漏洞

軟件開(kāi)發(fā)商 Veritas 本周發(fā)布安全通告，聲稱其 Windows 平臺(tái)網(wǎng)絡(luò)備份系統(tǒng)工具 NetBackup 存在一項(xiàng)提權(quán)漏洞，黑客可利用該漏洞遠(yuǎn)程執(zhí)行代碼

與此同時(shí)，該法案也規(guī)定了更嚴(yán)厲的懲罰措施：今后，特別是涉及數(shù)據(jù)監(jiān)控和攔截的重大案件將受到比以往更嚴(yán)厲的處罰。

AI 首次發(fā)現(xiàn)真實(shí)世界中的重大安全漏洞？SQLite 中的一個(gè)漏洞，幸運(yùn)地被谷歌研究者的 AI Agent 發(fā)現(xiàn)了，修復(fù)后并未造成任何損失。莫非 AI 再進(jìn)化一番，微軟的全球藍(lán)屏事故就可以永久避免了？這個(gè)可能性令人激動(dòng)不已。

PC 版 ChatGPT 客戶端曝“記憶”功能漏洞，黑客可利用惡意文件令 AI 轉(zhuǎn)發(fā)對(duì)話記錄，這項(xiàng)漏洞稱為 SpAIware，黑客可通過(guò)釣魚形式讓受害者在 PC 版 ChatGPT 客戶端中上傳特定文件讓 AI 分析，一旦分析成功，AI 便會(huì)“記住將用戶的后續(xù)對(duì)話內(nèi)容分享至黑客留下的郵箱中”，目前 OpenAI 已發(fā)布新版應(yīng)用進(jìn)行修補(bǔ)。

Linux 圈曝出嚴(yán)重遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，已存在 10 多年，影響所有 GNU / Linux 發(fā)行版，目前尚未有修復(fù)補(bǔ)丁，不過(guò)可以緩解。

英睿達(dá)MX500 是一款經(jīng)典SATA SSD，其雖經(jīng)歷多次物料變動(dòng)但主控均來(lái)自慧榮，本次漏洞同主控有關(guān)。

網(wǎng)絡(luò)安全公司 Flashpoint 發(fā)布最新報(bào)告，稱 2024 年上半年（1-6 月）累計(jì)發(fā)現(xiàn) 17518 個(gè)漏洞，數(shù)量同比增加 11%，其中超過(guò) 45% 的漏洞 CVSSv3 中被評(píng)為“高?！被颉瓣P(guān)鍵”。

AMD 當(dāng)?shù)貢r(shí)間本月 9 日發(fā)布的初期更新計(jì)劃中不包含代號(hào)“Matisse”的銳龍 3000 系列臺(tái)式機(jī)處理器。

谷歌宣布將于 8 月底終止其運(yùn)行近 7 年的 Google Play 安全獎(jiǎng)勵(lì)計(jì)劃（GPSRP）。谷歌在近日發(fā)送給開(kāi)發(fā)者的郵件中表示，由于 Android 操作系統(tǒng)安全性的整體提升和功能加固工作的進(jìn)展，可供安全研究人員挖掘的漏洞數(shù)量減少，因此決定結(jié)束 GPSRP 計(jì)劃。該計(jì)劃將于 8 月 31 日正式終止，此前提交的漏洞報(bào)告將在 9 月 15 日前進(jìn)行評(píng)估，最終獎(jiǎng)勵(lì)決定將于 9 月底做出。

Adreno GPU 驅(qū)動(dòng)在系統(tǒng)內(nèi)核中擁有深層權(quán)限，而安卓應(yīng)用可直接同高通 Adreno GPU 驅(qū)動(dòng)通信。

