แซมบ้ามีช่องโหว่ที่สำคัญมาก CVE-2021-44142 ที่ปะเพียงในรุ่นใหม่ 4.13.17, 4.14.12, เช่นเดียวกับ 4.15.5 พบโดยนักวิจัยที่ TrendMicro นี้ข้อผิดพลาดที่ไม่ได้รับ RCE ประเมินในที่ CVSS 9.9 พระคุณประหยัดก็คือว่ามันต้องการผลไม้โมดูลวีเอฟเอต้องเปิดใช้งานซึ่งถูกนำมาใช้เพื่อสนับสนุนลูกค้า MacOS เช่นเดียวกับการทำงานร่วมกันของเซิร์ฟเวอร์ หากเปิดใช้งานการตั้งค่าเริ่มต้นที่มีความเสี่ยง การโจมตียังไม่ได้รับการเห็นในป่าเลย แต่ไปข้างหน้าเช่นเดียวกับการได้รับการปรับปรุงเป็นรหัส PoC มีแนวโน้มที่จะลดลงในเร็ว ๆ นี้
Crypto ลง Wormhole
จุดขายหนึ่งที่สำคัญที่จะ Cryptocurrencies เช่นเดียวกับ Web3 สัญญาฉลาดโปรแกรมคอมพิวเตอร์บิตทำงานโดยตรงบน blockchain ที่กองทุนสามารถย้ายถิ่นฐานไปรอบ ๆ อย่างรวดเร็วโดยไม่มีการแทรกแซง มันสิ้นสุดอย่างรวดเร็วขึ้นเป็นที่ชัดเจนว่าข้อเสียเปรียบคือจ้องมองเหล่านี้เป็นโปรแกรมคอมพิวเตอร์ที่เงินสามารถย้ายถิ่นฐานไปรอบ ๆ อย่างรวดเร็วโดยไม่มีการแทรกแซง ในสัปดาห์นี้ก็มีอีกหนึ่งตัวอย่างของสัญญาที่ชาญฉลาดในการทำงานเมื่อผู้บุกรุกขโมย 326 $ มูลค่าของ Ethereum ผ่านสะพาน Wormhole สะพาน cryptocurrency เป็นบริการที่มีอยู่เป็นสัญญาที่ชาญฉลาดที่เชื่อมโยงกับสอง blockchains ที่แตกต่างกัน สัญญาเหล่านี้ช่วยให้คุณใส่สกุลเงินในด้านใดด้านหนึ่งเช่นเดียวกับการเอามันออกในที่อื่น ๆ สกุลเงินได้อย่างมีประสิทธิภาพการถ่ายโอนไปยัง blockchain ที่แตกต่างกัน การให้ความช่วยเหลือเราให้ความรู้สึกของสิ่งที่ผิดไปเป็น [เคลวิน Fichter] เข้าใจเหมือนกันอย่างถูกต้องตาม [smartcontracts]
