freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FreeBuf早报 | 今年黑客已窃取 14.9 亿美元加密货币;Cloudflare开发人员域正被滥用
  • 关注
FreeBuf早报 | 今年黑客已窃取 14.9 亿美元加密货币;Cloudflare开发人员域正被滥用
2024-12-04 17:35:23
所属地 上海

全球动态

1. 中国多个协会声明:美国芯片不再安全、不再可靠,慎用

中国互联网协会、中国半导体行业协会、中汽协、中国通信企业协会齐发声,谨慎采购美国芯片。 【阅读原文

2. 2024年,黑客已窃取 14.9 亿美元的加密货币

Web3 漏洞赏金平台 Immunefi 的一份新报告显示,2024 年迄今已记录了近 14.9 亿美元的加密货币损失,主要是由于黑客事件。 【阅读原文

3. Cloudflare 开发人员域越来越多地被威胁行为者滥用

Cloudflare 的“pages.dev”域和“workers.dev 域”用于部署网页和促进无服务器计算,但现在正越来越多地被网络犯罪分子滥用,用于网络钓鱼和其他恶意活动。 【外刊-阅读原文

4. Win10 / Win11 漏洞概念验证代码公开:零交互提权掌控用户 PC

科技媒体 securityonline 于 12 月 2 日发布博文,报道称微软于 11 月 13 日面向 Windows 10、Windows 11 发布累积更新,修复 CVE-2024-49039 漏洞后,该漏洞概念验证利用代码已被公开发布。 【阅读原文

5. 警方查封德国最大的在线犯罪市场并逮捕了管理员

德国已经摧毁了该国最大的在线网络犯罪市场“Crimenetwork”,并逮捕了其管理员,罪名是其为销售毒品、被盗数据和非法服务提供便利。 【外刊-阅读原文

6. FTC 禁止数据经纪人出售美国人的敏感位置数据

当地时间12月3日,FTC 禁止了数据经纪人公司 Mobilewalla、Gravy Analytics 收集和出售与教堂、医疗机构、军事设施和学校等敏感地点相关的美国人位置跟踪数据。 【外刊-阅读原文

安全事件

1. 谷歌 Chrome 类型混淆漏洞让攻击者能够执行远程代码

最近,独立研究人员在 Google Chrome 的 V8 JavaScript 引擎中发现了一个严重性较高的类型混淆漏洞。该漏洞被确定为 CVE-2024-12053,可能允许攻击者在受影响的系统上执行远程代码,从而可能导致系统受损和数据盗窃。 【外刊-阅读原文

2. MobSF 漏洞让攻击者注入恶意脚本

研究人员在移动安全框架 (MobSF) 中发现了一个严重的安全漏洞,这是一种流行的渗透测试和恶意软件分析工具,可能会使用户面临重大风险。 【外刊-阅读原文

3. Veeam 服务提供商 RCE 漏洞允许攻击者执行任意代码

领先的备份和灾难恢复解决方案提供商 Veeam 披露了影响其服务提供商控制台 (VSPC) 的两个重大漏洞,包括一个关键的远程代码执行 (RCE) 漏洞。 【外刊-阅读原文

4. 思科安全设备ASA十年老漏洞正在被利用

近期,思科系统公司(Cisco Systems)更新了关于CVE-2014-2120的安全公告,警告客户该漏洞已在野外被利用。CVE-2014-2120是一个影响思科自适应安全设备(ASA)软件的WebVPN登录页面的跨站脚本(XSS)漏洞。该漏洞最初于2014年披露,它允许未经身份验证的远程攻击者对WebVPN用户执行XSS攻击。 【外刊-阅读原文

5. 微软驱动程序关键漏洞已被APT组织利用

近日,微软被曝Windows AFD.sys漏洞(编号:CVE-2024-38193)正在被黑客组织利用。该漏洞被归类为自带易受攻击驱动程序(BYOVD)漏洞,可影响Windows套接字的注册I/O(RIO)扩展,并允许攻击者远程接管整个系统。 【外刊-阅读原文

6. 富士Electric 监控软件被发现有16 个零日漏洞

安全研究人员在日本设备制造商富士电机的远程监控软件中发现了 16 个零日漏洞,这些漏洞使攻击者能够在公用事业和其他关键基础设施提供商常用的设备中执行恶意代码。 【外刊-阅读原文

优质文章

1. 深入了解失效对象级授权(BOLA):API安全的薄弱环节

本文深入探讨失效对象级授权的概念、潜在风险,以及在API安全上的重要性,将分析一些真实的 BOLA 攻击案例,以帮助读者更好地理解这一问题的严重性,并提供有效的解决方案与最佳实践,来帮助开发者和安全防护团队共同打造更安全的API环境。 【阅读原文

2. 信息系统安全架构 | 威胁建模篇(2-1)

为更好地规避应用系统可能面临的安全威胁并减少软件脆弱性,本文基于业务需求的文档对软件进行威胁建模分析,从开发阶段提前识别潜在风险并规划防护措施。 【阅读原文

3. 基于生成式人工智能的网络认知域安全技术

本文尝试深入剖析基于生成式人工智能的安全防御技术,探索如何利用这一前沿技术的强大能力,为网络空间认知领域构建起一道坚不可摧的安全防线。 【阅读原文


*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录
全球动态
  • 1. 中国多个协会声明:美国芯片不再安全、不再可靠,慎用
  • 2. 2024年,黑客已窃取 14.9 亿美元的加密货币
  • 3. Cloudflare 开发人员域越来越多地被威胁行为者滥用
  • 4. Win10 / Win11 漏洞概念验证代码公开:零交互提权掌控用户 PC
  • 5. 警方查封德国最大的在线犯罪市场并逮捕了管理员
  • 6. FTC 禁止数据经纪人出售美国人的敏感位置数据
安全事件
  • 1. 谷歌 Chrome 类型混淆漏洞让攻击者能够执行远程代码
  • 2. MobSF 漏洞让攻击者注入恶意脚本
  • 3. Veeam 服务提供商 RCE 漏洞允许攻击者执行任意代码
  • 4. 思科安全设备ASA十年老漏洞正在被利用
  • 5. 微软驱动程序关键漏洞已被APT组织利用
  • 6. 富士Electric 监控软件被发现有16 个零日漏洞
优质文章
  • 1. 深入了解失效对象级授权(BOLA):API安全的薄弱环节
  • 2. 信息系统安全架构 | 威胁建模篇(2-1)
  • 3. 基于生成式人工智能的网络认知域安全技术