01 漏洞详情

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。libvpx是开源的视频编解码器库，可以同时支持VP8和VP9视频编码。

漏洞描述

近日，奇安信CERT监测到Google 发布公告Google Chrome V8越界访问漏洞(CVE-2024-0519)存在在野利用，攻击者可通过诱导用户打开恶意链接来利用此漏洞，从而获取敏感信息或应用程序崩溃。

目前，此漏洞已检测到在野利用。鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02 影响范围

影响版本

Google Chrome(Windows) < 120.0.6099.224/225

Google Chrome(Mac) < 120.0.6099.234

Google Chrome(Linux) < 120.0.6099.224

其他受影响组件

无

03 处置建议

安全更新

目前官方已发布安全更新，建议用户尽快升级至最新版本。

版本检测及升级步骤：

1．查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome

2．等待版本下载完成后，选择重新启动

3．查看当前版本

04 参考资料

[1]https://chromereleases.googleblog.com/2024/01/stable-channel-update-for-desktop_16.html

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

安全内参1月8日消息，Kyber密钥封装机制（KEM）的多款实现工具都存在KyberSlash缺陷。如遭到利用，将可被用来恢复密钥。

CRYSTALS-Kyber是量子安全算法Kyber密钥封装机制的官方实现工具，是 CRYSTALS（代数格密码套件）算法套件的一部分。它专为通用加密而设计，是美国国家标准与技术研究院（NIST）选出的旨在抵御量子计算机发动攻击的推荐算法。

一些热门应用使用了Kyber实现工具，比如Mullvad VPN、Signal Messenger。后者去年宣布采用CRYSTALS-Kyber KEM作为额外层。攻击者必须突破该层才能计算保护用户通信的密钥。

KyberSlash攻击是什么？

KyberSlash缺陷攻击是基于时间的攻击。攻击者利用Kyber在解封装过程中某些除法操作的执行方式，从而分析执行时间并推导可能损害加密的密钥。

如果一个实施 Kyber 的服务允许多个操作请求同一密钥对，攻击者可以测量时间差并逐渐推算出密钥。

Cryspen的研究人员Goutam Tamvada、Karthikeyan Bhargavan和Franziskus Kiefer，发现了造成KyberSlash漏洞（KyberSplash1和KyberSplash2）的问题代码片段。Cryspen是一家专门提供验证工具和经数学证明的软件供应商。

研究人员在在树莓派系统上演示KyberSlash1。他们尝试了三次，有两次根据解密时间恢复了Kyber的密钥。

修复工作正在进行

Cryspen分析人员于2023年11月底发现了KyberSlash1漏洞，并向Kyber的开发人员报告了这一问题。后者于12月1日推出了KyberSlash1的补丁。