เมื่อสะพานทำให้การถ่ายโอนสัญญาณจะฝากไว้ในสัญญาที่ชาญฉลาดในหนึ่ง blockchain เช่นเดียวกับข้อความการโอนผลิต ข้อความนี้เป็นเหมือนการตรวจสอบบัญชีตรวจสอบดิจิตอลที่คุณใช้ในการด้านอื่น ๆ ของสะพานเพื่อเงินสด ปลายอีกด้านของสะพานจะตรวจสอบลายเซ็นที่“ตรวจสอบ” เช่นเดียวกับถ้าตรงกับสิ่งที่เงินของคุณจะแสดงขึ้น ปัญหาก็คือว่าคนที่ด้านใดด้านหนึ่งของสะพานที่ประจำการตรวจสอบอาจถูกแทนที่ด้วยประจำหุ่นโดยผู้ใช้เช่นเดียวกับรหัสไม่ได้จับมัน
มันเป็นความหลอกลวงร้อนตรวจสอบ โจมตีผลิตข้อความการโอนเงินปลอมที่นำเสนอกิจวัตรประจำวันในการตรวจสอบปลอมเช่นเดียวกับสะพานได้รับการยอมรับว่าเป็นของแท้ ส่วนใหญ่ของเงินที่ถูกย้ายกลับข้ามสะพานที่ราชสกุลที่ถูกต้องของผู้อื่นถูกจัดขึ้นตลอดจนการโจมตีเดินไปกับ 90,000 ของผู้ที่ราชสกุลผลประโยชน์ทับซ้อน
9.8 CVE ที่ไม่ได้
การจัดการกับรายงานด้านความปลอดภัยและการรักษาความปลอดภัยสามารถเป็นสิ่งที่ท้าทาย ยกตัวอย่างเช่นภาษาอังกฤษไม่ใช่ภาษาแรกของทุกคนดังนั้นเมื่ออีเมลที่มีอยู่ในมีการสะกดเช่นเดียวกับความผิดพลาดของไวยากรณ์มันจะเป็นเรื่องง่ายที่จะปฏิเสธมัน แต่ในบางกรณีอีเมลเหล่านั้นอย่างแท้จริงจะแจ้งให้คุณทราบถึงปัญหาที่ร้ายแรง เช่นเดียวกับการแล้วในบางกรณีคุณจะได้รับรายงานตั้งแต่ใครบางคนได้พบ DevTools ของ Chrome เป็นครั้งแรกเช่นเดียวกับไม่ได้รับรู้ว่าการปรับเปลี่ยนในระดับภูมิภาคจะไม่ได้ทำหน้าที่เพื่อคนอื่น
CVE-2022-0329 เป็นหนึ่งในบรรดา มัดในความกังวลเป็นห้องสมุดหลาม loguru ซึ่งภูมิใจนำเสนอ“งูใหญ่เข้าสู่ระบบที่ทำ (โง่) ได้โดยง่าย” CVE สำคัญในการเข้าสู่ระบบห้องสมุดหรือไม่? เว็บสั้น ๆ ยันรวมสำหรับปัญหาสไตล์ log4j อีกหนึ่ง แล้วคนอื่น ๆ อีกมากมายเริ่มต้นการดูที่รายงานช่องโหว่เช่นเดียวกับรายงานข้อผิดพลาดเช่นเดียวกับการหล่อคำถามเกี่ยวกับความถูกต้องของปัญหา มากดังนั้นที่ CVE ได้ถูกเพิกถอน ว่าวิธีการที่ไม่ที่มีข้อผิดพลาดที่ไม่ได้รับการจัดอันดับให้เป็นเช่นความปลอดภัยและการรักษาความปลอดภัยสูงปัญหาที่ GitHub แม้กระทั่งการส่งออกแจ้งอัตโนมัติเกี่ยวกับเรื่องนี้?
