新加坡用户的 Android 设备将阻止用户 sideload 不安全软件,除非用户完全禁用 Google Play Protect。
- Google 正在新加坡进行试点:Android 将在检测到用户下载或 sideload 的应用不安全时拦截并通知用户。
- 此功能由新加坡网络安全局 (Cyber Security Agency, CSA) 开发。
- 与一般情况下用户可以点击跳过不同,除非完全禁用 Google Play Protect 功能,用户将无法临时运行安装可疑 App。
straitstimes.com/~
#Singapore #Security #Google #Android
- Google 正在新加坡进行试点:Android 将在检测到用户下载或 sideload 的应用不安全时拦截并通知用户。
- 此功能由新加坡网络安全局 (Cyber Security Agency, CSA) 开发。
- 与一般情况下用户可以点击跳过不同,除非完全禁用 Google Play Protect 功能,用户将无法临时运行安装可疑 App。
straitstimes.com/~
#Singapore #Security #Google #Android
The Straits Times
Android users in S’pore to be blocked from installing unverified apps as part of anti-scam trial
An update will progressively arrive on all users’ devices and will be enabled by default through Google Play protect. Read more at straitstimes.com. Read more at straitstimes.com.
👎141🤔9🤨3❤2👍1
Mastodon 更新两个新版本,修复 sidekiq-unique-jobs 和一个远程内容检查相关的问题。
seealso: GHSA-jhrq-qvrm-qr36, CVE-2024-25122
github.com/~
#Mastodon #Security
seealso: GHSA-jhrq-qvrm-qr36, CVE-2024-25122
github.com/~
#Mastodon #Security
GitHub
Release v4.2.7 · mastodon/mastodon
WarningThis release is an important security release fixing a major security issue.
Corresponding security releases are available for the 4.1.x branch, the 4.0.x branch and the 3.5.x branch.
NoteI...
Corresponding security releases are available for the 4.1.x branch, the 4.0.x branch and the 3.5.x branch.
NoteI...
👍17
#PSA: xz 5.6.0/5.6.1 版本存在后门。请立即更新。
https://www.openwall.com/lists/oss-security/2024/03/29/4
CVE: CVE-2024-3094 (CVSS: 10.0 Critical)
#xz #Security #Backdoor
https://www.openwall.com/lists/oss-security/2024/03/29/4
CVE: CVE-2024-3094 (CVSS: 10.0 Critical)
#xz #Security #Backdoor
👍3🎉1
一位开发者发现,大量用户运行的某备份程序默认会上传到特定名称的 S3 存储桶。
这些由于权限原因未能成功的 S3 上传 (PUT) 请求约有每天 100 万次,总共为这位开发者带来了约 $1300 的计费。
在开发者公开此事后,AWS 联系其并取消了这笔费用。
arstechnica.com/~
#S3 #Security
这些由于权限原因未能成功的 S3 上传 (PUT) 请求约有每天 100 万次,总共为这位开发者带来了约 $1300 的计费。
在开发者公开此事后,AWS 联系其并取消了这笔费用。
arstechnica.com/~
#S3 #Security
Ars Technica
AWS S3 storage bucket with unlucky name nearly cost developer $1,300
Amazon says it's working on stopping others from "making your AWS bill explode."
🤔42🕊8🔥2
GitLab.com #Breaking: 2023/5/15 前创建的所有 GitLab.com access token 现在已经过期,这可能使一些自动化服务中断。
GitLab 于 2023/5/15 的 16.0 版本起移除创建永久有效 access token 的功能。从此时间起,所有新 access token 最多有 365 天有效期。现有的永久有效 token 会于 2024/5/15 过期。
- gitlab:gitlab-com/gl-infra/production#18003
- about.gitlab.com/~
#GitLab #Security
GitLab 于 2023/5/15 的 16.0 版本起移除创建永久有效 access token 的功能。从此时间起,所有新 access token 最多有 365 天有效期。现有的永久有效 token 会于 2024/5/15 过期。
- gitlab:gitlab-com/gl-infra/production#18003
- about.gitlab.com/~
#GitLab #Security
GitLab
2024-05-14: Multiple reports of authentication failures accessing GitLab.com (#18003) · Issues · GitLab.com / GitLab Infrastructure…
Customer Impact Tokens with infinite lifetimes were expired. This was a planned activity which was...
