FreeBuf 周报 | “暗网版微信”准备上市;D-Link NAS设备存严重RCE漏洞
2024-4-13 09:30:0 Author: www.freebuf.com(查看原文) 阅读量:4 收藏

各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1. GPT-5将在6月发布前进行「红队进攻测试」

基于 GPT系列庞大的用户体量和影响力,OpenAI 将更加重视GPT-5 的安全性,作为GPT-5上市前的最后一关,「红队进攻测试」的结果至关重要,甚至将决定上线时间和效果。

2. 多部门联合破获虚拟货币欺诈案,涉案资金达 20 亿

北京警方和国家外汇管理局北京市分局联合破获了涉虚拟货币的连环案件,涉案金额超过20亿元,共涉及包括北京、上海、浙江等15个省市。

3. 估值超两千亿,“暗网版微信”准备上市

2024年3月,英国《金融时报》刊登了对 Telegram 创始人帕维尔・杜洛夫(Pavel Durov)的专访,透露出明年在美国IPO的想法,估值约为300亿美元(约为两千多亿人民币)。近来该平台被很多人奉为“真正自由的社交平台”,并逐渐沦为了黑灰产们的聚集地,肆无忌惮地在该平台上进行着各种交易。

4. 苹果涉嫌“强制”收集用户数据

研究人员研究了八款应用程序,分别是Safari,Siri,家庭共享,iMessage,FaceTime,定位服务,查找和Touch ID。他们发现,无论是iPhone、iPad或MacBook,默认应用程序即使在显示为禁用状态时也会收集用户数据,这表明苹果用户无法完全控制他们的隐私。

5. CISA :恶意软件分析平台Malware Next-Gen全新升级

本周三,美国网络安全和基础设施安全局(CISA)发布了新版恶意软件分析平台Malware Next-Gen,现在公众可以提交任意恶意软件样本供 CISA 分析。

安全事件

1. D-Link NAS 设备存在严重 RCE 漏洞,数万用户受到影响

近日,安全研究人员发现,威胁攻击者正在积极”瞄准“超过 92000 台报废的 D-Link 网络附加存储 (NAS) 设备,这些设备长时间都处于在线暴露状态,且未针对关键的远程代码执行 (RCE) 零日漏洞进行修补。

2. 卡巴斯基粉丝论坛泄露了5.7万名用户数据

网络安全巨头卡巴斯基的俄语粉丝论坛发生了一起数据泄露事件,名为RGB 的黑客组织窃取了其中56798 名用户的个人数据并公布到了网络上。

3. Spectre漏洞 v2 版本再现,影响英特尔 CPU + Linux 组合设备

近日,网络安全研究人员披露了针对英特尔系统上 Linux 内核的首个原生 Spectre v2 漏洞,该漏洞是2018 年曝出的严重处理器“幽灵”(Spectre)漏洞 v2 衍生版本,利用该漏洞可以从内存中读取敏感数据,主要影响英特尔处理器 + Linux 发行版组合设备。

4. 黑客疑似利用AI生成的恶意代码攻击德国企业

在3月的一起针对德国数十家机构网络钓鱼活动中,研究人员发现,攻击者使用的 PowerShell 脚本很有可能由人工智能辅助创建。

5. 又一间谍软件“盯上”了苹果公司,波及到 92 个国家的 iPhone 用户

近日,苹果公司向 92 个国家和地区的 iPhone 用户发送了紧急通知,警告他们或已成为了“mercenary 间谍软件”攻击的潜在目标。

一周好文共读

1. 随手分享的APP链接,可能会让你“大型社死”

试想一下,你悄悄在某平台关注的100个“秘密”账号;深夜被加班搞到发癫吐槽同事放飞自我的“疯言疯语”;以及被crush无情拒绝后深夜含泪写下的emo文案......统统被这些你“可能认识的人”看了个精光,并且细细咀嚼。这些,对于一个将网络和生活分的很开的人来说,无疑是一场大型的“社死现场”。

阅读全文

1712113740_660cc84c21d58846fbeb8.png!small?1712113742686

2. FreeBuf 全球网络安全产业投融资观察(3月)

据不完全统计,2024年3月,全球网络安全市场共发生投融资事件53起,其中国内4起,国外49起,种子轮融资占比领先。【阅读全文

1710914629_65fa7c459190762ff3cc6.png!small

3. 政策解读 | 《金融业开源软件应用管理指南》

《金融业开源软件应用管理指南》政策解读文章旨在深入分析中国人民银行发布的管理指南,为金融机构提供全面的政策理解与实施建议。【阅读全文

1711954462_660a5a1e850ea8018b13f.jpg!small?1711954463578

省心工具

1. Todesstern:一款针对注入漏洞识别的强大变异器引擎

Todesstern是一款功能强大的变异器引擎,该工具基于纯Python开发,该工具旨在辅助广大研究人员发现和识别未知类型的注入漏洞。【阅读全文

1708880148_65db71145ea8407f5c2ca.png!small

2. Intrigue Core:一款功能强大的攻击面枚举引擎

Intrigue Core是一款功能强大的开源攻击面枚举引擎,该工具可以帮助广大研究人员更好地管理应用程序的攻击面。【阅读全文

1708882505_65db7a49be8e67ca0fff7.png!small

3. BST:一款功能强大的二进制字符串代码格式转换工具

BST是一款功能强大的二进制字符串代码格式转换工具,该工具可以将二进制字符串转换为能够兼容不同语言源代码的各种格式,以满足各种安全开发领域中的渗透测试或漏洞利用开发场景。【阅读全文

1708884695_65db82d73b5f60a17eb38.png!small


文章来源: https://www.freebuf.com/news/397781.html
如有侵权请联系:admin#unsafe.sh