然而，这项修复并未被标记为安全问题。直到12月15日，Cryspen才采取更加公开的方式，开始逐个通知受影响的项目升级Kyber实现工具。

12月30日，Prasanna Ravi和Matthias Kannwischer发现KyberSlash2漏洞，并负责任地进行了报告。随后，该漏洞得到修复。

截至2024年1月2日，确定受影响的项目及修复状态如下：

pq-crystals/kyber/ref – 已全面修复

symbolicsoft/kyber-k2so – 已全面修复

aws/aws-lc/crypto/kyber主分支– 已全面修复

zig/lib/std/crypto/kyber_d00.zig – 已全面修复

liboqs/src/kem/kyber – 仅修复KyberSlash1漏洞

aws/aws-lc/crypto/kyber, fips-2022-11-02 branch – 仅修复KyberSlash1漏洞

randombit/botan – 仅修复KyberSlash1漏洞

mupq/pqm4/crypto_kem/kyber – 仅修复KyberSlash1漏洞

antontutoveanu/crystals-kyber-javascript – 未修复

Argyle-Software/kyber – 未修复

debian/src/liboqs/unstable/src/kem/kyber – 未修复

kudelskisecurity/crystals-go – 未修复

PQClean/PQClean/crypto_kem/kyber/aarch64 – 未修复

PQClean/PQClean/crypto_kem/kyber/clean – 未修复

rustpq/pqcrypto/pqcrypto-kyber（Signal 使用）– 未修复

另外，以下库不含需要输入密钥的除法操作，因此被标记为未受影响：

boringssl/crypto/kyber

filippo.io/mlkem768

formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/avx2

formosa-crypto/libjade/tree/main/src/crypto_kem/kyber/common/amd64/ref

pq-crystals/kyber/avx2

pqclean/crypto_kem/kyber/avx2

最坏的情况是密钥发生泄露，但这并不意味着所有使用Kyber的项目都容易泄露密钥。

KyberSlash漏洞的后果取决于具体的Kyber实现工具，可能因实际用例和额外安全措施而有所不同。

例如，Mullvad表示KyberSlash不会影响其VPN产品，因为他们为每个新隧道连接使用唯一密钥对。这样，攻击者无法对同一对密钥发动一系列时间攻击。

外媒BleepingComputer已联系Signal，希望了解KyberSlash漏洞对其加密和用户通信的实际影响以及该项目的纠正计划，但目前尚未获得评论。

参考资料：https://www.bleepingcomputer.com/news/security/kyberslash-attacks-put-quantum-encryption-projects-at-risk/

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

一、漏洞介绍

Apache ActiveMQ是美国阿帕奇（Apache）基金会的一套开源的消息中间件，它支持Java消息服务、集群、Spring Framework等。Apache ActiveMQ存在代码问题漏洞，该漏洞允许经过身份验证的攻击者通过/api/jolokia/接口来操作MBean接口，实现任意代码执行，并最终控制目标服务器。

二、危害影响

成功利用漏洞的攻击者，可在目标服务器上执行任意代码，获取服务器的控制权限。Apache ActiveMQ 5.16.6之前版本，5.17.4之前版本至5.17.0之后版本均受此漏洞影响。

三、修复建议

目前，Apache官方已发布新版本修复了该漏洞，建议用户及时确认产品版本，尽快采取修补措施。官方参考链接：

https://activemq.apache.org/

本通报由CNNVD技术支撑单位——奇安信网神信息技术（北京）股份有限公司、北京奇虎科技有限公司、华为技术有限公司、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、新华三技术有限公司、上海斗象信息科技有限公司、北京山石网科信息技术有限公司、网宿科技股份有限公司、山东泽鹿安全技术有限公司、博智安全科技股份有限公司、内蒙古旌云科技有限公司、深圳昂楷科技有限公司、西安交大捷普网络科技有限公司、湖北肆安科技有限公司、北京中睿天下信息技术有限公司、任子行网络技术股份有限公司等技术支撑单位提供支持。

CNNVD将继续跟踪上述漏洞的相关情况，及时发布相关信息。如有需要，可与CNNVD联系。联系方式: cnnvdvul@itsec.gov.cn

声明：本文来自CNNVD安全动态，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

01漏洞详情

影响组件

Chrome是一款由Google公司开发的免费的、快速的互联网浏览器软件，目标是为使用者提供稳定、安全、高效的网络浏览体验。Google Chrome基于更强大的JavaScript V8引擎，提升浏览器的处理速度。支持多标签浏览，每个标签页面都在独立的“沙箱”内运行。

漏洞描述

近日，奇安信CERT监测到Google Chrome 信息泄露漏洞(CVE-2023-4357)，该漏洞的存在是由于 Google Chrome 中用户提供的 XML 输入验证不足。远程攻击者可以创建特制网页，诱骗受害者访问该网页并获取用户系统上的敏感信息。

鉴于该漏洞影响范围较大，建议客户尽快做好自查及防护。

02影响范围

影响版本

Google Chrome < 116.0.5845.96

不受影响版本

Google Chrome >= 116.0.5845.96

其他受影响组件

依赖Chromium内核的组件，如vscode、微信等。

03复现情况

目前，奇安信CERT已成功复现Google Chrome 信息泄露漏洞(CVE-2023-4357)，截图如下：

04处置建议

安全更新

目前官方已发布安全更新，受影响用户可以更新到最新版本。

版本检测及升级步骤：

1．查看右上角的“更多”图标，选择帮助 -> 关于Google Chrome

2．等待版本下载完成后，选择重新启动

3．查看当前版本

05参考资料

[1]https://crbug.com/1458911

[2]https://chromereleases.googleblog.com/2023/08/stable-channel-update-for-desktop_15.html

