FreeBuf周报 | 越来越多的国家正为黑客“松绑”;WordPress插件漏洞暴露数百万网站
科技
2024-11-23 10:03
上海
![]()
各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
1. 涉嫌强迫用户共享数据,印度对Meta处以2500万美元罚款近日,印度竞争委员会已对社交媒体巨头 Meta 处以超过 2500 万美元的罚款,原因系该公司强迫 WhatsApp 用户同意与其他 Meta 平台全面共享数据。
2. 谷歌Gemini AI 聊天机器人不断让用户“去死”
一个在美国密歇根州的大学生用谷歌Gemini AI做作业,想写一篇关于老龄化带来的挑战及其应对方法的论文,结果和AI一番交流下来,Gemini竟然先对人类一顿贬低,最后多次对这名学生说“请去死吧!”
3. 越来越多的国家正在为黑客“松绑”?
近日,德国联邦司法部起草了一项法律,目的在于为白帽黑客提供法律保护,白帽黑客在检测并弥补IT安全漏洞时的行为将不再承担刑事责任,也不会面临被起诉的风险。但德国不是第一个立法保护白帽黑客的国家。
4. 苹果手机72小时不用会自动锁死?
苹果最新的移动操作系统iOS18似乎增加了一项未经记录的安全功能,如果设备在72小时内未使用,则会重新启动。这对任何试图在没有有效密码的情况下使用iOS设备的人都会产生影响,比如手机被盗或被扣押。
5. 麻省理工发布2024年最危险的漏洞TOP 25
麻省理工学院(MITRE)收集、分析了2023年6月至2024年6月之间披露3.1万个漏洞,并发布了2024年最危险的软件漏洞TOP 25名单。
有黑客冒充瑞士气象局(联邦气象和气候学办公室),以该部门的抬头发送纸质信件,其中包含一个二维码,要求收件人下载最新的“恶劣天气警报程序”。
2. Palo Alto Networks确认0Day漏洞正在被黑客利用
近日,全球网络巨头Palo Alto Networks确认旗下0Day漏洞正在被黑客利用,警告客户PAN-OS管理界面中存在一个远程代码执行漏洞,并建议客户确保PAN-OS管理界面访问的安全性。
3. VMware vCenter Server远程代码执行漏洞正被黑客广泛利用
11月18日,博通发布了紧急警告,称 VMware vCenter Server 中的两个关键漏洞现在正被广泛利用。
4. 美国饮用水系统存在300多个漏洞,影响1.1亿人
近日,美国环境保护署(EPA)监察长办公室(OIG)发布了一份研究报告,在对美国1062个饮用水系统进行了安全性缺陷评估活动之后,结果显示,超过300个饮用水系统存在系统漏洞,存在可能导致功能丧失、无法服务和用户信息泄露的风险。不安全的饮用水系统为1.1亿美国人提供服务。
5. 关键的WordPress插件漏洞导致超400万网站暴露
一个关键的认证绕过了漏洞被暴露在了WordPress的Really Simple Security(以前称为Really Simple SSL)插件中,如果此漏洞被利用,攻击者可以远程获得易受攻击网站的完全管理权限。
HTTP 请求走私是一种干扰网站处理从一个或多个用户接收的 HTTP 请求序列的方式的技术。请求走私漏洞本质上通常很严重,它允许攻击者绕过安全控制,获得对敏感数据的未经授权的访问,并直接危害其他应用程序用户。
2. 风险评估 | 记一次防勒索病毒的风险量化
安全风险评估是信息安全建设的起点和基础,通过科学的方法对资产存在的安全风险进行量化,使安全人员可以清楚的发现来自于内外部的种种威胁。
3. LLM attack中的API调用安全问题及靶场实践
近年来,各个公司都在急于集成大型语言模型 (LLM),以改善其在线客户体验。这使他们面临 Web LLM attacks,这些攻击利用模型对攻击者无法直接访问的数据、API 或用户信息的访问权限。1. 如何使用flare-floss自动从恶意软件中提取混淆字符串flare-floss是一款功能强大的恶意软件分析工具,该工具可以帮助广大研究人员自动从恶意软件中提取混淆字符串。
2. vulnhuntr:基于大语言模型和静态代码分析的漏洞扫描与分析工具
vulnhuntr是一款基于大语言模型和静态代码分析的安全漏洞扫描与分析工具,该工具可以算得上是世界上首款具备自主AI能力的安全漏洞扫描工具了。
3. cwe_checker:在二进制可执行文件中查找存在安全问题的模式
cwe_checker是一套用于检测常见错误类别(例如空指针取消引用和缓冲区溢出)的检查工具,这些错误类型可以将其称之为CWE。而该工具可以帮助广大研究人员快速找到潜在的易受攻击的代码路径,从而执行代码安全分析任务。![]()