👍14🤨5👎3🐳1
层叠 - The Cascading
Polyfill.io 服务改为由 CDN 服务商 Funnull 运营;Fastly 和 Cloudflare 已提供 drop-in 替代。 - Polyfill.io 项目开发者 Jake Champion 提到,已将项目和服务运营移交给一家名为 Funnull 的公司;另一位开发者 Andrew Betts 引用上条,并呼吁开发者停止使用 polyfill.io 服务。[1] - Funnull 称公司位于斯洛文尼亚,但官方网站默认使用中文显示。网站还称公司与许多博彩类服务商存在深度合作关系 [2]。…
#PSA: 请停止使用 polyfill.io ; polyfill.io 被发现注入恶意代码到浏览器,将用户跳转至其它网站。
有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。
theregister.com/~
thread: /4454
#PolyfillIO #Security
有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。
theregister.com/~
thread: /4454
#PolyfillIO #Security
The Register
If you're using Polyfill.io code on your site – like 100,000+ are – remove it immediately
Scripts turn sus after mysterious CDN swallows domain
🔥21🤨9🕊2❤1
层叠 - The Cascading
#PSA: 请停止使用 polyfill.io ; polyfill.io 被发现注入恶意代码到浏览器,将用户跳转至其它网站。 有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。 theregister.com/~ thread: /4454 #PolyfillIO #Security
关于 polyfill.io 、 bootcdn.net 及 staticfile.org 等的后续消息:
- 受影响的 CDN 包括 bootcdn.net 、 bootcss.com 、 staticfile.net 、 staticfile.org 等 [1]。
- uBlock 的 "Badware risks" 过滤器已经阻断了到这些站点的访问;Namecheap 关停了 polyfill.io 和 polyfill.com 域名 [2];Google 亦开始停止投放使用 polyfill.io 网站的广告 [1]。
- Cloudflare 提供了自动替换至自有 Polyfill 的服务,默认对免费计划的站点启用;付费计划的站点可以手工启用 [3]。
- 一位安全研究者发现,GitHub 上的 data.polyfill.com 库存储了 Cloudflare API 密钥,并用密钥访问 Cloudflare API 发现同一个账户控制着以上的这些域名 [2]。
1. sansec.io/~
2. bleepingcomputer.com/~
3. blog.cloudflare.com/~
thread: /4551
[感谢 夜坂雅 提供此消息。]
#PolyfillIO #Security
- 受影响的 CDN 包括 bootcdn.net 、 bootcss.com 、 staticfile.net 、 staticfile.org 等 [1]。
- uBlock 的 "Badware risks" 过滤器已经阻断了到这些站点的访问;Namecheap 关停了 polyfill.io 和 polyfill.com 域名 [2];Google 亦开始停止投放使用 polyfill.io 网站的广告 [1]。
- Cloudflare 提供了自动替换至自有 Polyfill 的服务,默认对免费计划的站点启用;付费计划的站点可以手工启用 [3]。
- 一位安全研究者发现,GitHub 上的 data.polyfill.com 库存储了 Cloudflare API 密钥,并用密钥访问 Cloudflare API 发现同一个账户控制着以上的这些域名 [2]。
1. sansec.io/~
2. bleepingcomputer.com/~
3. blog.cloudflare.com/~
thread: /4551
[感谢 夜坂雅 提供此消息。]
#PolyfillIO #Security
Sansec
Polyfill supply chain attack hits 100K+ sites
The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites.
