根据安全机构FlashPoint官方博文，在密码管理器Bitwarden的浏览器扩展程序中发现了一个高危漏洞，可以泄露用户的密码信息。恶意网站可以利用该漏洞，在受信任页面中嵌入IFRAME代码。用户访问这些恶意网站，并使用Bitwarden自动填充之后，就可以获取用户的凭证信息。IT之家从博文中获悉，导致这个漏洞的关键是Bitwarden以非典型方式处理网页中的嵌入式iframe。浏览器通过同源策略，分开iframe嵌入页面和父页面。也就是说，iframe嵌入页面和父页面应该是互相隔离的状态，无法访问其内容。目前包括Firefox、Chrome等主要浏览器均采用了这个安全概念。Bitwarde

3月11日消息，根据国外科技媒体BornCity和BleepingComputer报道，Win10、Win11 以及服务器版本存在一个严重的漏洞，可能导致巨大的安全灾难。报告中指出攻击者可以通过创建“模拟文件夹”（mockfolders）的方式，来存储恶意软件。在没有用户账户控制（UAC）提示的情况下，攻击者可以获得管理员权限，绕过AppLocker或软件限制策略（简称SRP或SAFER），安装和执行恶意软件。安全公司SentinelOne在最新博文中解释了该攻击的工作原理，攻击者可以在系统中植入RemcosRAT恶意软件。IT之家根据博文内容汇总如下：攻击者首先发送包含tar.lz压缩格式附

研究人员发现在NIST选定的抗量子密码算法中发现安全漏洞。2022年7月，美国国家标准和技术研究所（NIST）宣布选定的4个抗量子加密算法，其中CRYSTALS-Kyber用于通用加密，CRYSTALS-Dilithium、FALCON和SPHINCS+用于数字签名。CRYSTALS-Kyber被加入到美国国家安全局推荐的应用于国家安全系统的加密算法套件中。2022年12月，瑞典皇家理工学院研究人员发文称在CRYSTALS-Kyber特定实现中发现一个安全漏洞，攻击者利用该漏洞可以发现侧信道攻击。侧信道攻击是通过物理参数的评测和分析来从加密系统中窃取秘密信息。侧信道攻击常用的参数包括电源电流、

TheHackerNews网站消息，可信平台模块(TPM)2.0参考库规范中爆出一个严重安全漏洞，这些漏洞可能会导致设备信息泄露或权限提升。漏洞或影响数十亿物联网设备2022年11月，网络安全公司Quarkslab发现并报告漏洞问题，其中一个漏洞被追踪为CVE-2023-1017（涉及越界写入），另一个漏洞追踪为CVE-2023-1018（可能允许攻击者越界读取）。Quarkslab指出，使用企业计算机、服务器、物联网设备、TPM嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响，并一再强调，漏洞可能会影响数十亿设备。可信平台模块(TPM)可信平台模块(TPM)技术是一种基于硬件的

相信大部分读者跟我一样，每天都在写各种API为Web应用提供数据支持，那么您是否有想过您的API是否足够安全呢？Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全，以防止数据泄露，因为这可能导致重大的财务损失和声誉受损。而在Web应用的安全问题中，最常见的漏洞之一是不安全的直接对象引用，简称：IDOR。即：当应用程序允许用户访问他们不应该访问的资源时，就会发生IDOR漏洞。比如：SaaS软件的用户A访问到了用户B的数据，这样的漏洞是灾难性的，因为用户将不再信任您提供的服务。那么如何方便、快捷的检测IDOR漏洞呢？今天就给大家推荐一个好用的开源工具：IDOR

在微软Edge浏览器110稳定版发布几周后，于周六发布了浏览器的 110.0.1587.56版本更新，修复了多项Chromium安全漏洞。微软的安全页面列出了Edge更新中已修复的八个问题。其中之一CVE-2023-0941被CVE程序标记为“严重”。该页面指出：“在110.0.5481.177之前的Chrome的提示（Prompts）免费使用中，将允许远程攻击者通过精心设计的HTML潜在利用堆损坏页。”网站上列出的其他问题被列为“高”或“中”安全问题。Edge浏览器预计会自动更新到最新版本。如果大家不想等待自动更新，还可以从新版Edge浏览器。

Rezilion发现了数百个Docker容器镜像的存在，这些镜像包含了大多数标准漏洞扫描器和SCA工具都没有检测到的漏洞。研究发现，数百个Docker容器镜像中隐藏着许多高危险性/关键性的漏洞，这些容器镜像的下载量合计达数十亿次。其中包括已被公开的高知名漏洞。一些隐藏的漏洞在野外被积极利用，这些漏洞是CISA已知被利用漏洞合集中的一部分，包括CVE-2021-42013、CVE-2021-41773、CVE-2019-17558。经过研究发现漏洞存在的根本原因是无法检测未被软件包管理器管理的软件组件。该研究解释了标准漏洞扫描器和SCA工具的固有操作方法是如何依靠从软件包管理器获取数据来了解扫描

BleepingComputer网站披露，2022年，谷歌通过漏洞奖励计划支付了有史以来最高的漏洞奖金，为安全研究人员报告的2900多个漏洞，支付超1200万美元。2022年，谷歌漏洞奖励总额跃升至1200万美元（来源：谷歌）安卓漏洞赏金计划近期，谷歌发布了漏洞奖励计划（VRPs）的统计数据，详细概述了安全研究人员如何发现公司产品中安全漏洞以及获得的漏洞赏金数额。资料显示，最大单笔报酬发给了gzobqq，其在提交的报告中详细说明了安卓系统中五个漏洞（CVE-2022-20427,CVE-2022-20428,CVE-2022-20454,CVE-2022-20460）的利用链，一共获得了60.

VMWare的ESXi服务器中存在一个未修补的软件漏洞，正被黑客利用，目的是在全球范围内传播勒索软件。 未打补丁的VMWare服务器被黑客滥用VMWare的ESXi服务器中存在两年的软件漏洞已成为广泛的黑客攻击活动的目标。攻击的目的是部署ESXiArgs，这是一种新的勒索软件变体。估计有数百个组织受到影响。法国计算机应急响应小组(CERT)于2月3日发布了一份声明，其中讨论了攻击的性质。在CERT帖子中写道，这些活动“似乎利用了ESXi管理程序的漏洞，这些管理程序没有足够快地更新安全补丁。”CERT还指出，被攻击的漏洞“允许攻击者进行远程任意代码攻击”。已敦促各组织修补管理程序漏洞，以避免成为

据BleepingComputer2月16日消息，一种名为“ProxyShellMiner”的新型恶意软件正利用微软ExchangeProxyShell漏洞，在整个Windows域中部署加密货币矿工。ProxyShell是微软在2021年发现并修复的三个Exchange漏洞的统称。当这些漏洞链接在一起时，能够允许未经身份验证的远程代码执行，使攻击者可以完全控制Exchange服务器并进行横向移动。攻击链概览在由安全公司Morphisec发现的攻击中，攻击者利用被跟踪为CVE-2021-34473和CVE-2021-34523的ProxyShell漏洞来获得对目标组织网络的初始访问权限。接下来，