微软不会透露其产品是否被间谍软件零日漏洞利用

微软不会透露其产品是否被间谍软件零日漏洞利用微软发布了补丁来修复两个流行开源库中的零日漏洞，这些漏洞影响了多种微软产品，包括Skype、Teams及其Edge浏览器。但微软不愿透露这些零日漏洞是否被利用来攻击其产品，或者该公司是否知道其中任何一种情况。谷歌和公民实验室的研究人员表示，这两个漏洞（由于开发人员没有提前通知修复这些错误而被称为零日漏洞）是上个月发现的，并且这两个漏洞已被积极利用来针对带有间谍软件的个人。这些错误是在两个常见的开源库webp和libvpx中发现的，它们被广泛集成到浏览器、应用程序和手机中以处理图像和视频。这些库无处不在，再加上安全研究人员警告称这些漏洞被滥用来植入间谍软件，促使科技公司、手机制造商和应用程序开发商纷纷更新其产品中存在漏洞的库。微软在周一的一份简短声明中表示，它已经推出了修复程序，解决了webp和libvpx库中的两个漏洞，并将其集成到其产品中，并承认这两个漏洞都存在漏洞。Source:投稿：@ZaiHuaBot频道：@TestFlightCN

微软称两个新的Exchange零日漏洞已受到主动攻击 但没有立即修复

微软称两个新的Exchange零日漏洞已受到主动攻击但没有立即修复微软已经证实，两个未打补丁的Exchange服务器零日漏洞正被网络犯罪分子在现实世界攻击中利用。越南网络安全公司GTSC在2022年8月首次发现了这些缺陷，是其对客户网络安全事件的部分回应，该公司表示，这两个零日漏洞已被用于对其客户环境的攻击，时间可追溯到2022年8月初。PC版：https://www.cnbeta.com/articles/soft/1322709.htm手机版：https://m.cnbeta.com/view/1322709.htm

Mozilla为Firefox与Thunderbird打上零日漏洞补丁

Mozilla为Firefox与Thunderbird打上零日漏洞补丁Mozilla在本周二发布的一份公告中说："我们发现这个问题在其他产品中被广泛利用。打开恶意WebP图像可能导致内容进程中的堆缓冲区溢出。"Mozilla在Firefox117.0.1、FirefoxESR115.2.1、FirefoxESR102.15.1、Thunderbird102.15.1和Thunderbird115.2.2中解决了这个零日漏洞。尽管有关WebP漏洞在攻击中被利用的具体细节仍未披露，但这一关键漏洞已在实际场景中被滥用。因此，强烈建议用户安装更新版本的Firefox和Thunderbird，以保护系统免受潜在攻击。正如Mozilla在今天的安全公告中透露的那样，CVE-2023-4863零日漏洞还影响到使用易受攻击的WebP代码库版本的其他软件。其中之一就是GoogleChrome浏览器，该浏览器已于周一针对这一漏洞打了补丁，当时Google警告说"意识到CVE-2023-4863的漏洞存在于外部"。Chrome浏览器的安全更新正在向稳定版和扩展稳定版渠道的用户推出，预计将在未来几天或几周内覆盖整个用户群。苹果公司的安全工程与架构（SEAR）团队和多伦多大学蒙克学院（UniversityofToronto'sMunkSchool）的公民实验室（TheCitizenLab）于9月6日报告了这一漏洞。CitizenLab的安全研究人员还曾发现并披露过零日漏洞，这些漏洞经常被政府附属威胁机构领导的有针对性的间谍活动所利用。这些间谍活动通常针对面临重大攻击风险的个人，包括记者、反对派政治家和持不同政见者。本周四，苹果公司还修补了CitizenLab标记的两个零点漏洞，这两个零点漏洞被称为BLASTPASS漏洞利用链的一部分，可将NSOGroup的PegASUS雇佣军间谍软件部署到已打补丁的iPhone上。今天，BLASTPASS补丁还被回传至旧版iPhone机型，包括iPhone6s机型、iPhone7和第一代iPhoneSE。...PC版：https://www.cnbeta.com.tw/articles/soft/1383697.htm手机版：https://m.cnbeta.com.tw/view/1383697.htm

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新，修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。这两个漏洞是在WebKit（为Safari和其他应用程序提供动力的浏览器引擎）和内核（基本上是操作系统的核心）发现的。这两个漏洞同时影响了iOS和iPadOS以及macOSMonterey。苹果公司说，如果有漏洞的设备访问或处理"恶意制作的网页内容可能导致任意代码执行"，WebKit的漏洞就会被利用，而第二个漏洞允许恶意应用程序"以内核权限执行任意代码"，这意味着对设备的完全访问。这两个缺陷被认为是相关的。...苹果公司表示，iPhone6s及以后的机型、iPadAir2及以后的机型、iPad第五代及以后的机型、iPadmini4及以后的机型和iPodtouch（第七代），以及所有iPadPro机型都受到影响。——

Google开源Paranoid：用于识别各种加密产品中的漏洞

Google开源Paranoid：用于识别各种加密产品中的漏洞Google近日宣布开源Paranoid，该项目主要用于识别各种加密产品中的漏洞。该库支持测试数字签名、通用伪随机数和公钥等多种类型的加密产品，以识别由编程错误或使用弱专有随机数生成器引起的问题。Paranoid项目可以检测任意加密产品、以及那些由未知实现的系统（Google将其称之为“黑匣子”，其特性是源代码无法被检查）生成的产品。项目地址：https://github.com/google/paranoid_crypto在随机数生成器中两个著名的、特定于实现（implementation-specific）的漏洞是DUHK(Don’tUseHardcodedKeys)和ROCA(ReturnofCoppersmith’sAttack)，这两个SSL/TLS漏洞在过去5年里已经广为人知。例如，一个跟踪为CVE-2022-26320的错误，这是一个影响多个Canon和Fujifilm打印机系列的加密相关问题，它们生成带有易受攻击的RSA密钥的自签名TLS证书。该问题与Rambus使用Safezone库的基本加密模块有关。Google已经使用Paranoid从CertificateTransparency中检查了包含超过70亿个已发布网站证书的加密产品，并发现了数千个受到严重和高严重性RSA公钥漏洞影响的条目。这些证书中的大多数已经过期或被吊销，其余的被报告为吊销。Paranoid项目包含对ECDSA签名以及RSA和EC公钥的检查，并由Google安全团队积极维护。这个开源库可以被其他人使用，也可以增加透明度，并以对现有资源进行新检查和改进的形式接收来自外部资源的贡献。PC版：https://www.cnbeta.com/articles/soft/1309761.htm手机版：https://m.cnbeta.com/view/1309761.htm

九月补丁星期二：微软共计修复63个漏洞

九月补丁星期二：微软共计修复63个漏洞在本月的补丁星期二活动日中，微软共计修复63个漏洞，其中一个漏洞已有证据表明被黑客利用。在本次修复的漏洞中，有五个漏洞标记为“关键”，均可执行远程代码，这也是最严重的漏洞类型。PC版：https://www.cnbeta.com/articles/soft/1316021.htm手机版：https://m.cnbeta.com/view/1316021.htm