各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
1. 热门摄像头曝零日漏洞,黑客借此入侵政府部门
据GreyNoise公司安全研究人员Konstantin Lazarev披露,PTZOptics PTZ 摄像头存在两个零日漏洞,漏洞编号分别是CVE-2024-8956和CVE-2024-8957,目前已经发现有黑客正在利用这些零日漏洞发起网络攻击。
2. 能伪造通话界面,FakeCall恶意软件变种在安卓手机中传播
Zimperium's zLabs 的网络安全研究人员发现了 FakeCall 恶意软件的一个新变种,能够诱导受害者拨打诈骗电话,导致身份信息被窃取。
3. 因健身应用轨迹,贴身保镖恐泄露美国总统位置信息
作为一款全球拥有1.2亿用户的流行健身应用程序,Strava能够记录跑步和骑行等在内的运动轨迹,但法国媒体《世界报》发现,一些国家政要的贴身安保人员也是用户之一,其轨迹能够反映这些政要去了哪里,在做什么。
4. App-Bound新工具可绕过谷歌浏览器的 Cookie 加密系统
最近,网络安全研究员亚历山大-哈根纳(Alexander Hagenah) 发布了一款工具,该工具名为 “Chrome-App-Bound-Encryption-Decryption ”, 可以绕过谷歌新的应用程序绑定加密 cookie 防护系统,并从 Chrome 浏览器中提取已保存的凭据。
5. 利用Windows漏洞,攻击者能降级系统组件恢复漏洞
在最近的一项研究中,SafeBreach Labs 研究员揭露了一种新的攻击技术,能够操纵Windows 11系统在更新时降级关键系统组件,从而让一些漏洞修复补丁失效。
1. 美国超大型数据泄露事件曝光:超1亿人数据被盗
联合健康(UnitedHealth)首次证实,在 Change Healthcare 勒索软件攻击中,有超过 1 亿人的个人信息和医疗保健数据被盗,这是近年来最大的医疗保健数据泄露事件。
2. 2024零售行业最大泄露事件,3.5亿数据被挂暗网
近日,以色列网络安全公司Hudson Rock发现 一个据称包含3.5亿条Hot Topic顾客个人和支付数据的庞大数据库,在暗网上被公开出售。
3. 法国第二大互联网服务商遭遇数据泄露,波及1900万用户
法国主要互联网服务提供商 (ISP) Free 在上周末证实,稍早前有黑客入侵了其系统并窃取了用户的个人信息。
4. 开源AI/ML模型曝出30余个漏洞,可能导致远程代码执行与信息窃取风险
开源人工智能(AI)和机器学习(ML)模型中已披露了三十几个安全漏洞,其中一些漏洞可能导致远程代码执行和信息窃取。
5. 遭勒索攻击后,秘鲁国际银行承认数据泄露
秘鲁最大的金融机构之一,秘鲁国际银行 (Interbank)承认遭勒索组织攻击,攻击者成功入侵其IT系统,并窃取了相关用户数据。泄露的数据包括客户的全名、账户ID、出生日期、地址、电话号码、电子邮件、信用卡信息及其他敏感信息。
1. SVM算法在SQL注入攻击语义分析中的应用
本文介绍了SVM算法在SQL注入攻击检测中的应用,通过SQL语句解析、语义特征提取和异常检测步骤,有效识别SQL注入攻击,为网络安全提供了自动化识别方法。
2. 应用安全设计方法——ASTRIDE威胁建模详解
本文结合实战案例,介绍ASTRIDE威胁建模的分析过程以及常犯的错误,为威胁建模提供方法指引和最佳实践。
3. 渗透测试 | 某系统垂直越权漏洞的挖掘
在某个工作日的上午,被安排了一个渗透测试项目,测试过程中收获了一枚垂直越权漏洞。本文打码较为严重,望师傅们理解。当然该垂直越权漏洞已经被修复了,本文记录主要是希望起到抛砖引玉的作用,分享一次垂直越权漏洞的挖掘思路,愿大家能够从中有所收获。
1. ADSpider:一款针对活动目录AD的实时安全监控工具
ADSpider是一款针对活动目录AD的实时安全监控工具,该工具可以帮助广大研究人员更轻松地监控和保护活动目录AD的安全。
2. msldap:一款用于审计MS AD的LDAP库
msldap是一款用于审计MS AD的LDAP库,广大研究人员可以利用该工具轻松执行针对MS AD的安全审计任务。
3. PsMapExec:一款针对活动目录AD的安全检测工具
PsMapExec是一款针对活动目录AD的安全检测工具,广大研究人员可以利用该工具针对活动目录AD环境执行安全审计与安全测试任务。
原文始发于微信公众号(FreeBuf):FreeBuf周报 | 贴身保镖恐泄露美国总统位置信息;3.5亿用户数据被挂暗网
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论