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

01漏洞详情

影响组件

Gitlab是目前被广泛使用的基于git的开源代码管理平台, 基于Ruby on Rails构建, 主要针对软件开发过程中产生的代码和文档进行管理，同时可以搭建Web服务。

影响版本漏洞描述

近日，奇安信CERT监测到GitLab 身份认证绕过漏洞(CVE-2023-4998)：GitLab 存在身份认证绕过漏洞，经过身份验证的远程攻击者有可能通过计划的安全扫描策略以任意用户身份运行管道。

鉴于此漏洞影响范围较大，建议客户尽快做好自查及防护。

02影响范围

影响版本

13.12 <= GitLab CE < 16.2.7

13.12 <= GitLab EE < 16.2.7

16.3 <= GitLab EE < 16.3.4

16.3 <= GitLab EE < 16.3.4

其他受影响组件

无

03处置建议

安全更新

目前官方已有可更新版本，建议受影响用户升级至：

GitLab CE >= 16.2.7

GitLab EE >= 16.2.7

GitLab CE >= 16.3.4

GitLab EE >= 16.3.4

缓解措施

启用下面两个功能的其中一个，不能同时启用两个：

1、直接传送

https://docs.gitlab.com/ee/administration/settings/import_and_export_settings.html#enable-migration-of-groups-and-projects-by-direct-transfer

2、安全策略

https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html

04参考资料

[1]https://about.gitlab.com/releases/2023/09/18/security-release-gitlab-16-3-4-released/

[2]https://docs.gitlab.com/ee/administration/settings/import_and_export_settings.html#enable-migration-of-groups-and-projects-by-direct-transfer

[3]https://docs.gitlab.com/ee/user/application_security/policies/scan-execution-policies.html

声明：本文来自奇安信 CERT，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

【沃通WoTrus安全资讯站】9月14日消息，2023 年 9 月Adobe的周二补丁更新附带了一个补丁，针对 Acrobat 和 Reader 中一个被积极利用的关键安全漏洞，该漏洞可能允许攻击者在易受攻击的系统上执行恶意代码。

该漏洞被跟踪为 CVE-2023-26369，在 CVSS 评分系统上的严重性等级为 7.8，影响 Windows 和 macOS 版本的 Acrobat DC、Acrobat Reader DC、Acrobat 2020 和 Acrobat Reader 2020。

被描述为越界写入，成功利用该错误可以通过打开特制的 PDF 文档来执行代码。Adobe没有透露有关该问题或所涉及的目标的任何其他细节。

“Adobe意识到CVE-2023-26369已在针对Adobe Acrobat和Reader的有限攻击中被利用，”该公司在一份公告中承认。

CVE-2023-26369 影响以下版本：

Acrobat DC（23.003.20284 及更早版本）- 在 23.006.20320 中修复

Acrobat Reader DC（23.003.20284 及更早版本）- 在 23.006.20320 中修复

Acrobat 2020（适用于 Windows 及更早版本的 20.005.30514，适用于 macOS 及更早版本的 20.005.30516） – 在 20.005.30524 中修复

Acrobat Reader 2020（Windows 及更早版本为 20.005.30514，macOS 及更早版本为 20.005.30516） – 在 20.005.30524 中修复

软件制造商还修补了Adobe Connect（CVE-2023-29305和CVE-2023-29306）和Adobe Experience Manager（CVE-2023-38214和CVE-2023-38215）中的两个跨站点脚本缺陷，这些缺陷可能导致任意代码执行。

参考资料：https://thehackernews.com/2023/09/update-adobe-acrobat-and-reader-to.html

声明：本文来自THN，版权归作者所有。文章内容仅代表作者独立观点，不代表本站立场，转载目的在于传递更多信息。如有侵权，请联系本站处理。

谷歌周一推出了更新频率外的安全补丁，以解决其Chrome网络浏览器中的一个关键安全漏洞，据称该漏洞已被利用。

该问题被跟踪为 CVE-2023-4863，被描述为以 WebP 图像格式驻留的堆缓冲区溢出情况，这可能导致任意代码执行或崩溃。

Apple 安全工程与架构 （SEAR） 和多伦多大学蒙克学院的公民实验室因在 2023 年 9 月 6 日发现并报告了该漏洞而受到赞誉。

这家科技巨头尚未透露有关漏洞利用性质的更多细节，但指出它“意识到针对 CVE-2023-4863 漏洞的利用已公开存在”。通过最新的修复程序，谷歌自今年年初以来总共解决了四个Chrome零日漏洞。

