TOP5 | 头条：新的GPU侧信道攻击允许恶意网站窃取数据

新的GPU侧信道攻击允许恶意网站窃取数据；

标签：GPU，侧信道攻击

来自美国多所大学的一组研究人员表示，几乎所有现代图形处理单元(GPU)都容易受到新型旁道攻击的影响，这种攻击可被用来获取敏感信息。这种名为GPU.zip的新攻击方法是由德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的代表发现并详细介绍的。GPU.zip攻击利用基于硬件的图形数据压缩，这是现代GPU的一种优化，旨在提高性能。“GPU.zip利用软件透明的压缩方式。这与之前的压缩侧通道形成对比，后者由于软件可见的压缩使用而泄漏，并且可以通过在软件中禁用压缩来缓解泄漏，”研究人员解释道。与最近披露的许多其他侧通道攻击不同，这些攻击需要对目标设备进行某种访问，GPU.zip可以通过引诱目标用户访问恶意网站来利用。通过这种攻击，攻击者的站点可以窃取受害者同时访问的其他网站的数据。

信源：https://www.securityweek.com/new-gpu-side-channel-attack-allows-malicious-websites-to-steal-data/

中央情报局实施人工智能系统来分析开放数据；

标签：中央情报局，人工智能

据彭博社报道，美国中央情报局(CIA)正准备推出一款类似ChatGPT的新人工智能工具，以简化开源数据的收集。这一步骤旨在提高分析师在研究开放情报数据过程中的效率。计划不仅向中央情报局雇员提供这一创新工具，还向其他美国情报机构提供。据报道，鉴于来自中国的竞争，人工智能工具计划是美国政府为利用人工智能的力量而采取的更广泛行动的一部分，中国的目标是到2030年成为该领域的全球领导者。中央情报局部门主管兰迪·尼克松表示，新的中央情报局工具将允许用户查看他们正在查看的信息的原始来源。“然后你可以进入下一个级别，开始与机器沟通并向机器提问，机器会给你答案，这些答案也是从[公开]来源获得的，”他补充道。没有具体说明新开发将采用哪种模型以及如何保护信息不进入开放互联网。不过，值得注意的是，中央情报局近年来一直在积极扩大与科技部门的合作伙伴关系。该工具将可供美国情报界的18个机构使用，包括联邦调查局和国家安全局。但是，它不会向政客或公众公开。

信源：https://www.securitylab.ru/news/542206.php

数以百万计的包含潜在敏感信息的文件在网上暴露；

标签：数据泄露

Censys 的一项调查发现，有314,000个不同的互联网连接设备和Web服务器具有开放目录列表。9月27日发布的一项分析发现，数千台计算机和其他连接互联网的设备无意或有意地在互联网上暴露了数百万个包含潜在敏感数据的文件，使得这些数据可以通过多种方式被发现并可能被利用。Censys是一项对连接到互联网的设备及其正在运行的服务进行索引的服务，其研究人员最近通过开放目录列表和至少一个文件对近314,000个不同的互联网连接设备和Web服务器建立了索引。然后扫描仪记录下文件名、路径、文件大小和最后修改时间戳，创建该公司所谓的“互联网上所有开放目录的最全面的数据库之一”。例如，分析发现数百台设备包含数据库备份，以及“为数百万个具有常见电子表格文件扩展名的文件提供服务”的设备。对电子表格文件名的检查显示，有9,000多个文件名表明与财务数据相关，以及数千个其他文件，这些文件可能包含身份验证和凭据数据、网络数据包捕获文件等。Censys研究人员指出，他们没有查看文件的内容，只是做了足够的尝试来揭露问题的当前状态。

信源：https://www.secrss.com/articles/59211

超级软件供应链攻击：MOVEit漏洞受害组织总数超过2000个；

标签：软件供应链攻击，MOVEit

根据Emsisoft本周发布的最新统计，勒索组织Cl0p利用MOVEit漏洞攻击的组织数量已超过2000个，受影响的人数超过6000万。该数据与IT市场研究公司KonBriefingResearch9月26日最新公布的数据（2040家受害组织）基本一致。

Emsisoft的研究人员表示，受害组织绝大多数位于美国。受影响最严重的行业是金融、专业服务与教育，分别占数据泄露事件的13.8%和51.1%。”

本周最引人注目的MOVEit数据泄露事件是美国教育非营利组织国家学生信息交换所也受到了攻击，近900所美国院校的学生信息遭到泄露。

2023年5月下旬，Cl0p勒索组织利用流行的MOVEit文件传输解决方案中的SQL注入漏洞(CVE-2023-34362)窃取了大量组织的敏感数据，受害者包括大量知名企业、政府（例如多个美国联邦机构和美国能源部）、金融机构、养老金系统以及其他公共和私人实体。

过去几个月，MOVEit漏洞的受害者清单（链接在文末）持续快速增长，而勒索组织Cl0p也放弃使用勒索软件，转而只获取敏感数据，并威胁公司除非缴纳赎金，否则将其数据泄露到网上。

值得注意的是，这是勒索组织Cl0p三年内第三次利用web应用程序中的零日漏洞进行勒索。三次的目标都是知名软件公司的“安全产品”。CI0p的“大获成功”势必将吸引其他黑客组织的效仿，这进一步加剧了应用安全和软件供应链安全面临的严峻威胁态势。

信源：https://www.secrss.com/articles/59263

libwebp基础组件满分漏洞曝光；

标签：libwebp

有消息称：谷歌为近期热议的libwebp漏洞申请了独立漏洞编号CVE-2023-5129，终结了安全社区的混乱讨论。该漏洞此前曾被攻击者利用发动零日攻击，并在两周前开始披露和修复。

9月6日，苹果安全工程与架构团队与加拿大研究机构公民实验室共同向谷歌报告。公民实验室安全长期监测并披露那些被滥用于发动针对性间谍软件攻击的零日漏洞。

9月11日，谷歌在首次披露时，将这个漏洞归属为Chrome浏览器漏洞（CVE-2023-4863），没有将漏洞归咎于负责WebP格式图像编解码的libwebp开源库。

谷歌错误地将漏洞标记为Chrome缺陷，导致网络安全社区一片混乱。人们开始质疑，为何谷歌将漏洞归类为Chrome问题，而不是识别为libwebp漏洞。

安全咨询公司Isosceles创始人、曾领导谷歌Project Zero团队的Ben Hawkes还将CVE-2023-4863与苹果于9月7日修复的CVE-2023-41064漏洞联系在一起。后者被滥用于发动零点击iMessage攻击链（称为BLASTPASS），感染已完全修补的iPhone，并安装NSO集团开发的“飞马”商业间谍软件。

信源：https://www.secrss.com/articles/59273