smellycat000的专栏

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士MITRE 从2023年6月至2024年7月披露的超过3.1万个漏洞中，选出2024年25个最常见且危险的软件弱点。软件弱点是指从软件代码、架构、实现或设计中找到的缺陷、bug、漏洞和错误。攻击者可利用这些弱点攻陷易受攻击软件在运行的系统，获得对受影响设备的控制以及访问敏感数据或触发拒绝服务攻击。MITRE 指出，“这些弱点通常易于发现和利用，可...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士本周二，GitHub宣布将通过提供资金支持、教育、认证等方式提升开源项目的安全性和可持续性。GitHub 目前推出开源安全资金支持计划 GitHub Secure Open Source Fund，正在接收项目申请。该计划将为125个开源项目提供总计125万美元的支持，申请截止日期为2025年1月7日。这一资金计划旨在构建由目标一致的维护人员和资...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士本周，Oracle 修复了位于 Agile 产品生命周期管理 (PLM) 中的、已遭利用的高危信息泄露漏洞CVE-2024-21287（CVSS评分7.5）。该漏洞影响 Agile PLM 9.3.6版本，可在未认证的情况下遭远程利用。Oracle 在安全公告中致谢报送该漏洞的CrowdStrike公司研究员 Snape 和 Lutz Wolf，...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士Ubuntu Linux 使用的工具 needrestart 中存在五个本地提权 (LPE)漏洞，它们早在10多年前发布的版本21.04中就已被引入。这些漏洞由Qualys 公司发现，编号为CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003。这些漏洞...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士今天，微软在伊利诺伊州芝加哥市举办的 Ignite 年度大会上宣布，推出专注于云和AI产品和平台的漏洞奖励新计划：Zero Day Quest。Zero Day Quest 从今天起生效，共分两部分：研究挑战和在华盛顿州雷德蒙德举办的2025年现场黑客大赛（受邀制）。研究人员如能从特定场景中找到并提交漏洞，则可获得多倍奖励，所有人均可参加，持续时...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士博通未能一次修复后，VMware vCenter 中的两个严重漏洞已遭利用。其中一个是可导致远程代码执行 (RCE) 后果的堆溢出漏洞CVE-2024-38812，另外一个是CVE-2024-38813。博通在9月17日首次尝试修复这两个漏洞，但之后承认“未能完全修复”任何一个漏洞，因此在十月发布补丁更新。当时，博通为这两个 vCenter 漏洞...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士美国国土安全部 (DHS) 发布如何在关键基础设施中安全开发和部署人工智能 (AI) 的建议。该建议适用于AI供应链中的所有参与方，如云和计算基础设施提供商、AI开发这以及关键基础设施所有人和运营商。同时还为公民社会和公共组织机构提供了建议。该建议名为《人工智能在关键基础设施中的角色和责任》，旨在审视五个关键领域中的每个角色：保护环境、驱动负责任...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士一个恶意软件僵尸网络正在利用已达生命周期的 GeoVision 设备中的一个 0day 漏洞发动 DDoS 或密币挖掘攻击。该漏洞是CVE-2024-11120，是由 The Shadowserver Foundation 公司的研究员 Piort Kijewski 发现的。它是一个严重的（CVSS v3.1 9.8）的命令注入漏洞，可导致未认证...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士WordPress 插件 “Really Simple Security”（此前被称为 “Really Simple SSL”）的免费和专业版本均受一个严重的认证绕过漏洞影响。Really Simple Security 是 WordPress 平台的一个安全插件，提供SSL配置、登录暴露、双因素认证层以及实时漏洞检测服务。其免费版本已用于超过4...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士网络安全研究员披露了位于开源数据库系统 PostgreSQL 中的一个高危漏洞，它可导致低权限用户修改环境变量，并可能导致代码执行或信息泄露后果。该漏洞的编号是CVE-2024-10979，CVSS评分8.8。环境变量是指用户定义的值，它们可允许程序在运行时动态提取多种信息类型如访问密钥和软件安装路径，而无需进行硬编码。在某些操作系统中，它们会在...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士OpenAI 公司的 ChatGPT 平台提供了对大语言模型 (LLM) 沙箱的高级别访问权限，可导致攻击者上传程序和文件、执行命令并浏览沙箱的文件结构。ChatGPT 沙箱是一种隔离环境，可使用户在与其它用户和主机服务器隔离的情况下，安全地交互。ChatGPT 沙箱限制对敏感文件和文件夹的访问权限、拦截对互联网的访问权限并尝试现在可用于利用缺陷...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士FBI、NSA和五眼联盟的网络安全当局发布了2023年利用最频繁的15个漏洞清单。周二，这些机构发布该清单，呼吁全球范围内的组织机构立即修复这些漏洞并不糊打补丁管理系统，将攻击风险降至最低。这些机构提醒称，“相比2022年，恶意网络人员在2023年利用更多的0day漏洞攻陷企业网络，对更高优先级的目标发动网络攻击。2023年，多数利用频率最高的漏...

