7-Zip 发现一个提权漏洞

7-Zip发现一个提权漏洞开源压缩程序7-Zip中发现了一个安全漏洞。该漏洞可能导致攻击者被赋予更高的权利。该漏洞被称为CVE-2022-29072。正如Deskmodder所写，该漏洞影响到7-Zip的构建，直到目前的21.07版本。攻击者可以选择操纵输入，从而获得更高权限。据说还有可能通过网络执行输入，从而利用这个漏洞。目前还不清楚是否已经存在漏洞并在实践中使用。…通常，7-Zip的更新很快就会推出，它将消除这个错误并调整帮助文件。。——winfuture

7-Zip(压缩解压缩软件) v23.01 美化增强版

名称：7-Zip(压缩解压缩软件)v23.01美化增强版描述：7-Zip是一款免费的文件压缩/解压软件，拥有极高的压缩率。它特有的高解压速率，是其它的压缩软件难以相比的。它源自LZ77的优化改进的LZMA算法，具有高压缩率、可变的字典大小、高解压速率、低解压内存消耗等优点，现已被很多脚本安装程序作为默认的压缩算法。链接：https://pan.quark.cn/s/b15c153ae440大小：3.1M标签：#压缩#解压缩#quark频道：@yunpanshare群组：@yunpangroup

俄语版的带毒7-Zip在微软应用商店骗了很多中文用户 目前已被微软下架

俄语版的带毒7-Zip在微软应用商店骗了很多中文用户目前已被微软下架据企业安全公司奇安信本月中旬发布的消息，奇安信威胁情报中心在日常运营中发现了一个异常行为，一个名为WindowsPackageManagerServer的进程经过复杂的操作最终启动了面纱的LummaSealer。针对该异常奇安信进行了调查，随后发现根源之一竟然来自微软商店，一款俄语版的7-Zip携带了相关病毒。（）投稿：@TNSubmbot频道：@TestFlightCN

MIT 研究人员发现苹果 M1 芯片无法修复的硬件漏洞

MIT研究人员发现苹果M1芯片无法修复的硬件漏洞MIT研究人员发现苹果M1芯片存在一个无法修复的硬件漏洞，允许攻击者突破最后一道安全防线。漏洞存在于M1芯片硬件层安全机制PAC（pointerauthenticationcodes）中。PAC旨在加大向硬件内存注入恶意代码的难度，为抵御缓冲区溢出漏洞增加一层防御。但MIT的研究人员开发出了一种新颖的硬件攻击Pacman，利用预测执行泄露PAC验证结果。研究人员证明该攻击对系统内核也有效。攻击是在本地进行的，攻击者需要登陆进系统并安装一个定制的kext，操作难度很大。——IEEESpectrum，solidot

WinRAR 高危漏洞，允许攻击者远程执行恶意代码

WinRAR高危漏洞，允许攻击者远程执行恶意代码此漏洞允许远程攻击者在受影响的RARLABWinRAR安装中执行任意代码。利用此漏洞需要用户交互，因为目标必须访问恶意页面或打开恶意文件。该特定缺陷存在于恢复卷的处理中。该问题是由于缺乏对用户提供的数据进行正确验证而导致的，这可能会导致内存访问超出已分配缓冲区的末尾。攻击者可以利用此漏洞在当前进程的上下文中执行代码。该漏洞于2023年6月8日向供应商报告，于2023年8月17日协调公开发布公告。RARLAB已发布更新来修复此漏洞。参考：；来源：投稿：@ZaiHuaBot频道：@TestFlightCN

23pds：知名前端框架 Next.js 被曝高危漏洞，多个加密平台面临安全风险

23pds：知名前端框架Next.js被曝高危漏洞，多个加密平台面临安全风险慢雾首席信息安全官23pds发文称，知名React前端开发框架Next.js被发现存在一个SSRF漏洞（CVE-2024-34351），攻击者可利用该漏洞读取服务器上的任意文件。23pds指出，大量加密行业的平台都在使用Next.js框架进行开发，如果不及时修复，将面临严重的安全风险。目前官方已经发布了补丁，将Next.js升级到最新的v14.1.1版本即可修复该漏洞。SSRF（Server-SideRequestForgery，服务端请求伪造）是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下，SSRF攻击的目标是从外网无法访问的内部系统。