这里写目录标题
新闻1:Meta遭重罚!9100万欧元为明文存储密码买单,用户隐私再亮红灯!新闻2:Avro SDK惊现严重漏洞,Java应用面临远程代码执行危机!新闻3:玩家警惕!假冒作弊脚本暗藏Lua恶意软件,全球肆虐!新闻4:OpenAI大显神威,AI助力阻断20起全球网络犯罪与虚假信息传播!新闻5:GitLab告急!新漏洞允许任意执行CI/CD流水线,企业安全再遭挑战!
新闻1:Meta遭重罚!9100万欧元为明文存储密码买单,用户隐私再亮红灯!
爱尔兰数据保护委员会(DPC)对Meta处以9100万欧元(1.0156亿美元)的罚款,这是针对2019年3月该公司安全漏洞事件调查的一部分,当时Meta披露其系统中错误地以明文形式存储了用户密码。
DPC于次月启动了调查,发现这家社交媒体巨头违反了欧盟《通用数据保护条例》(GDPR)中的四项不同条款。
为此,DPC指责Meta未能及时通知DPC数据泄露事件,未能记录关于以明文形式存储用户密码的个人数据泄露事件,以及未能采取适当的技术措施来确保用户密码的保密性。
Meta最初透露,这一隐私违规行为导致部分用户的Facebook密码以明文形式暴露,但它指出,没有证据表明这些密码被内部不当访问或滥用。
主要技术关键词:
1.Meta
2.Facebook
3.Instagram
4.明文存储(Plaintext Storage)
5.爱尔兰数据保护委员会(DPC)
6.安全漏洞(Security Lapse)
7.欧盟《通用数据保护条例》(GDPR)
来源:https://thehackernews.com/2024/09/meta-fined-91-million-for-storing.html
新闻2:Avro SDK惊现严重漏洞,Java应用面临远程代码执行危机!
Apache Avro Java软件开发工具包(SDK)中存在一个严重的安全漏洞,如果该漏洞被成功利用,则可能在易受攻击的实例上执行任意代码。
该漏洞被追踪为CVE-2024-47561(CVSS评分:9.3),影响1.11.4之前的所有软件版本。
“Apache Avro 1.11.3及之前版本的Java SDK中的模式解析允许恶意行为者执行任意代码,”项目维护者在上周发布的一份咨询中表示,“建议用户升级到1.11.4或1.12.0版本,以修复此问题。”
Apache Avro与Google的Protocol Buffers(protobuf)类似,是一个开源项目,为大规模数据处理提供了一种语言中立的数据序列化框架。
Avro团队指出,如果该应用程序允许用户提供自己的Avro模式进行解析,则该漏洞会影响任何应用程序。来自Databricks安全团队的Kostya Kortchinsky因发现和报告这一安全缺陷而获得表彰。
主要技术关键词:
1.Apache Avro
2.Java软件开发工具包(SDK)
3.远程代码执行(Remote Code Execution)
4.CVE-2024-47561
5.数据序列化框架(Data Serialization Framework)
6.Protocol Buffers(protobuf)
来源:https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html
新闻3:玩家警惕!假冒作弊脚本暗藏Lua恶意软件,全球肆虐!
寻找游戏作弊方法的用户正被诱骗下载一种基于Lua的恶意软件,该软件能够在受感染的系统上建立持久性并传递额外的有效载荷。
“这些攻击利用了Lua游戏引擎补充程序在学生玩家群体中的流行度,”Morphisec研究员Shmuel Uzan在今天发布的一份新报告中表示,“这种恶意软件变种在北美、南美、欧洲、亚洲甚至澳大利亚都非常普遍。”
关于此次活动的细节最早由OALabs在2024年3月记录,当时用户被诱骗下载了一个用Lua编写的恶意软件加载器,该加载器利用GitHub上的一个怪癖来分阶段传递恶意有效载荷。
主要技术关键词:
1.Lua-based Malware(基于Lua的恶意软件)
2.Game Cheats(游戏作弊)
3.Lua Gaming Engine(Lua游戏引擎)
4.Malware Loader(恶意软件加载器)
5.GitHub(GitHub平台)
6.Malicious Payloads(恶意有效载荷)
来源:https://thehackernews.com/2024/10/gamers-tricked-into-downloading-lua.html
新闻4:OpenAI大显神威,AI助力阻断20起全球网络犯罪与虚假信息传播!
