号,学校在邮件中警告家长,“我们强烈建议您的孩子将密码改为自己的唯一密码。”
GCC 等程序使用的核心算术库 GMP 项目本月中旬披露,它的服务器遭到了来自数百个微软 IP 的攻击。项目主要开发者 Torbjorn Granlund 称,攻击针对的是 GMP 库,使用了数千个相同的请求,这些请求是精心挑选的,目的是让服务器过载。作为紧急响应,GMP 服务器防火墙屏蔽了所有微软 IP 访问。微软 GitHub 威胁捕获、运营和响应总监 Mike Blacker 很快识别了罪魁祸首:一个 GitHub Actions Workflow。一位 GitHub 用户更新了 FFmpeg-Builds 项目的一个脚本,从 https://gmplib.org 上提取内容,该构建被配置在 100 种不同类型的计算机/架构上运行并行同时测试。他认为这位用户的活动看起来并没有恶意目的。Granlund 表示在屏蔽了 100 个微软 IP 段后一周,仍然有来自相同 IP 地址的密集流量,但在防火墙屏蔽之后服务器不再受到影响。他对 Github/微软认为自己不需要承担任何责任表达了不满。
《Super Mario 3: Mario Forever》是经典任天堂游戏的免费重制版,保留了超级马里奥系列的游戏机制,更新了图像和音频。它非常受欢迎,下载量多达数百万次。安全公司 Cyble 的研究人员发现,攻击者正利用一个木马版的安装程序传播恶意程序。木马版本主要通过游戏论坛、社交媒体和恶意广告传播,它包含了一个合法版的游戏拷贝,以及两个恶意负荷 java.exe 和 atom.exe,其中 java.exe 是门罗币的挖矿程序,atom.exe 是 SupremeBot 挖矿客户端。SupremeBot 还会通过指令控制服务器下载额外的负荷 wime.exe——一个开源的信息窃取程序 Umbral Stealer,从被感染的设备上窃取数据,包括浏览器上储存的密码、cookies、加密货币钱包,Discord、Minecraft、Roblox 和 Telegram 的凭证。
2020 年 7 月,攻击者利用 SIM swapping 劫持了众多名人高管政客、知名公司和数字货币交易平台的官方账号,欺骗性的诱惑用户向其钱包地址发送比特币。交易所币安发推文称它将参与 CryptoForHealth 活动,向社区回馈 5000 BTC。随后其他名人的账号开始发布类似的推文。这次大规模劫持行动的幕后攻击者是当时 21 岁的英国利物浦人 Joseph James O’Connor,aka PlugwalkJoe,今年 24 岁的 O’Connor 被判在美国监狱服役 5 年。攻击发生时他身处西班牙,因新冠疫情无法回国。2023 年 4 月他被从西班牙引渡到美国,两周后承认了 10 项针对他的犯罪指控。
澳大利亚总理 Anthony Albanese 最近建议居民,将每晚手机关机五分钟作为一种网络安全措施。苹果等手机可以自动设置每晚重启。安全专家赞同这一建议。因为定期重启手机有助于清除掉非持久性恶意程序,如只在内存中运行的恶意程序。在系统上执行任意代码并能在重启之后自动执行,这个难度要远大于只在内存中运行。在手机等设备上实现持久运行比 PC 难度更大。美国国家安全局的移动设备安全最佳实践指南就包括定期如每周重启一次智能手机。
海康威视和大华是世界最大的两家监控探头制造商。它们的探头在世界各地被广泛使用。隐私组织 Big Brother Watch 去年在英国各地向公共机构递交了 4,510 份信息自由请求,收到了 1,289 份回应,其中 806 份回应确认他们使用了海康威视或大华的探头。那么海康威视和大华的探头有多安全呢?IPVM 测试的一个海康威视探头包含了一个 2017 年发现的漏洞。海康威视称它没有故意在其设备中包含漏洞,它在得知该漏洞之后立即释出了固件更新修复了问题。但 IPVM 的总监 Conor Healy 指出,全世界联网的探头中仍然有超过 10 万个包含该漏洞。IPVM 的工程师仅仅用了 11 秒钟就入侵了在一个放置在测试环境中的海康探头。IPVM 的工程师也在大华的探头中发现了漏洞。大华回应称它在去年知道了该漏洞,迅速释出了固件更新修复了漏洞。
暴雪战网服务 Battle.net 遭到了 DDoS 攻击,导致玩家在攻击期间基本上无法玩暴雪最新的《暗黑破坏神IV(Diablo IV)》以及《魔兽世界》等游戏。攻击至少始于周日凌晨,在美国东部时间 10:24AM,暴雪在 Twitter 上的官方支持账号称 DDoS 攻击还在继续,他们正积极监控,攻击影响到了游戏的访问增加了延迟。玩家在社交媒体上称有至少 10 到 12 个小时无法玩《暗黑破坏神IV》。
加州贝克斯菲尔德(Bakersfield)的一位 61 岁女性使用苹果 AirTag 跟踪了她被盗的汽车,与盗车嫌疑人对峙后遭枪击身亡,四名嫌疑人已遭到逮捕,他们的年龄在 18-23 岁。警方称,Victoria Anne Marie Hampton 在没有告知警方的情况下独自一人使用 AirTag 跟踪了被盗的汽车,她于 3 月 19 日傍晚 6:32 遭到枪击,4 月 1 日因头部枪伤在医院去世。
