Google发布安全更新修复Chrome中的多个漏洞;ChatGPT出现Bug可以看到其他用户的对话历史标题

admin 2023年3月24日02:35:53评论50 views字数 3334阅读11分6秒阅读模式

每日头条


1、Google发布安全更新修复Chrome中的多个漏洞

      Google在3月21日发布安全更新,修复了Chrome中的8个漏洞。其中,较为严重的是Passwords中的释放后使用漏洞(CVE-2023-1528)、WebHID中的内存越界访问漏洞(CVE-2023-1529)、在PDF中的释放后使用漏洞(CVE-2023-1530)和GPU视频中的越界读取漏洞(CVE-2023-1532)等。Google表示,在大多数用户更新修复程序之前,漏洞详细信息和链接的访问可能会受到限制。

https://chromereleases.googleblog.com/2023/03/stable-channel-update-for-desktop_21.html


2、流媒体平台Lionsgate近3000万条记录泄露

      据Cybernews在3月22日报道,拥有3700万订户的视频流媒体平台Lionsgate Play的ElasticSearch配置错误,泄露了用户数据。研究人员发现了一个20 GB服务器日志,包含近3000万条条目,最早的日期是2022年5月。日志泄露了订阅者的IP地址以及有关设备、操作系统和Web浏览器的用户信息。还泄露了平台的使用数据,如用户观看内容的标题ID和搜索查询等,通常可用于分析和性能跟踪。Cybernews就此事联系了Lionsgate,该公司的回应是已将服务器保护起来,但是截至目前尚未提供官方回应。

https://cybernews.com/security/lionsgate-data-leak/


3、REF2924团伙利用NAPLISTENER攻击东南亚地区

      据媒体3月20日报道,REF2924利用新恶意软件NAPLISTENER攻击南亚和东南亚的组织。Elastic称该团伙使用了多种机制,将重点从数据窃取转移到持久访问。2023年1月20日,一个新的可执行文件Wmdtc.exe被创建并作为Windows服务安装,通过伪装成Microsoft分布式事务处理协调器服务(Msdtc.exe)使用的合法二进制文件。Wmdtc.exe被称为NAPLISTENER,这是一个用C#开发的HTTP侦听器,旨在绕过基于网络的安全检测。

https://www.elastic.co/cn/security-labs/naplistener-more-bad-dreams-from-the-developers-of-siestagraph


4、LockBit也称已窃取并将公开奥克兰市系统中的文件

      据3月21日报道,另一个勒索团伙LockBit也声称从奥克兰市系统中窃取了文件。然而,该团伙尚未公布任何证据来证明他们的攻击活动。这是自Play团伙在3月初表示对奥克兰市的网络攻击负责后,第二个勒索团伙声称窃取了数据。LockBit在其网站上添加了新条目,并威胁将在4月10日公开所有数据。奥克兰市尚未就此事发表声明。研究人员表示,LockBit曾在2022年6月声称它入侵了Mandiant的系统并窃取了数十万个文件,后来这被证明是一个宣传噱头。

https://www.bleepingcomputer.com/news/security/lockbit-ransomware-gang-now-also-claims-city-of-oakland-breach/


5、ChatGPT出现Bug可以看到其他用户的对话历史标题

      媒体3月21日称,ChatGPT出现了一个Bug,导致其他用户的聊天历史泄露。该问题最初是由一位怀疑其帐户被黑的用户在Reddit上报告的,他在对话历史标题中发现了不属于自己的对话。消息传开后,推特上的其他用户也声称在自己的账号上看到了别人的聊天记录。许多用户称该问题严重侵犯了用户隐私。ChatGPT于本周一暂时禁用了其聊天服务,以调查和修复该漏洞。3月23日,OpenAI CEO Sam Altman承认其开源库中的一个错误导致用户的聊天历史泄露,并发布了推文致歉。

https://www.hackread.com/chatgpt-bug-conversation-history-titles/


6、Unit 42发布2023年勒索软件威胁态势的分析报告

      3月21日,Unit 42发布了2023年勒索软件威胁态势的分析报告。报告指出,多重勒索策略的使用持续上升。截至2022年底,在约70%的案件中发生了数据泄露,2021年中只有约40%的数据被盗。骚扰是另一种勒索策略,2022年底约20%的勒索软件案件包含该因素,而2021年仅有不到1%。制造业受此类攻击最多,美国的组织受到影响最严重(占42%)。研究人员预计在2023年,出现大型云勒索软件攻击、内部威胁相关的敲诈勒索增加和出于政治动机的勒索增加等。

https://start.paloaltonetworks.com/2023-unit42-ransomware-extortion-report



安全工具


yaraQA

      Yara规则分析器可提高规则质量和性能。

https://github.com/Neo23x0/yaraQA


GPT_Vuln-analyzer

      概念验证应用程序,演示了如何使用AI为漏洞分析生成准确的结果。

https://github.com/morpheuslord/GPT_Vuln-analyzer



安全分析


黑客论坛BreachForums被管理员Baphomet关闭

https://thehackernews.com/2023/03/breachforums-administrator-baphomet.html


Windows 10 KB5023773预览更新修复10个问题

https://www.bleepingcomputer.com/news/microsoft/windows-10-kb5023773-preview-update-released-with-10-fixes/


Firefox修复Windows 11和macOS崩溃问题

https://www.bleepingcomputer.com/news/software/mozilla-firefox-11101-fixes-windows-11-and-macos-crashes/


Zoom在2022年支付了390万美元的漏洞赏金

https://www.securityweek.com/zoom-paid-out-3-9-million-in-bug-bounties-in-2022/


利用PowerMagic后门和CommonMagic框架的攻击

https://securelist.com/bad-magic-apt/109087/


Coinbase钱包的Red Pill漏洞可绕过检测

https://www.bleepingcomputer.com/news/security/coinbase-wallet-red-pill-flaw-allowed-attacks-to-evade-detection/


奢饰品零售商Saks Fifth Avenue遭到Clop的攻击

https://www.bleepingcomputer.com/news/security/clop-ransomware-claims-saks-fifth-avenue-retailer-says-mock-data-stolen/


ShellBot新变体针对管理不善的Linux SSH服务器

https://securityaffairs.com/143807/cyber-crime/shellbot-targets-linux-ssh-servers.html


Google发布安全更新修复Chrome中的多个漏洞;ChatGPT出现Bug可以看到其他用户的对话历史标题


推荐阅读:

Google紧急修复Chrome中被利用的漏洞CVE-2022-4262

法拉利遭到勒索攻击导致部分客户的详细信息泄露


原文始发于微信公众号(维他命安全):Google发布安全更新修复Chrome中的多个漏洞;ChatGPT出现Bug可以看到其他用户的对话历史标题

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月24日02:35:53
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Google发布安全更新修复Chrome中的多个漏洞;ChatGPT出现Bug可以看到其他用户的对话历史标题https://cn-sec.com/archives/1623622.html

发表评论

匿名网友 填写信息