近期 AMD 處理器被曝出存在名為“Sinkclose”的重大安全漏洞，該漏洞由安全研究機(jī)構(gòu) IOActive 發(fā)現(xiàn)，據(jù)稱影響了自 2006 年以來(lái)的大多數(shù) AMD 處理器。AMD 方面已承認(rèn)該漏洞存在，并開(kāi)始針對(duì)部分芯片發(fā)布安全更新，但據(jù) Tom's Hardware 報(bào)道，Ryzen 1000、2000、3000 系列以及 Threadripper 1000、2000 系列處理器將無(wú)法獲得修復(fù)補(bǔ)丁。AMD 表示，這些產(chǎn)品已超出軟件支持周期。

三星還透露，該公司已經(jīng)為 2023 年漏洞賞金計(jì)劃支付了 827925 美元（當(dāng)前約 592.3 萬(wàn)元人民幣），共有 113 名安全研究人員參與了移動(dòng)安全獎(jiǎng)勵(lì)計(jì)劃。

谷歌在最新的 Pixel 月度更新中披露了一個(gè)嚴(yán)重的安全漏洞 (CVE-2024-32896)，該漏洞可能正被攻擊者利用。更令人擔(dān)憂的是，這是一個(gè)零日漏洞，意味著谷歌在漏洞被發(fā)現(xiàn)時(shí)并不知情，也沒(méi)有修復(fù)方案。谷歌將此漏洞列為“高危漏洞”。

Phoenix SecureCore UEFI 固件被曝安全漏洞，影響數(shù)百款英特爾 CPU 設(shè)備，聯(lián)想目前已經(jīng)發(fā)布了新的固件更新修復(fù)該漏洞。

韓國(guó)安全研究團(tuán)隊(duì)曝光了名為 TIKTAG 的全新推測(cè)執(zhí)行攻擊手段，以 ARM 的內(nèi)存標(biāo)記擴(kuò)展（MTE）為目標(biāo)，可以繞過(guò)防止內(nèi)存損壞的關(guān)鍵保護(hù)機(jī)制，且成功率高達(dá) 95% 以上。

CVE-2024-1086 是一個(gè)高危 use-after-free 漏洞，于 2024 年 1 月 31 日首次披露，存在于 netfilter: nf_tables 組件中，相關(guān)漏洞代碼于 2014 年 2 月的一項(xiàng)提交并入。

這是國(guó)內(nèi)首個(gè)自主挖掘的 RISC-V 處理器設(shè)計(jì)上可遠(yuǎn)程利用的中危漏洞，也是國(guó)內(nèi)首個(gè)處理器硬件安全領(lǐng)域國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目 —— 納米級(jí)芯片硬件綜合安全評(píng)估關(guān)鍵技術(shù)研究的重要進(jìn)展。

開(kāi)源代碼托管平臺(tái) GitLab 昨日發(fā)布公告，修復(fù)了 1 個(gè)高危和 6 個(gè)中危漏洞，并敦促用戶盡快升級(jí)到最新版本。

英特爾更新重點(diǎn)修復(fù)了旗下用于模型壓縮的開(kāi)源 Python 庫(kù)“Neural Compressor”一項(xiàng)提權(quán)漏洞 CVE-2024-22476。這項(xiàng)編號(hào)為 CVE-2024-22476 的漏洞 CVSS 評(píng)級(jí)為滿分 10 分，主要與“輸入驗(yàn)證不當(dāng)”有關(guān)，黑客可以遠(yuǎn)程利用相關(guān)漏洞提權(quán)，英特爾目前已經(jīng)推出了 Neural Compressor 2.5.0 版修復(fù)相關(guān)漏洞。

據(jù)彭博社報(bào)道，谷歌正試圖利用微軟最近備受關(guān)注的網(wǎng)絡(luò)安全漏洞，通過(guò)大幅折扣優(yōu)惠來(lái)吸引企業(yè)和政府機(jī)構(gòu)客戶轉(zhuǎn)投其旗下辦公協(xié)作軟件 Google Workspace 的懷抱，而非微軟的 Office 系列產(chǎn)品。