Rezilion发现了数百个Docker容器镜像的存在，这些镜像包含了大多数标准漏洞扫描器和SCA工具都没有检测到的漏洞。研究发现，数百个Docker容器镜像中隐藏着许多高危险性/关键性的漏洞，这些容器镜像的下载量合计达数十亿次。其中包括已被公开的高知名漏洞。一些隐藏的漏洞在野外被积极利用，这些漏洞是CISA已知被利用漏洞合集中的一部分，包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。经过研究发现漏洞存在的根本原因是无法检测未被软件包管理器管理的软件组件。该研究解释了标准漏洞扫描器和SCA工具的固有操作方法是如何依靠从软件包管理器获取数据来了解扫描

BleepingComputer网站披露，2022年，谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金，为安全研究人员报告的2900多个漏洞，支付超1200万美元。2022年，谷歌漏洞奖励总额跃升至1200万美元（来源：谷歌）安卓漏洞赏金计划近期，谷歌发布了漏洞奖励计划（VRPs）的统计数据，详细概述了安全研究人员如何发现公司产品中安全漏洞以及获得的漏洞赏金数额。资料显示，最大单笔报酬发给了gzobqq，其在提交的报告中详细说明了安卓系统中五个漏洞（CVE-2022-20427,CVE-2022-20428,CVE-2022-20454,CVE-2022-20460）的利用链，一共获得了60.

VMWare的ESXi服务器中存在一个未修补的软件漏洞，正被黑客利用，目的是在全球范围内传播勒索软件。 未打补丁的VMWare服务器被黑客滥用VMWare的ESXi服务器中存在两年的软件漏洞已成为广泛的黑客攻击活动的目标。攻击的目的是部署ESXiArgs，这是一种新的勒索软件变体。估计有数百个组织受到影响。法国计算机应急响应小组(CERT)于2月3日发布了一份声明，其中讨论了攻击的性质。在CERT帖子中写道，这些活动“似乎利用了ESXi管理程序的漏洞，这些管理程序没有足够快地更新安全补丁。”CERT还指出，被攻击的漏洞“允许攻击者进行远程任意代码攻击”。已敦促各组织修补管理程序漏洞，以避免成为

据BleepingComputer2月16日消息，一种名为“ProxyShellMiner”的新型恶意软件正利用微软ExchangeProxyShell漏洞，在整个Windows域中部署加密货币矿工。ProxyShell是微软在2021年发现并修复的三个Exchange漏洞的统称。当这些漏洞链接在一起时，能够允许未经身份验证的远程代码执行，使攻击者可以完全控制Exchange服务器并进行横向移动。攻击链概览在由安全公司Morphisec发现的攻击中，攻击者利用被跟踪为CVE-2021-34473和CVE-2021-34523的ProxyShell漏洞来获得对目标组织网络的初始访问权限。接下来，

3月17日消息，微软于今天发布了新脚本，可以让用户轻松修复Windows恢复环境（WinRE）中的BitLocker绕过安全漏洞。下载地址：​​https://www.catalog.update.microsoft.com/Search.aspx?q=Safe%20OS​​该漏洞编号为CVE-2022-41099，攻击者利用该漏洞绕过BitLocker设备加密功能访问系统存储设备。攻击者之后可以在低复杂性攻击中访问加密数据。IT之家提醒微软今天发布的新脚本有2个版本，用户可以根据当前所使用的系统版本来决定使用哪个。其中一个脚本名称为“PatchWinREScript_2004plus.ps1

 3月17日消息，微软于今天发布了新脚本，可以让用户轻松修复Windows恢复环境（WinRE）中的BitLocker绕过安全漏洞。下载地址：https://www.catalog.update.microsoft.com/Search.aspx?q=Safe%20OS该漏洞编号为CVE-2022-41099，攻击者利用该漏洞绕过BitLocker设备加密功能访问系统存储设备。攻击者之后可以在低复杂性攻击中访问加密数据。IT之家提醒微软今天发布的新脚本有2个版本，用户可以根据当前所使用的系统版本来决定使用哪个。其中一个脚本名称为“PatchWinREScript_2004plus.ps1”，可

来自尼泊尔的安全研究人员近日在Meta的Facebook、Instagram等应用的登录系统中发现新的漏洞，任何人都可以绕过Facebook的双因素身份验证。研究员GtmMänôz向TechCrunch表示：“任何人都可以利用这个漏洞，只要在知道对方电话号码的情况下，就能绕过基于SMS的双因素认证”。Mänôz表示这个漏洞存在于Meta集团的统一登录系统中，用户在输入用于登录其帐户的双因素代码时，Meta没有设置尝试限制。这就意味着只需要了解攻击目标的电话号码或者电子邮件，那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。一旦攻击者获得正确的验证码，那么攻击者就可以展开后续的攻击行为。据

BleepingComputer网站披露，软件供应商SAP发布了19个漏洞的安全更新，其中5个被评为高危漏洞。此次修复的安全漏洞影响多款SAP产品，其中高危漏洞主要影响SAPBusinessObjectsBusinessIntelligencePlatform（CMC）和SAPNetWeaver。此次修复的五个高危漏洞如下：CVE-2023-25616: SAPBusinessIntelligencePlatform中存在的高危（CVSSv3:9.9）代码注入漏洞，允许攻击者访问仅对特权用户开放的资源，影响版本420和430。CVE-2023-23857：严重程度（CVSSv3:9.8）的信息

3月15日消息，谷歌安全团队ThreatAnalysisGroup在最新发布的博文中表示，在微软的SmartScreen中发现安全漏洞，允许攻击者分发Magniber勒索软件。微软在今天的3月补丁星期二活动日中，已经为 Win10 和 Win11 系统发布了累积更新，修复了上述漏洞。关于该漏洞，IT之家翻译谷歌博文内容如下：攻击者使用无效但特制的Authenticode签名，签署并分发了MSI文件。这个格式错误的签名会导致SmartScreen返回错误，在访问包含网络标记（MotW）的不信任文件之后，该错误可以导致绕过向用户显示的安全警告对话框，这表明已从Internet下载了潜在的恶意文件。

近日，根据Fortinet最新报告：不明来源的的攻击者利用零日漏洞针对政府和大型组织，导致操作系统和文件损坏以及数据丢失。Fortinet于2023年3月7日发布了安全更新，以解决这个高危安全漏洞（CVE-2022-41328），该漏洞可以让攻击者执行未经授权的代码或命令。该公司在公告中说：FortiOS中的路径名对受限目录漏洞的不当限制（路径穿越）[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。受影响的产品包括FortiOS6.4.0至6.4.11版本，FortiOS7.0.0至7.0.9版本，FortiOS7.2.0至7.2.3版本，以及FortiOS6.0和6.2的所