聚焦源代码安全，网罗国内外最新资讯！作者：Elizabeth Montalbano编译：代码卫士谷歌修复了用于定制大语言模型 (LLMs) 开发和部署的平台 Vertex AI 中的两个漏洞，它们可导致攻击者从系统中提取企业的专有模型。该漏洞再次凸显了AI技术遭恶意操纵后给业务用户带来的危险。Palo Alto Networks 公司 Unit 42 团队的研究人员在 Vertex AI 平台中...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士在漏洞被公开披露后，Citrix 公司终于非常迅速地发布补丁，修复了位于 Citrix Virtual Apps and Desktop 技术中的两个漏洞（CVE-2024-8068和CVE-2024-8069），它们可导致远程攻击者在易受攻击系统上提权或执行代码。Citrix 将这两个RCE漏洞描述为仅有之前认证过的攻击者才能滥用的漏洞。然而，...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士微软在本月补丁星期二中修复了91个漏洞，含四个0day漏洞，其中两个正遭活跃利用。微软本次修复的漏洞如下：26个提权漏洞2个安全特性绕过漏洞52个远程代码执行漏洞1个信息泄露漏洞4个拒绝服务漏洞3个欺骗漏洞此外，微软还在11月7日修复了两个 Edge 漏洞。四个0day漏洞在这四个0day 漏洞中，两个已遭活跃利用，三个遭公开披露。微软对0da...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士一个名为 “fabrice” 的恶意Python 包自2021年起就出现在 PyPI 中，从不知情的开发人员手中窃取 Amazon Web Services 的凭据。应用安全公司Socket提到，该包的下载量已超过3.7万次，并在 Windows 和 Linux 系统上执行特定脚本。该恶意包 fabrice 是对合法 SSH 远程服务器管理包 “...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士黑客正在通过ZIP文件拼接技术攻击Windows 机器，以压缩文档的形式交付恶意payload，躲避安全解决方案的检测。这种技术利用的是 ZIP 解析器和文档管理器处理拼接ZIP文件的不同方法。这种新趋势由 Perception Point 公司发现。该公司在分析通过虚假交付通知手段实施钓鱼攻击时，发现内含木马的一个拼接的ZIP文档。研究人员发现...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士超过6万台已达生命周期的 D-Link NAS 设备易受命令注入漏洞 (CVE-2024-10914) 影响且利用已公开。该漏洞的CVSS评分为9.2，位于 “cgi_user_add” 命令中，因该名称参数的清理不充分而导致。未认证攻击者可将特殊构造的HTTP GET 请求发送到设备，利用该漏洞注入任意 shell 命令。该漏洞影响常被小企业使...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士网络安全公司 Palo Alto Networks 提醒客户称，应限制对下一代防火墙的访问权限，因为PAN-OS 管理接口中可能存在一个远程代码执行漏洞。Palo Alto Networks 公司在上周五发布安全公告提到，尚未发现关于该漏洞的其它信息，并提到也并未检测到漏洞遭活跃利用的迹象。该公司提到，“Palo Alto Networks 公司...

聚焦源代码安全，网罗国内外最新资讯！编译：代码卫士HPE (慧与) 公司发布了 Instant AOS-8和AOS-10 软件更新，修复了位于 Aruba Networking Access Point 中的两个严重漏洞CVE-2024-42509和CVE-2024-47460，它们的CVSS评分分别是9.8和9.0。这两个漏洞可导致远程攻击者通过将特殊构造的数据包经由 UDP 端口8211发送...