研究人员发现的加密货币钱包第一个漏洞 (CVE-2023-33241) 影响 GG18 和 GG20 门限签名方案 (TSS),这些方案被认为是 MPC 钱包行业的开创性和基础性的,允许多方生成密钥和共同签署交易。在 GG-18、GG-20 和 Lindell 17 等广泛使用的加密协议的实施中,多个名为“BitForge”的零日漏洞影响了流行的加密货币钱包提供商,包括 Coinbase、ZenGo、Binance 等。这些漏洞可能允许攻击者在几秒钟内窃取受影响钱包中存储的数字资产,而无需与用户或供应商交互。
开源项目 Moq(发音为“Mock”)因其在其最新版本中悄悄包含有争议的依赖项而招致了尖锐的批评。Moq 分布在 NuGet 软件注册表上,每天的下载量超过 100,000 次,在其生命周期内下载量超过 4.76 亿次。Moq 本周发布的 4.20.0 版本悄然包含了另一个项目 SponsorLink,该项目在开源软件消费者中引起了轩然大波,他们将此举比作违反信任。SponsorLink 看似开源项目,实际上是作为闭源代码在 NuGet 上提供的,并且包含混淆的 DLL,这些 DLL 收集用户电子邮件地址的哈希值并将其发送到 SponsorLink 的 CDN,引发了隐私问题。
https://securityaffairs.com/149392/hacking/whirlpool-backdoor-barracuda-esg-attacks.html
美国网络安全和基础设施安全局 (CISA) 在针对 Barracuda ESG 设备的攻击中发现了一个名为 Whirlpool 的新后门。
https://securityaffairs.com/149359/data-breach/psni-data-leak.html
北爱尔兰警察局 (PSNI) 应信息自由请求错误地共享了所有 10,000 名在职警察的敏感数据。
https://www.securityweek.com/40-vulnerabilities-patched-in-android-with-august-2023-security-updates
随着 2023 年 8 月安全更新的发布,Google 修复了 Android 操作系统中的 40 多个漏洞。 据这家科技巨头称,最严重的漏洞是 CVE-2023-21273,这是一个影响系统组件的关键远程代码执行问题。利用该漏洞不需要用户交互或提升权限。CVE-2023-21273 影响 Android 11、12、12L 和 13。
https://thehackernews.com/2023/08/encryption-flaws-in-popular-chinese.html
多伦多大学公民实验室的调查结果对腾讯搜狗输入法中使用的加密机制进行了分析,该应用程序在 Windows、Android 和 iOS 上每月拥有超过 4.55 亿活跃用户。这些漏洞源于该服务的自定义加密系统 EncryptWall,允许网络窃听者提取文本内容并访问敏感数据。“Windows和Android版本的搜狗输入法在该加密系统中存在漏洞,其中包括CBC padding oracle攻击的漏洞,该漏洞允许网络窃听者恢复加密网络传输的明文,从而泄露包括用户输入内容在内的敏感信息,”研究人员表示。
https://www.freebuf.com/news/374397.html
近日,国内多家媒体相继发文称,前 58 员工透露集团内部借助招聘名义,倒卖大量学生简历,此事一经爆出迅速引起社会讨论。随着此事热度不断上升,网友陆续扒出 58 集团在收集到大批学生简历后,高价卖给培训机构,以此收取返利。
https://www.freebuf.com/news/374385.html
谷歌宣布,从Chrome浏览器116版本开始,其安全更新频率将从过去的每两周一次压缩为每周一次,以解决攻击者通过补丁更新的时间间隔,利用N Day和0 Day漏洞进行攻击活动。
https://www.ithome.com/0/711/030.htm
挪威监管机构 Datatilsynet 曾于 7 月 17 日宣布,如果 Meta 公司无法满足该机构的监管要求,妥善解决隐私泄露问题,那么将执行罚款措施。
https://www.secrss.com/articles/57535
黑客可利用常旅客系统漏洞窃取客户隐私数据和积分,甚至控制整个系统给任何人授予无限飞行里程或酒店住宿积分。Points.com是全球航空公司和酒店常旅客积分计划的主要数字基础设施提供商之一。近日,安全研究人员发现Points.com的API中存在可利用漏洞,攻击者可利用这些漏洞泄漏客户数据、窃取客户的“忠诚货币”(例如里程),甚至接管Points全球管理帐户获得对整个忠诚度计划的控制权。
以上内容原文来自互联网的公共方式,仅用于有限分享,译文内容不代表蚁景网安实验室观点,因此第三方对以上内容进行分享、传播等行为,以及所带来的一切后果与译者和蚁景网安实验室无关。以上内容亦不得用于任何商业目的,若产生法律责任,译者与蚁景网安实验室一律不予承担。