⚡15👎3👍2
英飞凌的 ECDSA 实现存在侧信道攻击漏洞;影响 Yubikey 5;攻击需要设备物理访问。
- Yubikey 5 系固件版本在 5.7.0 以下的设备及 YubiHSM 2 系固件版本在 2.4.0 的设备受到影响。
- 物理持有受影响设备的骇客或能够恢复设备中的 ECDSA 私钥;完成此攻击可能还需要设备 PIN 等信息。
- 用户可换用基于 RSA 的验证方式以规避此问题,组织则可考虑提高验证频率要求以使用户更早认知到 Yubikey 丢失情形。
https://ninjalab.io/eucleak/
1. yubico.com/~
linksrc: https://t.me/bupt_moe/2237
#Cryptography #Security #Yubikey #Infineon #EUCLEAK
- Yubikey 5 系固件版本在 5.7.0 以下的设备及 YubiHSM 2 系固件版本在 2.4.0 的设备受到影响。
- 物理持有受影响设备的骇客或能够恢复设备中的 ECDSA 私钥;完成此攻击可能还需要设备 PIN 等信息。
- 用户可换用基于 RSA 的验证方式以规避此问题,组织则可考虑提高验证频率要求以使用户更早认知到 Yubikey 丢失情形。
https://ninjalab.io/eucleak/
1. yubico.com/~
linksrc: https://t.me/bupt_moe/2237
#Cryptography #Security #Yubikey #Infineon #EUCLEAK
NinjaLab
EUCLEAK - NinjaLab
Download the Writeup Illustration Romain Flamand – Flamingo Studio – flamandromain@gmail.com Abstract Secure elements are small microcontrollers whose main purpose is to generate/store secrets and then execute cryptographic operations. They undergo the highest…
👍2
#PSA: 立即更新 GitLab!Ruby-SAML 未能正确验证 SAML 签名。
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://t.me/billchenla/19542
#Security #SAML #GitLab
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://t.me/billchenla/19542
#Security #SAML #GitLab
Telegram
咕 Billchen 咕 |
CVE-2024-45409 SAML authentication bypass
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
🤔13
[已修复] 研究者发现在已知 Arc 用户 ID 后,可以利用 Arc Boosts 功能在用户访问网站时执行任意代码。
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
🐳26🤨12👎9🎉3👍1
研究者发现 iOS 18 新安全特性:72 小时内未解锁的 iPhone 会自动重启。
重启后的 iPhone 处于完全数据加密状态,需要屏幕锁定密码才能解密数据,因而更难以被侵入。
techcrunch.com/~
#Apple #Security
重启后的 iPhone 处于完全数据加密状态,需要屏幕锁定密码才能解密数据,因而更难以被侵入。
techcrunch.com/~
#Apple #Security
TechCrunch
New Apple security feature reboots iPhones after 3 days, researchers confirm | TechCrunch
“Inactivity reboot" effectively puts iPhones in a more secure state by locking the user's encryption keys in the iPhone's secure enclave chip.
👍65👎4🤨4🔥2❤1
Ultralytics 的部分版本含有 crypto miner;受影响版本现已被撤回。
- Ultralytics 是一个(自称) state-of-the-art 的包含视觉识别等功能的模型。
- 受影响版本为 8.3.41/42/45/46。
- 骇客似乎透过构造分支名称得以在由 pull_request_target 触发的 CI 中执行任意代码,并获得了 PyPI token 等敏感信息。 [1]
https://github.com/ultralytics/ultralytics/issues/18027
1. blog.yossarian.net/~
#Ultralytics #CI #Security
- Ultralytics 是一个(自称) state-of-the-art 的包含视觉识别等功能的模型。
- 受影响版本为 8.3.41/42/45/46。
- 骇客似乎透过构造分支名称得以在由 pull_request_target 触发的 CI 中执行任意代码,并获得了 PyPI token 等敏感信息。 [1]
https://github.com/ultralytics/ultralytics/issues/18027
1. blog.yossarian.net/~
#Ultralytics #CI #Security
GitHub
Discrepancy between what's in GitHub and what's been published to PyPI for v8.3.41 · Issue #18027 · ultralytics/ultralytics
Bug Code in the published wheel 8.3.41 is not what's in GitHub and appears to invoke mining. Users of ultralytics who install 8.3.41 will unknowingly execute an xmrig miner. Examining the file ...
🤨12
tj-actions/changed-files 被骇,被骇版本会将 secret 写入运行日志;现已修复。
- 骇客伪装成 Renovate bot 更新了 minify 的 Actions 代码,亦修改了所有 tag 使其指向恶意 commit。
- 维护者称原因是自己的一个 PAT (Personal Access Token) 泄露 [1]。
- gh:tj-actions/changed-files#2463
- stepsecurity.io/~
1. gh:tj-actions/changed-files#2464
#Security #GitHubActions
- 骇客伪装成 Renovate bot 更新了 minify 的 Actions 代码,亦修改了所有 tag 使其指向恶意 commit。
- 维护者称原因是自己的一个 PAT (Personal Access Token) 泄露 [1]。
- gh:tj-actions/changed-files#2463
- stepsecurity.io/~
1. gh:tj-actions/changed-files#2464
#Security #GitHubActions
GitHub
Multiple tags in this action are compromised · Issue #2463 · tj-actions/changed-files
Example this tag was just updated 3 hours back and is potentially exfiltrating credentials https://github.com/tj-actions/changed-files/tags?after=v35.9.3 You can read more here: https://www.stepsec...
