【资安日报】9月30日,Unix与Linux普遍内置的打印系统CUPS存在重大漏洞
支付動態 · 2024-09-30

上周末有研究人员提出警告,Unix与Linux普遍内置的打印系统CUPS存在相当危险的弱点,其中最为严重的漏洞CVSS风险评分达到9.9,呼吁用户应尽速采取行动因应

资安业者Wiz揭露位于Nvidia Container Toolkit的安全漏洞CVE-2024-0132,它允许黑客突破容器的隔离限制而存取主机,CVSS风险评为9.0分,Nvidia亦发布1.16.2版修补。

CVE-2024-0132为时间检查与时间使用(TOCTOU)漏洞,发生在检查资源状态与使用该资源间的时间差中,在默认的配置下运行特定的容器映像档就会触发该漏洞,允许黑客存取主机的文件系统,成功的利用可导致程序运行、服务阻断攻击、权限扩张、信息揭露或是窜改数据等行为。

有鉴于Nvidia为全球最大的显示芯片供应商,Wiz估计,全球有33%的云端环境都安装了Nvidia Container Toolkit而可能曝险。

HashiCorp修补帐密管理工具Vault高风险漏洞

9月26日云端服务基础设施自动化业者HashiCorp发布资安公告,指出旗下的机敏信息(secrets)管理工具Vault存在高风险漏洞CVE-2024-7594,同时影响社群版(Community Edition)与企业版(Enterprise),对此,他们发布社群版1.17.6,以及企业版1.17.6、1.16.10、1.15.15予以修补。

这项漏洞发生的原因,在于SSH机敏信息引擎的valid_principals列表默认不须具备任何参数,一旦valid_principals及default_user字段尚未设置,任何得到授权的用户请求的SSH凭证,将能对任何本机用户进行身分验证,CVSS风险评分为7.7。

其他漏洞与修补

OpenPLC存在重大漏洞,攻击者可发送特制请求触发

Proxmox虚拟化平台、邮件安全闸道的API存在高风险漏洞

Riello不断电系统存在漏洞,恐导致设备遭到接管

Proroute旗下4G路由器存在高风险命令注入漏洞

影音播放器VLC Media Player修补高风险漏洞

 

【资安产业动态】

Firefox被控侵犯用户隐私

非营利的欧洲数位人权中心None of Your Business(NOYB)向奥地利数据保护机构(DSB)投诉,指控Mozilla基金会在Firefox浏览器中内置的隐私保护归因(Privacy Preserving Attribution,PPA)在未取得用户同意之前便默认激活,违反GDPR。

NOYB认为,Mozilla企图在不于各个网站搜集个人数据的情况下衡量广告效果,但事实上,有部分的追踪能力直接转移到Firefox上,虽然相较于在美国常见的无限追踪,PPA的侵入性较小,但根据GDPR,它依然侵犯了用户的权利,因为它并没有取得用户的明确同意。

 

近期资安日报

【9月27日】黑客利用Docker引擎API进行挖矿

【9月26日】macOS版ChatGPT软件存在可被窃密的漏洞SpAIware

【9月25日】UNC1860为攻击中东企业组织的黑客开路

热门文章
巴西拟将博彩税率提高至24% 税收将用于社保和医疗领域
游戏风向
越南在线博彩业政策收紧 催生市场新机遇
东南亚资讯
亚洲游戏市场观察:15大市场热门游戏与用户趋势
线上游戏
BETFAIR 网络攻击80万用户资料泄露
游戏风向
哈萨克斯坦计划对在线赌场促销活动进行处罚
游戏风向
英国确认各垂直行业的赌博税税率
游戏风向
亚洲顶尖游戏供应商多寶游戏 DB GAMING,开创亚洲市场的唯一首选
广告营销
密西西比州众议院委员会推进提议增加赌场税的法案
游戏风向
新泽西州7月博彩收入创6.06亿美元新高,颁布禁令
游戏风向
印度最高法院受理公益诉讼,要求全国禁封“伪装”成社交游戏的赌博平台
游戏风向
JILI 宣布与全球板球传奇 AB de Villiers(ABD)达成重磅战略合作
体育游戏
张侨伟参议员排除全面禁止,敦促菲律宾规范网络赌博
东南亚资讯
菲律宾博彩技术赛道迎来新变局,B2B 供应模式加速渗透
东南亚资讯
越南博彩管控逐步放宽,惟本土需求仍显乏力
东南亚资讯
斯里兰卡博弈产业大转型,官方:剑指南亚拉斯维加斯
游戏风向
首页
游戏
合作
发现
我的