每日安全动态推送(24/10/28)

文摘   科技   2024-10-28 15:06   北京  

•  生成式AI在选举中的应用:超越政治颠覆的范畴
Generative AI in Elections: Beyond Political Disruption

本文深入探讨了生成式人工智能在选举中的应用,不仅揭示了国家行为者利用深度伪造技术破坏政治声誉的威胁,还首次系统地分析了网络犯罪分子如何运用大型语言模型进行大规模社会工程攻击。特别是在美国大选背景下,这种技术的应用可能引发更广泛的网络安全问题。


•  “Windows Downdate”攻击:黑客降级 Windows 以利用已修补的漏洞
Windows Downdate: A Novel Attack Method Re-exposes Patched Systems

本文揭示了一种新颖且危险的攻击手法——'Windows Downdate',黑客可通过这一手段回退Windows系统的更新状态至存在已知漏洞的早期版本,进而获取高权限执行能力。这项发现尤其引人关注的是其突破了传统防御机制的能力,即便是最新版全打补丁的Windows 11也无法幸免。


•  Fortinet FortiManager 零日漏洞 CVE-2024-47575
Critical Zero-Day Vulnerability in FortiManager - CVE-2024-47575

最近公开的一项严重零日漏洞(CVE-2024-47575)影响了Fortinet的核心管理平台FortiManager,该漏洞源自于fgfmd守护进程中缺少适当的身份验证机制,允许未经许可的远程攻击者执行任意代码。此漏洞已经被多个恶意实体在真实场景下加以利用,造成敏感数据泄露,例如IP地址、凭证和其他重要信息。Fortinet已经发布紧急补丁和一系列缓解策略。


•  cryptocoinjs的secp256k1-node中ECDH私钥提取漏洞分析与修复
Private key extraction over ECDH

本文揭示了在基于ECC的加密中,由于对压缩公钥缺乏曲线检查导致的安全漏洞。攻击者可利用此弱点从仅需11次ECDH会话的信息提取私钥,这是一项重大发现。


•  ChatGPT中的高级API攻击以及AI供应链漏洞
Advanced Attack Techniques against ChatGPT APIs and Analysis of AI Supply Chain Vulnerabilities

本文揭示了针对先进人工智能系统的两大关键网络安全威胁——一个是利用ChatGPT服务器架构实现的速率限制绕过技术;另一个则是揭露了AI供应链中的严重漏洞,具体涉及H2O及MLflow这两个流行的人工智能平台上存在的远程代码注入风险。文章不仅详细介绍了如何识别和复现这些问题,还展示了潜在的安全隐患及其可能导致的影响。


•  先知模糊测试:基于大型语言模型的高风险选项组合预测与全自动模糊测试
NASP-THU/ProphetFuzz: [CCS'24] An LLM-based, fully automated fuzzing tool for option combination testing.

本文介绍的"ProphetFuzz"是一个基于大型语言模型(LLM)的全自动模糊测试工具,能够仅通过文档预测并自动对高风险选项组合进行模糊测试。该方法无需人工干预,显著提高了自动化安全检测的能力和效率。


•  11.Json.Net反序列化点(前篇)以及XamlImageInfo、GetterSecurityException相关链
In-Depth Exploration: JSON.NET Deserialization Security Risks and Defense Strategies

本文深入探讨了Json.NET库在处理JSON数据过程中的安全性问题,特别是针对反序列化过程中可能存在的远程代码执行(RCE)风险进行了详细的技术剖析。文章亮点在于全面地展示了不同场景下的安全威胁模型以及如何构建有效的payload以触发这些漏洞。


* 查看或搜索历史推送内容请访问:
https://sectoday.tencent.com/
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号: 腾讯玄武实验室


腾讯玄武实验室
腾讯玄武实验室官方微信公众号
 最新文章