🕊8❤1
#PSA: Next.js 中间件权限验证漏洞;请尽快更新。
影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。
zeropath.com/~
cve: CVE-2025-29927
cvss: 9.1 (GitHub)
ghsa: GHSA-f82v-jwr5-mffw
linksrc: https://t.me/hyi0618/6574
#Security #Nextjs
影响 11-15 版本;修复于 14.2.25/15.2.3 版本;mitigation 亦可应用。
zeropath.com/~
cve: CVE-2025-29927
cvss: 9.1 (GitHub)
ghsa: GHSA-f82v-jwr5-mffw
linksrc: https://t.me/hyi0618/6574
#Security #Nextjs
Zeropath
Next.js Middleware Exploit: CVE-2025-29927 Authorization Bypass - ZeroPath Blog
Explore the critical CVE-2025-29927 vulnerability in Next.js middleware, enabling attackers to bypass authorization checks and gain unauthorized access.
🎉9
[新:CISA 宣布与 MITRE 续约。] MITRE 称 DHS 停止与其合约,或将停止运营。
- 作为久负盛名的安全业非营利组织,MITRE 维护包括 CVE 漏洞数据库等项目。
- DHS (美国国土安全部)和 CISA(美国网络安全和基础设施安全局)是美国的政府部门。
seealso: HackerNews:43700607
#MITRE #Security #US
- 作为久负盛名的安全业非营利组织,MITRE 维护包括 CVE 漏洞数据库等项目。
- DHS (美国国土安全部)和 CISA(美国网络安全和基础设施安全局)是美国的政府部门。
seealso: HackerNews:43700607
#MITRE #Security #US
👍12🔥3
#PSA: debug、chalk 等 npm 包被骇:请检查受影响版本是否被使用。
- Qix- 是终端字符处理方面一些著名 npm 包的开发者,维护包括 ansi-styles、debug、chalk 等包。其中许多包每周下载量上亿次。
- 开发者被 2FA 恢复验证邮件钓鱼,使得骇客得以访问开发者的 npm 账号。
- 目前有 18 个包确认被注入恶意代码;截至现时,已知被注入恶意代码的版本均被移除。原文列出了这些包的列表。
- (ChatGPT 称)恶意代码的主要行为是替换 HTTP 等请求中的数字货币账户地址,使用户的付款等操作的接收者变为骇客提供的地址。
gh:debug-js/debug#1005
seealso: HackerNews:45169657
linksrc: https://t.me/bupt_moe/2516
#npm #security
- Qix- 是终端字符处理方面一些著名 npm 包的开发者,维护包括 ansi-styles、debug、chalk 等包。其中许多包每周下载量上亿次。
- 开发者被 2FA 恢复验证邮件钓鱼,使得骇客得以访问开发者的 npm 账号。
- 目前有 18 个包确认被注入恶意代码;截至现时,已知被注入恶意代码的版本均被移除。原文列出了这些包的列表。
- (ChatGPT 称)恶意代码的主要行为是替换 HTTP 等请求中的数字货币账户地址,使用户的付款等操作的接收者变为骇客提供的地址。
gh:debug-js/debug#1005
seealso: HackerNews:45169657
linksrc: https://t.me/bupt_moe/2516
#npm #security
GitHub
(RESOLVED) Version 4.4.2 published to npm is compromised · Issue #1005 · debug-js/debug
MESSAGE FROM @Qix- : PLEASE SEE #1005 (comment) FOR LATEST UPDATES. Version not present in this repo has been pushed out to npm. https://www.npmjs.com/package/debug/v/4.4.2?activeTab=code src/index...
