🔥 热搜 🔥
上海习近平新疆鄂州父女瓜乌鲁木齐疫情H工口小学生赛高习明泽芊川一笑图包印尼排华
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Apple首次为Beats、AirPods发布安全更新

安全客 2023-06-04
第504期 
你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦!

1、泄露情报表明俄黑客早已

锁定加拿大油气管道可随时引爆

在众多报道美国五角大楼最近情报泄露事件的中,有一份报告深入探讨了加拿大某油气管道的潜在安全漏洞。该报告详细介绍了俄罗斯民族国家赞助的黑客组织Zarya(俄语中的“黎明”)与俄罗斯联邦安全局之间的电子邮件往来
Zarya声称已成功渗透到加拿大某管道运营商的网络,并拥有操纵阀门压力、禁用警报和启动设施紧急关闭的能力。
一名FSB官员指示Zarya维持他们的网络访问权并保持待命状态以等待进一步指示,预计成功的操作可能会导致配气站发生爆炸。
根据泄露的文件,据称FSB正在监视加拿大新闻报道,以寻找任何迹象表明 Zarya的隐蔽入侵可能导致爆炸。泄露文件还表明,Zarya声称已经对管道运营商造成了足够的损失,导致利润损失,但坚称他们的意图不是对人的生命造成伤害,而是对加拿大人造成经济损失。

2、研究人员发现Microsoft Azure 
API管理服务中的3个漏洞 
Microsoft Azure API管理服务中披露了三个新的安全漏洞,恶意行为者可能会滥用这些漏洞来访问敏感信息或后端服务。
据以色列云安全公司 Ermetic称,这包括两个服务器端请求伪造(SSRF)漏洞和一个API管理开发人员门户中的无限制文件上传功能实例:
通过滥用SSRF漏洞,攻击者可以从服务的CORS代理和托管代理本身发送请求,访问内部Azure资产,拒绝服务并绕过Web应用程序防火墙;通过文件上传路径遍历,攻击者可以将恶意文件上传到Azure托管的内部工作负载。
在Ermetic发现的两个SSRF漏洞中,其中一个是绕过 Microsoft为解决Orca今年早些时候报告的类似漏洞而实施的修复程序。
另一个漏洞存在于API管理代理功能中。利用SSRF缺陷可能会导致机密性和完整性丧失,从而使威胁行为者能够读取内部Azure资源并执行未经授权的代码。在开发人员门户中发现的路径遍历缺陷源于缺乏对上传文件的文件类型和路径的验证。
经过身份验证的用户可以利用此漏洞将恶意文件上传到开发人员门户服务器,甚至可能在底层系统上执行任意代码。经过负责任的披露,这三个漏洞都已被微软修复。

3、伪装成ChatGPT的
恶意软件被用来引诱受害者
Facebook的母公司Meta发出警告称,黑客正在利用人们对ChatGP和其他生成式AI应用程序的兴趣,诱使他们安装假装提供AI功能的恶意软件。
自 3月以来,Meta发现了大约10个恶意软件家族使用AI主题来破坏互联网上的商业账户——包括社交媒体商业账户——并阻止了1000多个独特的以 ChatGPT为主题的恶意URL在其平台上共享。
Meta在ChatGPT浏览器插件和生产力工具中检测到DuckTail和 NodeStealer 等恶意软件,归因于越南黑客。
DuckTail是越来越多地使用AI主题诱饵瞄准受害者的恶意软件之一。DuckTail窃取浏览器cookie并劫持Facebook会话以检索受害者的帐户信息,例如位置数据和双因素身份验证代码。
Nodestealer恶意软件针对基于Windows的浏览器,目的是窃取 cookie并保存登录详细信息(例如用户名和密码)以危害受害者的Facebook、Gmail和Microsoft Outlook帐户。

4、Apple首次为Beats、
AirPods耳机发布安全更新
Apple为其Beats和AirPods产品发布了首个安全更新,以修补可被利用通过蓝牙攻击获取耳机访问权限的漏洞。
该缺陷被追踪为CVE-2023-27964,由谷歌ChromeOS的Yun-hao Chung和Archie Pusaka报告给了Apple。该漏洞被描述为身份验证问题。
“当您的耳机正在寻求与您之前配对的设备之一的连接请求时,蓝牙范围内的攻击者可能能够欺骗预期的源设备并获得对您耳机的访问权限,”Apple在其公告中解释道。
AirPods (5E133)的固件更新,包括Pro和Max型号,于4月11日发布,而Beats固件更新(5B66),包括Powerbeats Pro和Beats Fit Pro,于5月2日发布。
固件更新会在AirPods和Beats耳机充电时以及用户iPhone、iPad或Mac的蓝牙范围内自动传送。
用户可以在这些设备上检查他们的耳机是否运行最新的固件版本。Beats固件更新的可用性宣布之际,苹果和谷歌提出了一项标准,旨在防止依赖蓝牙进行位置跟踪的设备被滥用来跟踪人员。
Apple的AirTag等设备可用于寻找丢失或被盗的财产,但该产品也可能被跟踪者滥用。科技巨头希望制造商实施能够轻松检测不需要的跟踪的机制。 


5、数说安全《攻击面管理产品》报告发布

360以第一顺位入选国内代表性安全厂商

“攻击面管理”是2022年中国网络安全产业热度上升比较快的词,过去从事网络资源探测、漏洞管理、自动渗透测试工具产品研发的公司纷纷推出自己的攻击面管理产品,或给自己打上“攻击面管理”的标签。
数说安全为此分别做了供给侧、需求侧调研,对从事攻击面管理的26家国外厂商及21家国内厂商做了分析和总结,并展示了其中9家国内厂商的解决方案与案例。
其中,360数字安全集团以“看见“为中心的攻击面运营体系以第一顺位入选国内攻击面领域代表性安全厂商。
这套以“看见“为中心的攻击面运营体系,基于外部攻击者视角和内部安全运营视角,从传统IT资产、云资产、影子资产、新兴资产、数据资产等多个维度,看见资产、看见漏洞、看见风险,把资产、漏洞和风险统一生成攻击面,有效评估攻击防护措施。
这套方案已经在360数字安全集团某国有大型银行客户安全运营中心建设项目中投入使用,帮助客户对内外网攻击面进行全面梳理,实现分行总行资产、风险数据集中纳管,形成攻击面管理能力,支持各项日常安全运营工作开展,并具备突发安全事件定位能力。

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存