CVE-2023-2033（CVSS 分数：8.8） – V8 中的类型混淆

CVE-2023-2136（CVSS 分数：9.6） – Skia 中的整数溢出

CVE-2023-3079（CVSS 分数：8.8） – V8 中的类型混淆

同一天，Apple扩展了修复程序以修复以下设备和操作系统中的CVE-2023-41064 漏洞。

iOS 15.7.9 and iPadOS 15.7.9 -iPhone 6s（所有机型）、iPhone 7（所有机型）、iPhone SE（第 1 代）、iPad Air 2、iPad mini（第 4 代）和 iPod touch（第 7 代）；

macOS Big Sur 11.7.10 和 macOS Monterey 12.6.9

CVE-2023-41064 与映像 I/O 组件中的缓冲区溢出问题有关，该问题可能导致在处理恶意制

作的映像时执行任意代码。根据Citizen Lab的说法，CVE-2023-41064 据说与钱包中的验证问题 CVE-2023-41061 结合使用，CVE-2023-41061是名为 BLASTPASS 的零点击 iMessage 漏洞链的一部分，用于在运行 iOS 16.6 的完全修补的 iPhone 上部署 Pegasus。

CVE-2023-41064 和 CVE-2023-4863 都与图像处理有关，而后者已被 Apple 和Citizen Lab报告，这一事实表明两者之间可能存在潜在联系。建议用户升级到适用于Windows的Chrome版本116.0.5845.187/.188，适用于macOS和Linux的Chrome版本116.0.5845.187，以减轻潜在威胁，也建议基于 Chromium 内核的浏览器用户在获得修复程序后及时更新。

声明：内容来源thehackernews，沃通翻译整理，转载目的在于传递更多资讯，如有侵权，请联系本站处理。

安全内参8月9日消息，英国国家选举委员会披露了一起大规模的数据泄露事件。2014年至2022年间，所有在英国注册投票者，个人信息均遭泄露。

该委员会在十个月前检测到此次泄露事件，那时距首次泄露发生已经过去了两年时间。这不禁让人质疑，委员会为何花了如此之久才公开报告泄露事件。

根据委员会发布的“网络攻击公开通知”，他们在2022年10月首次检测到本次网络攻击，后续调查时发现威胁行为者早在2021年8月就已经入侵了他们的系统。

在这次网络攻击事件中，威胁行为者访问了英国选举委员会的服务器，其中存储了该部门的电子邮件、控制系统以及选民登记册副本，可能导致约4000万选民的数据泄露。

近十年选民数据泄露

官方披露通知称，“威胁行为者能够访问选民登记册参考副本。委员会保留这些副本，目的是进行研究，审查政治献金合理性。网络攻击发生时，服务器上保存的登记册包括2014年至2022年间，所有在英国注册投票者的姓名和地址，以及注册海外选民的姓名。”

所幸被曝露的选举登记册不包含匿名注册者的个人信息。选举委员会表示，被曝露的选民信息包括：

委员会电子邮件系统中包含的个人数据：

• 全名、名、姓。
• 个人和/或商务电子邮件地址。
• 网络表单或电子邮件中出现的家庭地址。
• 个人和/或商务电话号码。
• 可能包含个人数据的网络表单和电子邮件的内容。
• 发送给委员会的任何个人图片。

选举登记册条目中包含的个人数据：

• 全名、名、姓。
• 登记册条目中的家庭地址。
• 选民于当年达到投票年龄的具体日期。

官方称攻击未影响选举安全，选民需警惕针对性网络钓鱼

攻击期间，威胁行为者访问了委员会的电子邮件服务器，使得该机构所有内部和外部通信都被暴露。

委员会表示，此次网络攻击对任何选举或个人选民登记都没有影响。该机构淡化了此次攻击，称攻击没有修改任何选民登记，“很多信息本就属于公共领域”。

然而，英国的公开登记册中，只有选民的姓名和地址是公开可用的。对威胁行为者来说，其他被曝露的信息（比如电话号码和电子邮件地址）可能更有价值。他们可以利用这些信息发起更有针对性的网络钓鱼攻击或身份盗窃。