🕊8🐳1
ShadyPanda:Koi 研究者发现影响超 400 万用户的多个恶意插件;其中一部分包含 RCE 后门。
- 文章中主要提到了 Clean Master 插件。这款插件会收集用户页面访问历史和用户 cookie,甚至在用户设备上执行远程代码等。 [1]
- 其中提及的插件 We Tab 的开发者声明称,Clean Master 的恶意行为是出售给第三方后出现的情况;其它插件没有信息收集等行为。 [2]
- Google 和 Microsoft 均已确认这些插件已经下架。 [3]
1. koi.ai/~
2. mp.weixin.qq.com/~
3. theregister.com/~
[感谢一位匿名订户提供此消息。]
#Extension #Security
- 文章中主要提到了 Clean Master 插件。这款插件会收集用户页面访问历史和用户 cookie,甚至在用户设备上执行远程代码等。 [1]
- 其中提及的插件 We Tab 的开发者声明称,Clean Master 的恶意行为是出售给第三方后出现的情况;其它插件没有信息收集等行为。 [2]
- Google 和 Microsoft 均已确认这些插件已经下架。 [3]
1. koi.ai/~
2. mp.weixin.qq.com/~
3. theregister.com/~
[感谢一位匿名订户提供此消息。]
#Extension #Security
www.koi.ai
4.3 Million Browsers Infected: Inside ShadyPanda's 7-Year Malware Campaign
ShadyPanda’s seven-year campaign infected 4.3 million browsers, spreading malware undetected and endangering user security worldwide.
curl 宣布结束漏洞奖励计划。
- 原因或为减少 GenAI 生成的虚假漏洞报告为团队带来的无效工作。
- curl 维护者 bagder 先前在 blog 中提到,收到的漏洞报告中有约 20% 为 GenAI 生成的虚假报告 [1]。
https://github.com/curl/curl/pull/20312
seealso: HackerNews:46701733
1. daniel.haxx.se/~
#curl #GenAI #Security
- 原因或为减少 GenAI 生成的虚假漏洞报告为团队带来的无效工作。
- curl 维护者 bagder 先前在 blog 中提到,收到的漏洞报告中有约 20% 为 GenAI 生成的虚假报告 [1]。
https://github.com/curl/curl/pull/20312
seealso: HackerNews:46701733
1. daniel.haxx.se/~
#curl #GenAI #Security
GitHub
BUG-BOUNTY.md: we stop the bug-bounty end of Jan 2026 by bagder · Pull Request #20312 · curl/curl
Remove mentions of the bounty and hackerone.
There will be more mentions, blog posts, timings etc in the coming weeks.
Blog post: https://daniel.haxx.se/blog/2026/01/26/the-end-of-the-curl-bug-bounty/
There will be more mentions, blog posts, timings etc in the coming weeks.
Blog post: https://daniel.haxx.se/blog/2026/01/26/the-end-of-the-curl-bug-bounty/
🤡31🤬21👍1🎉1
🔴 LiteLLM 被骇,用户数据可能泄漏。
受影响版本是 1.82.7 及 1.82.8。
gh:BerriAI/litellm#24512
seealso: HackerNews:47501729
linksrc: https://t.me/bupt_moe/2676
#Security #LiteLLM #SupplyChain
受影响版本是 1.82.7 及 1.82.8。
gh:BerriAI/litellm#24512
seealso: HackerNews:47501729
linksrc: https://t.me/bupt_moe/2676
#Security #LiteLLM #SupplyChain
GitHub
[Security]: CRITICAL: Malicious litellm_init.pth in litellm 1.82.8 — credential stealer · Issue #24512 · BerriAI/litellm
[LITELLM TEAM] - For updates from the team, please see: #24518 [Security]: CRITICAL: Malicious litellm_init.pth in litellm 1.82.8 PyPI package — credential stealer Summary The litellm==1.82.8 wheel...
😱13
🔴 Apifox 被投毒。用户数据可能泄漏。
- Apifox 是一个 API 管理与测试平台。
- Apifox 的用户统计代码 CDN 在 3/4 后被投毒 [2],现已恢复至原来版本。
- 根据文章分析 (LLM?),payload 会收集用户设备上的敏感信息及 Apifox 云服务凭据等,也可能造成其它种类的危害。
- 托管 payload 的 C2 服务域名为
rce.moe/~
1. web.archive.org/~
linksrc: https://t.me/renbaoshuo/1058
#Security #Apifox #SupplyChain
- Apifox 是一个 API 管理与测试平台。
- Apifox 的用户统计代码 CDN 在 3/4 后被投毒 [2],现已恢复至原来版本。
- 根据文章分析 (LLM?),payload 会收集用户设备上的敏感信息及 Apifox 云服务凭据等,也可能造成其它种类的危害。
- 托管 payload 的 C2 服务域名为
apifox.it.com;现已停止解析。rce.moe/~
1. web.archive.org/~
linksrc: https://t.me/renbaoshuo/1058
#Security #Apifox #SupplyChain
😱16😁1