OpenAI周三表示,自今年年初以来,该公司已经扰乱了全球超过20个试图利用其平台进行恶意活动的运营和欺诈网络。
这些活动包括调试恶意软件、为网站撰写文章、为社交媒体账户生成简介以及为X平台上的虚假账户创建AI生成的头像。
这家人工智能(AI)公司表示:“威胁行为者继续对我们的模型进行演变和实验,但我们没有看到证据表明这导致他们在创造全新恶意软件或建立病毒式受众方面取得了有意义的突破。”
该公司还表示,它扰乱了与美国、卢旺达以及较小程度上与印度和欧洲联盟选举相关的社交媒体内容生成活动,并且这些网络都没有吸引病毒式参与或持续受众。
这包括一家名为STOIC(也被称为Zero Zeno)的以色列商业公司所进行的活动,该公司此前曾就印度选举生成社交媒体评论,Meta和OpenAI在今年5月初已对此进行了披露。
主要技术关键词:
1.OpenAI
2.AI(人工智能)
3.Cybercrime(网络犯罪)
4.Disinformation(虚假信息传播)
5.Malware(恶意软件)
6.Social Media Content(社交媒体内容)
7.Elections(选举)
8.STOIC/Zero Zeno(以色列商业公司名)
来源:https://thehackernews.com/2024/10/openai-blocks-20-global-malicious.html
新闻5:GitLab告急!新漏洞允许任意执行CI/CD流水线,企业安全再遭挑战!
GitLab已针对社区版(CE)和企业版(EE)发布了安全更新,以修复八个安全漏洞,其中包括一个严重漏洞,该漏洞可能允许在任意分支上运行持续集成和持续交付(CI/CD)流水线。
该漏洞被追踪为CVE-2024-9164
,其CVSS评分为9.6(满分为10)。
GitLab在一份咨询中表示:“在GitLab EE中发现了一个问题,该问题影响从12.5开始到17.2.9之前的所有版本,从17.3开始到17.3.5之前的版本,以及从17.4开始到17.4.2之前的版本,允许在任意分支上运行流水线。”
在剩余的七个问题中,四个被评为高风险,两个被评为中风险,一个被评为低风险——
CVE-2024-8970(CVSS评分:8.2)
,允许攻击者在某些情况下以其他用户的身份触发流水线;CVE-2024-8977(CVSS评分:8.2)
,允许在配置了产品分析仪表板并已启用的GitLab EE实例中进行SSRF攻击;CVE-2024-9631(CVSS评分:7.5)
,导致查看存在冲突的合并请求的差异时速度变慢;CVE-2024-6530(CVSS评分:7.3)
,由于跨站脚本问题,在授权新应用程序时导致OAuth页面中出现HTML注入。 该咨询是GitLab近几个月来披露的一系列似乎持续不断的与流水线相关的漏洞中的最新一起。上个月,该公司解决了另一个严重漏洞(CVE-2024-6678,CVSS评分:9.9)
,该漏洞允许攻击者以任意用户的身份运行流水线作业。
主要技术关键词:
1.GitLab
2.CI/CD Pipeline(持续集成/持续交付流水线)
3.CVE-2024-9164(漏洞编号)
4.CVSS(通用漏洞评分系统)
5.SSRF(服务器端请求伪造)攻击
6.OAuth(开放授权)
7.跨站脚本(XSS)问题
8.合并请求(Merge Request)
9.安全更新(Security Updates)
来源: https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html
推荐阅读:
爆料!黑客只需车牌号,就能轻松“控制”起亚汽车!ChatGPT macOS惊现“记忆裂痕”,黑客借AI之手窃密无孔不入!NVIDIA大漏洞曝光!黑客一键解锁,主机控制权拱手相让