-
- 大规模短信窃取活动感染 113 个国家的安卓设备
一个针对全球安卓设备的恶意活动利用成千上万个 Telegram 机器人,用短信窃取恶意软件感染设备,并窃取 600 多种服务的一次性 2FA 密码 (OTP)。
来源: BleepingComputer
-
- 黑暗天使勒索软件收到破纪录的 7500 万美元赎金
根据 Zscaler ThreatLabz 的报告,一家财富 50 强公司向黑暗天使勒索软件团伙支付了破纪录的 7500 万美元赎金。
来源: BleepingComputer
-
- 黑色巴斯塔勒索软件改用更具规避性的定制恶意软件
Black Basta 勒索软件团伙利用新的定制工具和策略躲避检测并在整个网络中传播,显示出了顽强的生命力和适应不断变化的空间的能力。
来源: BleepingComputer
-
- 沃尔玛发现与 Zloader 恶意软件相关的新 PowerShell 后门
沃尔玛的网络情报团队报告说,已经发现了一个未知的 PowerShell 后门以及 Zloader/SilentNight 恶意软件的新变体。
来源: 安全客
-
- 谷歌浏览器增加应用程序绑定加密功能以阻止信息窃取恶意软件
谷歌 Chrome 浏览器增加了应用程序绑定加密功能,可在 Windows 系统上更好地保护 cookie,并提高了对信息窃取型恶意软件攻击的防御能力。
来源: BleepingComputer
-
- 哥伦布调查数据是否在勒索软件攻击中被盗
俄亥俄州哥伦布市表示,该市正在调查 2024 年 7 月 18 日发生的勒索软件攻击是否窃取了个人数据,这次攻击中断了该市的服务。
来源: BleepingComputer
-
- OAuth+XSS组合拳,数百万 Web账户或将易主
API 安全公司 Salt Security 的 Salt Labs 发现,通过将 OAuth 标准与这两个网站的跨站脚本 (XSS) 漏洞相结合,攻击者有可能暴露敏感数据,并冒充 100 多万个网站的合法用户开展恶意活动。
来源: FreeBuf
-
- 微软:警惕利用VMware ESXi进行身份验证绕过攻击
微软发布警告,称勒索软件团伙正在积极利用 VMware ESXi 身份验证绕过漏洞进行攻击。该漏洞被追踪为 CVE-2024-37085,能让攻击者将新用户添加到由他们创建的“ESX 管理员”组中,并自动获得对 ESXi 虚拟机监控程序的完全管理权限。
来源: FreeBuf
-
- 由于域验证错误,DigiCert 大量撤销 TLS 证书
DigiCert 警告说,由于该公司验证客户是否拥有或运营域名的方法存在漏洞,该公司将大规模撤销 SSL/TLS 证书,并要求受影响的客户在 24 小时内重新签发证书。
来源: BleepingComputer
-
- 苹果AI首次亮相,因用户隐私保护问题遭“炮轰”
马斯克在X平台连续发布多条内容,指责苹果没有选择自研AI,而是与OpenAI合作,无法保证用户的数据安全。
来源: FreeBuf
-
- Chrome 漏洞致 1500万 Windows用户密码丢失!谷歌官方致歉
前不久,Chrome 密码管理器的一个漏洞导致约 1500万 Windows 用户的密码丢失,谷歌对此公开道歉。此次事件影响了使用 M127 版本 Chrome 的用户,约有 25% 的用户受到了影响。
来源: 快科技
-
- CVE-2024-39676:Apache Pinot 存在敏感数据泄露漏洞
Apache Pinot 最近披露了一个严重的安全漏洞 (CVE-2024-39676),此漏洞可能允许未经授权的参与者访问敏感的系统信息,从而可能导致数据泄露和安全漏洞。
来源: CN-SEC 中文网
-
- 英国政府将 2021 年选举委员会泄密事件与 Exchange 服务器联系起来
英国信息专员办公室(ICO)今天透露,选举委员会于 2021 年 8 月被入侵,原因是该委员会没有为其内部微软 Exchange 服务器打上 ProxyShell 漏洞补丁。
来源: BleepingComputer
原文始发于微信公众号(赛欧思安全研究实验室):OAuth+XSS组合拳,数百万 Web账户或将易主
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论