1.Github遭大規(guī)模惡意軟件攻擊，超3.5萬個(gè)代碼庫(kù)受影響

　　軟件工程師 Stephen Lacy 在推特上表示，其發(fā)現(xiàn) Github 正在遭受大規(guī)模惡意軟件攻擊，超 3.5 萬個(gè)代碼庫(kù)受影響，波及范圍涵蓋Crypto、Golang、Pyhon、js、bash、Docker和k8s等領(lǐng)域。該惡意軟件被發(fā)現(xiàn)添加到npm腳本、Docker圖像和安裝文檔中。Stephen Lacy提醒，此攻擊可能會(huì)將被攻擊者的多種密鑰泄露給攻擊者，并建議用戶使用GPG簽署所有提交。

　　2.最新的 Jenkins 插件公告中包含未修補(bǔ)的 XSS、CSRF 漏洞

　　作為領(lǐng)先的開源自動(dòng)化服務(wù)器，Jenkins 提供了數(shù)千個(gè)插件來支持構(gòu)建、部署和自動(dòng)化項(xiàng)目。該組織最新的安全公告列出了總共27個(gè)插件漏洞，其中五個(gè)被認(rèn)為是“高”影響，其中大多數(shù)仍未修補(bǔ)。安全研究人員稱在沒有修復(fù)的情況下宣布漏洞是解決難題的最佳解決方案，因?yàn)樗试S管理員仔細(xì)考慮他們繼續(xù)使用受影響的插件。

　　3.應(yīng)用EvolutionCMS、FUDForum和GitBucket中發(fā)現(xiàn)XSS漏洞

　　據(jù)外媒報(bào)道，研究人員已經(jīng)發(fā)布了有關(guān)流行開源應(yīng)用程序中三個(gè)跨站點(diǎn)腳本（XSS）漏洞的詳細(xì)信息，這些漏洞可能導(dǎo)致遠(yuǎn)程代碼執(zhí)行（RCE）。研究發(fā)現(xiàn)進(jìn)行XSS攻擊的可能性與管理員面板中的內(nèi)置文件管理器（或執(zhí)行SQL查詢）相結(jié)合可能導(dǎo)致系統(tǒng)完全受損。這些漏洞的主要困難是找到進(jìn)行XSS攻擊的可能性。

　　4.2.88億條印度養(yǎng)老基金持有人的身份數(shù)據(jù)被暴露在互聯(lián)網(wǎng)

　　據(jù)外媒報(bào)道，一個(gè)包含印度養(yǎng)老基金持有人全名、銀行賬戶號(hào)碼等信息的巨大數(shù)據(jù)緩存在網(wǎng)上浮出水面。安全研究員發(fā)現(xiàn)兩個(gè)獨(dú)立的IP地址，這兩個(gè)IP地址都公開向互聯(lián)網(wǎng)暴露數(shù)據(jù)，但沒有密碼保護(hù)。目前還不清楚誰應(yīng)該對(duì)網(wǎng)上出現(xiàn)的曝光數(shù)據(jù)負(fù)責(zé)。也不清楚是否還有其他人有發(fā)現(xiàn)這些曝光的數(shù)據(jù)。

　　5.研究人員警告AitM對(duì)企業(yè)用戶的大規(guī)模攻擊

　　據(jù)外媒報(bào)道，以中間對(duì)手（AitM）攻擊技術(shù)為主，新的大規(guī)模網(wǎng)絡(luò)釣魚活動(dòng)展開，破壞企業(yè)電子郵件賬戶。該活動(dòng)專門設(shè)計(jì)用于覆蓋使用Microsoft電子郵件服務(wù)的企業(yè)中的最終用戶。其通過使用高級(jí)網(wǎng)絡(luò)釣魚工具包（AiTM）和巧妙地規(guī)避技術(shù)，黑客繞過傳統(tǒng)和高級(jí)安全解決方案。

　　6.VMware 修復(fù)了關(guān)鍵身份驗(yàn)證繞過漏洞

　　VMware 解決了一個(gè)關(guān)鍵的身份驗(yàn)證繞過安全漏洞，該漏洞被跟蹤為 CVE-2022-31656，影響多個(gè)產(chǎn)品中的本地域用戶。未經(jīng)身份驗(yàn)證的攻擊者可以利用該漏洞獲得管理員權(quán)限。該漏洞影響 Workspace ONE Access、Identity Manager 和 vRealize Automation 產(chǎn)品。該漏洞已被評(píng)為嚴(yán)重漏洞，評(píng)分為 9.8。VNG Security 的 PetrusViet 是該漏洞的發(fā)現(xiàn)者。VMware 還解決了其它9個(gè)安全漏洞。

　　7.歐洲導(dǎo)彈制造商MBDA反駁遭到勒索攻擊

　　歐洲導(dǎo)彈制造商MBDA發(fā)布聲明回應(yīng)其遭遇勒索攻擊稱，雖然某些文件確實(shí)被盜，但該公司并未遭到黑客攻擊，其安全系統(tǒng)仍然完好無損。MBDA強(qiáng)調(diào)稱，數(shù)據(jù)來源確定是從外部硬盤獲取的，同時(shí)該公司通過內(nèi)部驗(yàn)證，泄露數(shù)據(jù)既不是機(jī)密數(shù)據(jù)也不是敏感數(shù)據(jù)。MBDA表示，他們正在配合執(zhí)法部門的調(diào)查。

　　8.NIST第四輪候選算法SIKE慘遭破解

　　KU Leuven的兩名安全研究人員在一篇新論文中將“炮火”對(duì)準(zhǔn)了SIKE加密算法，該算法是作為一種后量子時(shí)代的加密算法，已進(jìn)入到NIST的第四輪后量子密碼學(xué)標(biāo)準(zhǔn)化過程當(dāng)中。安全研究人員使用一款2013年的單核CPU對(duì)該算法進(jìn)行了破解，他們動(dòng)用一款名為Magma的程序，在62分鐘的時(shí)間內(nèi)，完成了安全級(jí)別為level 1的SIKEp434的有效密鑰恢復(fù)攻擊。對(duì)于具有更高安全級(jí)別的SIKEp503 （level 2）、SIKEp610 （level 3）和SIKEp751 （level 5），分別在2小時(shí)19分鐘、8小時(shí)15分鐘和21小時(shí)37分鐘內(nèi)被破解。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<