每日安全动态推送(24/11/26)

文摘   科技   2024-11-26 16:01   北京  

•  人工智能引发数字货币盗取:从ChatGPT到私钥泄漏的安全警钟
AI Sparks Crypto Heist: From ChatGPT to Private Key Leak - A Wake-up Call for Security

一系列涉及人工智能和数字钱包安全性的事件中,开发人员在使用ChatGPT编写代码时不慎泄露私钥,导致大量USDT被非法转移;此外,一起由于ChatGPT生成含恶意API调用代码而引起的资金丢失事件也浮出水面,凸显了语言模型污染可能给用户资产带来风险。


•  多浏览器数据提取利器:SharpWeb与Sharp4FirefoxCookie
Multi-browser Data Extraction Tools: SharpWeb & Sharp4FirefoxCookie

近期出现两款强大的数据提取工具—SharpWeb 和 Sharp4FirefoxCookie,它们分别能够从各种主流浏览器中批量提取敏感信息,包括密码、Cookie、浏览历史、下载列表和书签;其中,SharpWeb支持最新的Chromium核心浏览器及其Cookie加密技术的破解,而Sharp4FirefoxCookie则专门针对Firefox浏览器进行Cookie数据的精确提取。


•  美国饮用水系统大规模网络安全漏洞曝光
Massive Cybersecurity Vulnerabilities Uncovered in U.S. Drinking Water Systems

近日,美国环保署监察长办公室发布报告称,经检查的1062个饮用水系统中有超过300个存在显著的安全漏洞,直接威胁到了约1.1亿人的饮水安全。这些漏洞涵盖了从关键或高危漏洞至易于外部入侵的开放端口等多个层次的问题,暴露出管理层面对于网络安全认识不足以及因使用过时装备所带来的附加风险。


•  谷歌AI工具OSS-Fuzz发现OpenSSL重大漏洞
Google's AI-Powered OSS-Fuzz Discovers Significant Vulnerability in OpenSSL

谷歌的AI驱动工具OSS-Fuzz成功检测到了OpenSSL加密库内存在超过二十年的重要边界跨越内存写入错误(CVE-2024-9143),该漏洞有可能导致应用崩溃甚至远程代码执行。此次发现凸显了AI在提升软件安全性方面的巨大潜能。


•  Docker逃逸详解(一)
In-depth Analysis of Docker Escape Techniques and Prevention Strategies

本文深入探讨了Docker环境中存在的逃逸技术及其背后的原理,详细分析了特权模式滥用、内核漏洞及软件设计缺陷如何成为安全隐患的关键点。文章亮点在于全面揭示了从Docker容器获得宿主机控制权的各种途径和技术细节。


•  7-Zip多处漏洞致远程代码执行与拒绝服务
Multiple Vulnerabilities in 7-Zip Lead to RCE & DoS

最近发现了一系列严重的安全性问题存在于广受欢迎的文件压缩工具7-Zip之中。其中最引人注目的两个漏洞分别是CVE-2024-11612和CVE-2024-11477,前者能够引起无限循环拒绝服务状况;后者则由于Zstandard解压过程中存在的整数下溢问题而允许远程代码执行。这些问题均源自对于用户提交数据的有效性和范围检查不足,使得攻击者有机会在目标系统的进程内注入或执行恶意代码。


* 查看或搜索历史推送内容请访问:
https://sectoday.tencent.com/
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号: 腾讯玄武实验室


腾讯玄武实验室
腾讯玄武实验室官方微信公众号
 最新文章