因此，所有英国选民应该警惕针对性的网络钓鱼邮件，避免进一步泄漏敏感信息，如密码、账号或财务信息。收到可疑电子邮件后，不应该点击任何链接；正确做法是，电话联系邮件中所述组织，确认电子邮件的真实性。

参考资料：bleepingcomputer.com

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。

安全内参8月4日消息，五眼联盟国家网络安全机构昨天联合发布安全公告，公布了2022年最常被利用的12个漏洞，并建议“及时修补面向互联网的系统”。

这些网络安全机构非常了解美国、澳大利亚、加拿大、新西兰和英国境内组织受到的网络攻击。咨询公告称，恶意网络攻击者利用较旧软件漏洞的频率高于最近披露的漏洞。

此次发布的2022年最常被利用漏洞列表，与去年发布的列表类似。前12个最常被利用漏洞里，有超过一半也出现在去年发布的列表，比如Log4Shell（CVE-2021-44228）和Zoho漏洞（CVE-2021-40539）。Log4Shell漏洞于2021年被发现，据信遭朝鲜威胁组织利用。Zoho漏洞被用来对红十字会发动攻击，引发媒体广泛报道。

英国国家网络安全中心（NCSC）认为，大量老漏洞在今年列表上再次出现，说明“尽管已有安全更新可以修复面向互联网系统的已披露漏洞，这些漏洞依然遭到恶意网络攻击者继续利用。”

旧漏洞仍占大半

去年被利用最多的漏洞在2018年就已经被披露，各大组织有四年时间修补相关设备。然而，这一漏洞仍然反复见诸美国网络安全和基础设施安全局、联邦调查局和英国国家网络安全中心的各项报告。

该漏洞影响Fortinet的SSL VPN产品，编号为CVE-2018-13379。这一问题早就为人所知。西方国家政府曾警告说，APT29等与俄罗斯联邦对外情报局有关的威胁组织，以及其他恶意组织都在利用这个漏洞。

Fortinet的一位发言人强调该公司已向公众提供缓解指南。他表示：“Fortinet致力于帮助组织基于风险做出明智的决策，从而减轻网络风险。相关决策包括及时打上补丁、进行关键更新。”

紧随Fortinet VPN漏洞其后的，是一系列影响微软Exchange服务器的漏洞。它们于2021年被发现，通常称为ProxyShell漏洞（包括CVE-2021-34473、CVE-2021-31207、CVE-2021-34523）。

英国国家网络安全中心表示：“攻击者通常在漏洞公开披露后的前两年内，利用这些漏洞取得最大收获，他们会针对性地利用这些漏洞，最大程度地扩大攻击影响，这就体现了企业及时应用安全更新的好处。“

此外，Atlassian漏洞（CVE-2021-26084）继续位居前五名。该漏洞允许通过互联网进行远程利用，可以轻易地被武器。因此，它的严重性评分高达9.8分（满分为10分）。

清单前7个漏洞均为老漏洞

新漏洞遭利用频次提高

去年最常被利用的漏洞中，真正在去年发现的是影响VMware产品的一对漏洞（CVE-2022-22954、CVE-2022-22960）。它们促使CISA在去年五月发布紧急指令，要求联邦民事行政部门修补受影响产品。

影响F5公司BIG-IP产品的漏洞在2022年最严重漏洞列表中排名不高。它的严重性评分也高达9.8分（满分为10分）。这一漏洞促使CISA发布紧急警报。据Shodan数据显示，超过15000个BIG-IP产品存在互联网暴露问题。

微软再次登上榜单。多家安全公司报告称，Windows系统中的微软支持诊断工具漏洞（CVE-2022-30190）被多个国家支持的威胁组织利用。

Atlassian的另一个漏洞（CVE-2022-26134）出现在“2022年十二大被利用漏洞”列表末尾。安全公告警告称，“2022年6月被公开披露之前，它很可能最初被作为零日漏洞利用”，并指出它与排名第四的另一个Atlassian漏洞（CVE-2021-26084）有关联。

参考资料：https://therecord.media/fortinet-vpn-tops-cisa-list-of-bugs

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表沃通CA立场，转载目的在于传递更多信息。如有侵权，请联系删除。