高通公布3个芯片里的高危安全漏洞 已被武器化

Google威胁情报小组以及GoogleZeroProject团队已经在10月份透露高通芯片中出现新漏洞并且已经在野外遭到利用，这些漏洞的利用是有限的和有针对性的，一般来说都是黑客集团进行针对性的攻击，例如间谍行为。目前还不清楚这些漏洞怎么被武器化以及发起攻击的幕后黑手是谁，Google本周公布Android2023-12安全公告的时候透露了这些漏洞。现在高通也在安全公告里公布了这些漏洞，CVSS评分都非常高：第一个漏洞是CVE-2023-33063，CVSS评分为7.8分，描述是从HLOS到DSP的远程调用期间内存损坏；第二个漏洞是CVE-2023-33106，CVSS评分为8.4分，描述是在向IOCTL_KGSL_GPU_AUX_COMMAND提交AUX命令中的大量同步列表时导致图形内存损坏；第三个漏洞是CVE-2023-33107，CVSS评分为8.4分，描述是IOCTL调用期间分配共享虚拟内存区域时，图形内存损坏除了这些漏洞外，Android2023-12安全公告里还解决了85个缺陷，其中系统组件里有个高危漏洞是CVE-2023-40088，该漏洞可能导致远程代码执行而且不需要任何交互。接下来相关漏洞补丁会发布的AOSP里供OEM获取然后适配机型发布更新，所以用户什么时候能收到更新主要取决于OEM了。标签:#高通频道:@GodlyNews1投稿:@GodlyNewsBot

付费杀毒软件ESET将360安全卫士的安装包标记为”不受欢迎的应用程序

付费杀毒软件ESET将360安全卫士的安装包标记为”不受欢迎的应用程序“如题，PC上安装的ESET杀毒软件在用户尝试下载360安全卫士时弹出警告窗口，提示此软件”不受欢迎“。ESET貌似将奇虎360公司的相关软件加入了其维护的”不受欢迎应用程序“的列表中，并将它们标记为：Win32/Qihoo360.K在查毒网站Virustotal上扫描文件后，一共有两个杀毒引擎提示360安全卫士有”流氓软件“风险，ESET是其中之一。投稿：@ZaiHuaBot频道：@TestFlightCN

Chrome浏览器曝高危漏洞 Google敦促30亿用户尽快更新

Chrome浏览器曝高危漏洞Google敦促30亿用户尽快更新但作为一个基于新版本推送的版本更新，它无疑将与已经停止新版Chrome支持的Windows7、Windows8.1等老版本用户无关，Google也并未向老版本系统用户给出任何解决方案。本次被发现的漏洞编号为CVE-2023-2033，它是一个出现在Chrome浏览器V8JavaScript引擎中的类型混淆漏洞。此类漏洞的本质是一种允许使用错误的类型访问内存的Bug，会导致越界读写内存。具体到CVE-2023-2033漏洞上，黑客能够利用它制作一个恶性的HTML页面，并通过堆内存的损坏来执行任意代码。...PC版：https://www.cnbeta.com.tw/articles/soft/1355183.htm手机版：https://m.cnbeta.com.tw/view/1355183.htm

Chrome 浏览器存在严重的安全漏洞，这个漏洞被命名为 CVE-2023-2033，是一个类型混淆漏洞，出现在 Chrome

Chrome浏览器存在严重的安全漏洞，这个漏洞被命名为CVE-2023-2033，是一个类型混淆漏洞，出现在Chrome浏览器使用的V8JavaScript引擎中。类型混淆漏洞是一种允许使用错误的类型访问内存的Bug，从而导致越界读写内存。这个漏洞的危险之处在于，黑客可以制作一个恶意的HTML页面，利用堆内存的损坏来执行任意代码。根据谷歌的威胁分析组（TAG）的报告，这个漏洞已经被黑客利用。虽然目前还没有公布这个漏洞的具体影响范围和危害程度，但谷歌将其定为“高”级别的问题。谷歌已经发布版本为112.0.5615.121的安全更新修复了这个漏洞，建议用户更新。()(话说那些国产套壳浏览器怎么办，也会更新吗？)频道：@TestFlightCN

华硕7款消费级路由器存在高危安全漏洞 涉及AX88U、AX58U、AC86U等

华硕7款消费级路由器存在高危安全漏洞涉及AX88U、AX58U、AC86U等华硕在上周发布安全公告透露7款华硕热门的消费级路由器存在高危安全漏洞，攻击者借助这些漏洞可以绕过身份验证直接远程登录路由器，登录路由器后就可以窃取信息亦或者篡改DNS设置将用户引导到钓鱼网站等。其中危害程度最高的是CVE-2024-3080漏洞，该漏洞属于鉴权绕过也就是可以无视身份验证，CVSS评分为9.8分/10分。第二个高危漏洞是CVE-2024-3079，该漏洞属于堆栈缓冲区溢出问题，具备管理权限的攻击者可以在路由器上执行任意指令。这些漏洞影响的消费级路由器包括：ZenWiFiXT8ZenWiFiXT8_V2RT-AX88URT-AX58URT-AX57RT-AC86URT-AC68U华硕在公告中说是这些漏洞已经通过新版固件进行修复，不过蓝点网检查后暂未找到更新后的固件链接，使用上述路由器的用户可以登录路由器后转到系统管理里检查固件更新，看看有没有近期发布的新固件。需要提醒的是固件发布日期一般会更靠前，即厂商会在固件发布之后才会发布安全公告，因此安全公告发布日期与固件更新日期可能是不同的。除了两个高危漏洞外华硕还修复了多个其他漏洞，包括华硕下载大师客户端软件，该软件也存在漏洞，新发布的版本为3.1.0.114版。华硕建议用户立即更新到最新固件/最新版本，如果无法立即更新则应当使用高强度账号密码并禁用任何远程访问功能，包括WAN远程访问、端口转发、DDNS、DMZ和端口触发等。...PC版：https://www.cnbeta.com.tw/articles/soft/1435176.htm手机版：https://m.cnbeta.com.tw/view/1435176.htm

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】

【CertiK：苹果iOS内核存在的两个安全漏洞会对iOS设备造成影响】2023年08月09日10点40分老不正经报道，根据苹果公司最新操作系统更新的发布说明，区块链安全机构CertiK因与苹果iOS内核的两个安全漏洞有关的安全贡献获苹果官方认可。经证实，这些漏洞会对最新的iOS设备造成影响。据苹果公司官方安全更新页面信息显示，这些漏洞会允许“一个应用程序以内核权限执行任意代码”。在最新发布的版本中，苹果已通过改进内存处理来解决这些漏洞。