Apple紧急更新修复已被利用的漏洞CVE-2023-37450
发布时间 2023-07-111、Apple紧急更新修复已被利用的漏洞CVE-2023-37450
据媒体7月10日报道,Apple发布了新一轮快速安全响应(RSR)更新,以修复在攻击中被利用的漏洞(CVE-2023-37450)。该漏洞是在WebKit浏览器引擎中发现的,影响了macOS、iOS和iPadOS。攻击者可通过诱骗目标打开包含恶意制作内容的网页,在目标设备上执行任意代码。Apple表示已通过改进检查来修复该漏洞,建议所有用户应用该补丁。这是自2023年初以来,Apple修复的第十个零日漏洞。
https://www.bleepingcomputer.com/news/apple/apple-releases-emergency-update-to-fix-zero-day-exploited-in-attacks/
2、美国翻译服务Kings of Translation泄露数万条记录
据7月7日报道,研究人员发现了一个不受密码保护的数据库,其中包含超过25000条记录。通过其中的参考资料和发票,研究人员确定该数据库属于纽约翻译服务提供商Kings of Translation。泄露数据包括源代码截图和客户上传的文档,例如税务申报、护照、驾驶执照、出生和婚姻记录、商业文件和签证申请等。目前,该数据库已被保护起来,尚不清楚在此之前已暴露了多久。
https://www.hackread.com/global-translation-service-exposed-records/
3、黑客声称已窃取Razer的源码和密钥等数据并在暗网出售
媒体7月8日称,黑客在暗网以10万美元的价格出售Razer的数据。攻击者在帖子中提到,他窃取了razer.com及其产品的源代码、加密密钥、数据库和后端访问登录等信息,并表示该数据库只会出售一次。此外,卖家坚持使用中间人,这通常是对买家和卖家的保护和保证,即这不是一个骗局。证明包括长达580页的文件树以及不同目录下文件夹的截屏。Razer尚未对此事做出回复。
https://www.databreaches.net/intellectual-property-allegedly-from-razer-appears-for-sale-on-hacking-forum/
4、MOVEit修复又一个SQL注入漏洞CVE-2023-36934
7月7日报道称,Progress在其产品MOVEit Transfer中又发现了一个严重的SQL注入漏洞(CVE-2023-36934)。利用此漏洞,攻击者可通过向MOVEit Transfer应用提交特制的payload,来导致MOVEit数据库内容篡改和泄露。安全更新还修复了SQL注入漏洞(CVE-2023-36932)和可导致程序意外终止的漏洞(CVE-2023-36933)。此外,Progress已决定推出每月发布的定期安全更新,称为"Service Packs"。这可以简化软件升级过程,使管理员能够更快更轻松地应用修复程序。
https://securityaffairs.com/148252/security/moveit-transfer-critical-flaw.html
5、研究人员披露针对韩国的语音钓鱼工具集Letscall
ThreatFabric在7月7日披露了全新的语音钓鱼工具集Letscall。此次攻击活动主要针对韩国的用户,采用多阶段攻击来诱使目标从冒充Google Play商店的钓鱼网站下载恶意应用。一旦安装了恶意软件,它就会将来电重定向到攻击者的呼叫中心。经过训练的运营人员会冒充银行员工,然后从毫无戒心的目标那里获取敏感信息。为了方便语音流量的路由,Letscall利用了VOIP和WebRTC等技术,还利用了STUN和TURN协议。
https://www.threatfabric.com/blogs/letscall-new-sophisticated-vishing-toolset
6、ESET简述Emotet自2021年11月回归以来的攻击活动
7月6日,ESET简述了Emotet自2021年11月回归以来的攻击活动。2021年1月,在多个国家执法部门的协调下成功捣毁了Emotet,但后者在2021年11月再次回归。2022年初,Emotet执行了多个垃圾邮件活动。2022年7月,微软禁用VBA宏导致Emotet活动显着下降。2023年,Emotet开展了三次攻击活动,使用了嵌入恶意VBA宏的Word文件和嵌入VBScript的OneNote文件等。这些攻击大多针对日本(43%)和意大利(13%)。研究人员称,目前Emotet不活跃,很可能是由于未能找到有效的新攻击载体。
https://www.welivesecurity.com/2023/07/06/whats-up-with-emotet/
京公网安备11010802024551号