超过2.2万个已删PyPI包竟存在被“复兴劫持”风险，供应链攻击新手段曝光！微软macOS应用惊爆八大漏洞，黑客可轻松获取无限制访问权限！| 安全周报0906

新闻1：Apache OFBiz爆新漏洞，远程代码执行威胁Linux与Windows安全！

Apache OFBiz开源企业资源规划（ERP）系统中已解决一个新的安全漏洞，如果成功利用，该漏洞可能导致在Linux和Windows上执行未经验证的远程代码。

这个高危漏洞，编号为CVE-2024-45195（CVSS评分：7.5），影响18.12.16之前的所有软件版本。

关键词：Apache OFBiz、安全漏洞、远程代码执行、Linux、Windows、CVE-2024-45195

https://thehackernews.com/2024/09/apache-ofbiz-update-fixes-high-severity.html

新闻2：我国贸易公司遭新型跨平台恶意软件KTLVdoor猛烈攻击！

在针对我国一家海外贸易公司的网络攻击中，观察到被称为Earth Lusca的讲中文的威胁行为者使用了一种名为KTLVdoor的新型后门程序。

这种以前未报告的恶意软件是用Golang编写的，因此它是一种能够同时攻击Microsoft Windows和Linux系统的跨平台武器。

Trend Micro的研究人员Cedric Pernet和Jaromir Horejsi在周三发布的一份分析中表示：“KTLVdoor是一种高度混淆的恶意软件，它伪装成不同的系统实用程序，允许攻击者执行各种任务，包括文件操作、命令执行和远程端口扫描。”

关键词：KTLVdoor、跨平台恶意软件、Golang、后门程序、网络攻击

https://thehackernews.com/2024/09/new-cross-platform-malware-ktlvdoor.html

新闻3：敦促Android用户安装最新安全更新以修复正在被利用的漏洞

谷歌已经发布了Android操作系统的每月安全更新，以解决一个已知的安全漏洞，该公司表示该漏洞正在野外被积极利用。

这个高危漏洞，编号为CVE-2024-32896（CVSS评分：7.8），与Android Framework组件中的特权提升案例有关。

根据NIST国家漏洞数据库（NVD）中的错误描述，它涉及一个逻辑错误，该错误可能导致本地特权提升，而无需任何额外的执行权限。

关键词：Android、安全更新、特权提升、CVE-2024-32896

https://thehackernews.com/2024/09/google-confirms-cve-2024-32896.html

新闻4：超过2.2万个已删PyPI包竟存在被“复兴劫持”风险，供应链攻击新手段曝光！

针对Python包索引（PyPI）注册表的新型供应链攻击技术已在野外被利用，试图渗透下游组织。

软件供应链安全公司JFrog将其命名为“复兴劫持”，该公司表示，这种攻击方法可能被用于劫持22,000个现有的PyPI包，并导致“数十万”次恶意软件包下载。这些易受攻击的包有超过100,000次下载或已活跃超过六个月。

软件供应链安全研究人员Andrey Polkovnychenko和Brian Moussalli在与The Hacker News分享的一份报告中表示：“这种攻击技术涉及通过操纵选项来劫持PyPI软件包，这些选项可在原始所有者从PyPI索引中删除它们后重新注册它们。”

从本质上讲，这种攻击的关键在于，发布在PyPI存储库中的Python包可能会被删除，从而使那些已删除项目的名称可供任何其他用户注册。

关键词：Python Package Index (PyPI)、供应链攻击、复兴劫持、恶意软件包

https://thehackernews.com/2024/09/hackers-hijack-22000-removed-pypi.html

新闻5：微软macOS应用惊爆八大漏洞，黑客可轻松获取无限制访问权限！

在微软针对macOS的应用程序中发现了八个漏洞，攻击者可利用这些漏洞绕过操作系统基于权限的模型（该模型围绕透明、同意和控制（TCC）框架），从而提升权限或访问敏感数据。

思科Talos表示：“如果攻击成功，攻击者可以获得受影响的微软应用程序已授予的任何权限。例如，攻击者可以在用户未察觉的情况下从用户帐户发送电子邮件、录制音频片段、拍照或录制视频，而无需任何用户交互。”

这些缺陷涉及多个应用程序，如Outlook、Teams、Word、Excel PowerPoint和OneNote。

这家网络安全公司表示，恶意库可能被注入到这些应用程序中，并获得其授权和用户授予的权限，然后这些权限可能被用于根据授予每个应用程序的访问权限提取敏感信息。

关键词：漏洞、权限提升、敏感数据、透明、同意和控制（TCC）框架、恶意库

https://thehackernews.com/2024/09/new-flaws-in-microsoft-macos-apps-could.html