【在Offchain Labs指出后，Optimism已修补关键测试网缺陷】

【在OffchainLabs指出后，Optimism已修补关键测试网缺陷】2024年04月27日04点48分老不正经报道，Optimism在得知这些问题至少几周后，修复了其测试网的两个关键漏洞。首先发现这些漏洞的OffchainLabs在周五表示，Optimism在4月25日更新了其测试网。这些已修复的安全漏洞原本允许恶意行为者操纵链的历史并执行其他“微妙的攻击”，该软件公司说。3月22日，OffchainLabs向Optimism报告了其测试网的两个问题：恶意行为者可能迫使OPStack欺诈证明机制接受一个欺诈性的链历史，以及一个利用者可能阻止它接受一个正确的链历史。“这些都是难以解决的问题，”作为Optimism的竞争对手的OffchainLabs在声明中说。它补充说，欺诈证明协议及其时间方面的设计“非常困难”。据OffchainLabs称，Optimism此后修改了其定时处理代码以修复这些漏洞。

【Offchain Labs公开披露OP Stack欺诈证明中的两个严重漏洞】

【OffchainLabs公开披露OPStack欺诈证明中的两个严重漏洞】2024年04月26日09点53分4月26日消息，Arbitrum研发团队OffchainLabs宣布曾在3月22日向OPLabs团队披露了其在Optimism测试网上发现的两个严重的安全漏洞，这些漏洞存在于OPLabs部署的Optimism欺诈证明系统中，OffchainLabs向OPLabs团队提供了用于攻击的演示性利用代码。3月25日，OPLabs确认了这两个问题的有效性，双方协调了漏洞披露时间。OPLabs要求OffchainLabs在漏洞得到解决之前暂时不要公开披露这些漏洞。昨天晚些时候（4月25日），Optimism测试网进行了更新，今天OffchainLabs首次披露了这些漏洞。这些漏洞允许恶意方强制OPStack欺诈证明机制接受欺诈的链历史，或者阻止OPStack欺诈证明机制接受正确的链历史。这些问题源于OP欺诈证明设计在处理计时器方面的缺陷。

微软已发布补丁来修复两个流行开源库中的零日漏洞

微软已发布补丁来修复两个流行开源库中的零日漏洞微软已发布补丁来修复两个流行开源库中的零日漏洞，这些漏洞影响了多个微软产品，包括Skype、Teams及其Edge浏览器。但微软不愿透露这些零日漏洞是否已经被利用来攻击其产品。谷歌和公民实验室的研究人员表示，这两个漏洞是上个月发现的，并且这两个漏洞已被积极利用来针对个人进行间谍软件攻击。这些漏洞是在两个常见的开源库webp和libvpx中发现的，这两个漏洞编号分别是(CVE-2023-4863)和(CVE-2023-5217)，这些库被广泛集成到浏览器、应用和手机中，用于处理图像和视频。微软在周一发布的中表示，已经推出了修复程序，解决了其产品中集成的webp和libvpx库的两个漏洞，并承认这两个漏洞都是存在的漏洞。但拒绝透露其产品是否在实际中受到了漏洞的利用。——

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新，修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。这两个漏洞是在WebKit（为Safari和其他应用程序提供动力的浏览器引擎）和内核（基本上是操作系统的核心）发现的。这两个漏洞同时影响了iOS和iPadOS以及macOSMonterey。苹果公司说，如果有漏洞的设备访问或处理"恶意制作的网页内容可能导致任意代码执行"，WebKit的漏洞就会被利用，而第二个漏洞允许恶意应用程序"以内核权限执行任意代码"，这意味着对设备的完全访问。这两个缺陷被认为是相关的。...苹果公司表示，iPhone6s及以后的机型、iPadAir2及以后的机型、iPad第五代及以后的机型、iPadmini4及以后的机型和iPodtouch（第七代），以及所有iPadPro机型都受到影响。——

【Optimism开发人员：在Optimi上创建ETH的漏洞已被修复】

【Optimism开发人员：在Optimism上创建ETH的漏洞已被修复】2月11日消息，以太坊二层扩容方案Optimism开发人员表示，一个严重错误已经在本月早些时候完成修复。根据Optimism博客文章中所述，该团队表示相关漏洞是在该项目以太坊客户端Geth分叉中发现的，具体而言，该漏洞可以通过在持有ETH余额的合约上反复触发SELFDESTRUCT操作码，导致在Optimism上创建ETH成为可能。该团队表示，根据其分析，除了以太坊数据初创公司Etherscan的一名工作人员意外激活外，该漏洞未被利用，在确认漏洞后几个小时候，Optimism就对该漏洞修复进行了测试并部署到Optimism的Kovan和Mainnet网络（包括所有基础设施提供商）。据悉，发现该漏洞的开发人员JayFreeman获得了2,000,042美元赏金。

微软称两个新的Exchange零日漏洞已受到主动攻击 但没有立即修复

微软称两个新的Exchange零日漏洞已受到主动攻击但没有立即修复微软已经证实，两个未打补丁的Exchange服务器零日漏洞正被网络犯罪分子在现实世界攻击中利用。越南网络安全公司GTSC在2022年8月首次发现了这些缺陷，是其对客户网络安全事件的部分回应，该公司表示，这两个零日漏洞已被用于对其客户环境的攻击，时间可追溯到2022年8月初。PC版：https://www.cnbeta.com/articles/soft/1322709.htm手机版：https://m.cnbeta.com/view/1322709.htm