AquaSec 的安全团队发现,数以百万计的 GitHub 项目易受依赖库劫持攻击。这一攻击方法又被称为 RepoJacking,可被攻击者用于发动影响大量用户的供应链攻击。GitHub 上的用户名和项目或库的名字会频繁更改,如通过合并或收购,一个项目会成为另一个组织的一部分。当这种情况发生后,为了避免破坏其它项目的依赖关系,会创建一个重定向。但如果有人用旧的名字创建了账号,那么重定向会无效。这就是 RepoJacking 攻击。GitHub 实现了部分防御方法抵御此类攻击,但研究人员发现到目前为止防御方案是不完整的,很容易绕过。研究人员估计有数百万项目受到 RepoJacking 攻击影响。
逾 10 万 ChatGPT 账号凭证在暗网出售,部分 ChatGPT 用户的个人信息可能遭到泄露。网络安全公司 Group-IB 称,用户凭证登陆 ChatGPT 的时间从 2022 年 6 月到 2023 年 5 月,主要来自印度、美国、法国、摩洛哥、印度尼西亚、巴基斯坦和巴西等国。这些凭证不是从 OpenAI 窃取到的,而是通过安装在受害者电脑上的信息窃取程序。一旦感染,此类恶意程序会劫持密码、cookies、信用卡和其它来自浏览器的信息,以及加密货币钱包扩展。
旅游公司 OceanGate 的一艘带乘客参观泰坦尼克号残骸的观光潜艇于 6 月 18 日在大西洋失踪,目前搜救行动正在进行之中。这艘被称为泰坦的潜艇载有五人,其中包括公司创始人兼 CEO Stockton Rush,以及英国亿万富翁和冒险家 Hamish Harding。事故发生之后,有关该潜艇不符合监管要求的非标准设计就逐渐曝光。其中包括使用售价 30 美元的 2010 年版罗技无线手柄 F710。但手柄不太可能是问题根源,美国潜艇就使用过廉价可靠易于替换的 Xbox 手柄。事故最有可能的原因是船体在巨大压力下破裂。泰坦尼克号残骸位于水下 3800 米处,能承受如此深度水压的船体要求非常高。此外潜艇只能从外部打开,即使潜艇能浮出水面,如果没有外部援助,潜艇中的人将会窒息而死。
本月初微软的办公软件套件(包括电邮 Outlook 和文件共享应用 OneDrive)以及其云计算平台遭遇了偶发但严重的宕机事故,自称 Anonymous Sudan 的黑客组织宣称对此负责,称他们对微软网站发动了 DDoS 攻击。微软发言人证实了网络攻击,但没有透露多少细节,如有多少客户受影响,受影响范围是否遍及全球,等等。Anonymous Sudan 是通过其 Telegram 频道宣布对此负责,它被认为是俄罗斯人。微软官方博客此前表示,攻击者可能使用了租赁的云服务和 VPN,通过僵尸网络对微软服务发动 DDoS 攻击。
在苹果 App Store 和 Google PlayStore 作为免费 VPN 服务提供给用户的应用 Swing VPN 被认为会利用用户设备发动 DDOS 攻击。目前无论是苹果还是 Google 都未将 Swing VPN 下架,而仅仅 Google Play 其安装量逾 500 万次。对 Swing VPN 的分析发现,开发者利用了不同的技术混淆和隐藏其恶意行动,使用 github 和 goodle drive 链接下载额外的设置,这些设置文件充当了指令控制机制,秘密发动 DDoS 攻击。比较奇怪的是,它的 DDOS 攻击对象是土库曼斯坦的政府网站。
勒索组织 BlackCat 声称入侵了 Reddit 窃取到 80GB 的压缩数据。BlackCat 称入侵时间是在今年 2 月 5 日,它向 Reddit 发送了两次勒索邮件,一次是 4 月 13 日,一次是 6 月 16 日,要求 Reddit 支付 450 万美元赎金以交换他们秘密删除数据。BlackCat 称如果它不得不公开赎金要求,那么除了 450 万美元外它还要求 Reddit 撤回 API 价格变更。显然 Reddit 不太可能同意他们的要求。BlackCat 表示它准备公开其窃取到的数据。
Shawn the R0ck 写道:HardenedLinux社区在2018年12月公开了harbian-audit项目后,一直持续的进行着bug修复和新功能的开发。此次harbian-audit v0.7版本正式发布,这个版本在原有支持Debian GNU/Linux 9,10,10及CentOS 8版本的基础上修复了一些bug及添加了一些新特性,并主要针对Debian 12的发布进行了合规的实现。此项目是目前为止唯一一个整合了STIG和CIS两个安全部署合规指南,并且覆盖Debian和RHEL/CentOS两大企业部署量最大GNU/Linux发行版的自由软件的公开实现。
Google 旗下的安全公司 Mandiant 发表报告称,中国黑客可能正在利用最近爆出的梭子鱼网络漏洞。梭子鱼网络上个月披露其 Email Security Gateway(ESG) 发现了一个 0day——远程命令注入漏洞 CVE-2023-2868。而这个 0day 被活跃利用了 8 个月,被攻击者利用安装恶意程序窃取敏感数据。梭子鱼最近建议客户替换受影响的设备。Mandiant 称,如果发现有黑客入侵的证据,那么最好更换 ESG 设备。它指出,黑客组织 UNC4841 早在 2022 年 10 月 10 日开始向受害者组织发送含有恶意附件的邮件,设计利用 CVE-2023-2868 获得初步立足点。