• 苹果修补两大零日漏洞
Apple Patches Two Major Zero-Day Flaws
苹果公司近日紧急推出了一系列安全更新,用于修补在其软件平台中发现的两个严重的零日漏洞。其中一个漏洞存在于JavaScriptCore内,可允许远程代码执行(CVE-2024-44308),另一个则关联到WebKit中的Cookie管理缺陷,可能会触发跨站脚本(XSS)攻击(CVE-2024-44309)。这两大漏洞不仅波及到了macOS、iOS、iPadOS等多个操作系统,还特别危及基于Intel架构的Mac计算机使用者。
• AppleAVD内核扩展的轻量级用户空间模糊测试方法探索
Simple macOS kernel extension fuzzing in userspace with IDA and TinyInst
本文深入探讨了在Apple平台上针对AV1解码的硬件和软件层面的安全研究,作者Ivan Fratric通过创新的方法实现了对AppleAVD内核扩展的有效模糊测试。这是首次详细公开如何在用户空间加载并运行该内核代码进行安全分析的技术细节。
• AI助力发现OpenSSL等开源项目中隐藏二十年的漏洞:OSS-Fuzz的应用与成效
Google's AI-Powered OSS-Fuzz Tool Finds 26 Vulnerabilities in Open-Source Projects
本文亮点在于,谷歌的AI模糊测试工具OSS-Fuzz通过人工智能技术发现了包括OpenSSL在内的多个开源代码库中的26个漏洞,其中最引人注目的是在OpenSSL中发现的一个存在了二十年之久、人类编写的目标无法检测到的安全问题。
• 恶意二维码信件引发银行木马攻击
Malicious QR Code Letters Deliver Banking Trojan
近期发生了一系列通过含有恶意二维码的传统邮件进行的网络攻击事件,在瑞士尤为突出。这些邮件伪装成来自官方机构的信息,诱骗接收者扫描其中的二维码并下载貌似正规的应用程序,实际上是高度复杂的银行特洛伊木马病毒。此类木马具备远程操控能力、高阶混淆技术和凭据盗窃功能,主要针对欧洲、美洲地区展开行动。
• 卡巴斯基揭露针对Python包索引的供应链攻击:JarkaStealer潜伏近一年
Malicious PyPi Package Mimic ChatGPT & Claude Steals Developers Data
卡巴斯基全球研究与分析团队(GReAT)最近揭露了一起针对Python包索引(PyPI)的复杂供应链攻击,恶意软件通过伪装成AI聊天机器人工具,在近一年的时间内未被发现。此文章揭示了网络安全领域的一个重要案例,展示了如何在看似合法的技术应用中隐藏威胁。
• Ubuntu Needrestart 工具重大本地提权漏洞曝光
Critical Local Privilege Escalation Vulnerabilities Revealed in Ubuntu's Needrestart Utility
安全公司Qualys的研究人员揭露了一系列长期隐匿的重大本地权限提升(LPE)漏洞,这些漏洞位于广泛使用的Linux工具Needrestart之中,并且自2014年以来一直存在于Ubuntu服务器的核心组件里。这五个漏洞(CVE编号包括但不限于CVE-2024-48990到CVE-2024-11003)涉及到对Python、Ruby和Perl环境的不恰当管理和使用,从而导致攻击者能够在没有用户干预的情况下将权限提升至root等级。这一事件不仅突显出老旧代码库中存在的风险,也强调了持续进行安全审计的重要性。
• 成果分享 | Neural Dehydration:水印类型无关的通用黑盒模型水印移除攻击
Intelligent Disruption: A Novel Universal Removal Strategy for Black-box Model Watermarks - Dehydra
本篇文章介绍了‘白泽智能’团队研发的一种名为'Neural Dehydration'(简称'Dehydra')的新技术,这是一种能够从深度神经网络(DNNs)中高效去除黑箱水印的方法,即使是在有限的数据条件下亦可实施,甚至能在无任何数据的情境下完成水印消除任务。此成果已在ACM计算机及通信安全大会(CCS 2024)获得认可。
* 查看或搜索历史推送内容请访问:
https://sectoday.tencent.com/
* 新浪微博账号: 腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号: 腾讯玄武实验室