ช่องโหว่ทางทฤษฎีเป็นปัญหา deserialization ที่ห้องสมุดดองรวมเป็นพึ่งพาของ loguru ที่ไม่ปลอดภัย deserialize ข้อมูลที่ไม่น่าเชื่อถือ นั่นคือปัญหาที่ถูกต้องอย่างไรก็ตามรายงานล้มเหลวที่จะแสดงให้เห็นว่าวิธีการ loguru จะช่วยให้ข้อมูลที่ไม่น่าเชื่อถือที่จะ deserialized ในทางที่เป็นอันตราย
มีความคิดที่เล่นที่นี่ที่“อัดลมลงใต้ท้องเรือ” ในประเภทของ codebase หรือระบบใด ๆ จะมีจุดที่การจัดการข้อมูลโปรแกรมจะส่งผลในการดำเนินการรหัส นี่คือเบื้องหลังลงใต้ท้องเรืออัดลมเมื่อทำการว่าความต้องการโจมตีแล้วมีการจัดการมากกว่าโปรแกรม ในกรณีนี้ถ้าคุณสามารถพัฒนารายการที่ดองจะ deserialize คุณมีโค้ดโดยพลการ ที่ไม่ได้ระบุว่ามันไม่เหมาะสมที่จะซ่อมแซมกรณีดังกล่าว แต่ที่แข็งของรหัสไม่ซ่อมแซมช่องโหว่
นั่นคือสิ่งที่นี้ไปปิดทางรถไฟ [Delgan] ออกแบบที่อยู่เบื้องหลัง loguru ถูกชักชวนนี้ไม่ได้เป็นช่องโหว่จริง แต่เขาอยากจะทำบางรหัสแข็งรอบ ๆ ความคิด, การทำเครื่องหมายเพื่อรายงานช่องโหว่เดิมได้รับการยอมรับ ตั้งเครื่องจักรอัตโนมัตินี้ในการเคลื่อนไหวเช่นเดียวกับ CVE ถูกออก CVE ที่ถูกกำหนดให้เป็นที่รุนแรงอย่างไม่น่าเชื่ออยู่บนพื้นฐานของความเข้าใจที่ไร้เดียงสาของปัญหาที่อาจจะเหมือนกันการกระทำอัตโนมัติ บ้าอัตโนมัตินี้อย่างต่อเนื่องทุกวิธีการที่จะให้คำปรึกษา Github ก่อนที่ใครสักคนก้าวสุดท้ายในเช่นเดียวกับการตัดไฟไปยัง automato ออกจากการควบคุมn.
windows eop poc
ในเดือนมกราคม Microsoft Patched CVE-2022-21882 การเพิ่มสิทธิ์ในรหัส Win32 ของ Windows อย่าปล่อยให้หลอกคุณมันมีอยู่ใน Windows รุ่น 64 บิตเช่นกัน หากคุณอยู่เบื้องหลังการอัปเดตคุณอาจต้องการยุ่งเนื่องจากการพิสูจน์แนวคิดตอนนี้ได้ลดลงสำหรับข้อผิดพลาดนี้ สิ่งนี้ได้รับการรายงานว่าเป็นบายพาสแพทช์ทำให้สิ่งนี้เป็นปัญหาพื้นฐานที่แน่นอนเช่นเดียวกับ CVE-2021-1732
ต้องใช้ QNAP ผลักดันการอัปเดต
และบุคคลนั้นถูกทำเครื่องหมาย
QNAP รวมถึงผู้ผลิต NAS อื่น ๆ ที่จำเป็นในการก้าวขึ้นเกมความปลอดภัยและความปลอดภัยของพวกเขาเนื่องจากอุปกรณ์สไตล์เหล่านี้ได้จบลงด้วยการเป็นหนึ่งในเป้าหมายที่น่าดึงดูดสำหรับ Thieves Ransomware ดังนั้นเมื่อ Qnap พบข้อบกพร่องที่ถูกเอาเปรียบในแคมเปญมัลแวร์ “Deadbolt” พวกเขาเลือกที่จะผลักดันการอัปเดตของทุกคนที่เปิดใช้งานการอัปเดตอัตโนมัติ หมายความว่าโดยที่การอัปเดตจะติดตั้งโดยทั่วไปรวมถึงการขอความยินยอมในการรีบูตเครื่องจะรีบูตตามธรรมชาติอาจทำให้เกิดการสูญเสียข้อมูลในกรณีที่เลวร้ายที่สุด
QNAP ได้ให้ความคิดของพวกเขาในกระทู้ Reddit ในเรื่องเช่นเดียวกับที่มีข้อพิพาทบางอย่างเกี่ยวกับวิธีการที่มันทำงานได้อย่างแม่นยำ อย่างน้อยหนึ่งคนค่อนข้างสำคัญว่าฟังก์ชั่นนี้ถูกปิดใช้งานรวมถึงการอัพเดตยังติดตั้งอัตโนมัติ เกิดอะไรขึ้น?
มีคำตอบอย่างเป็นทางการ ในการอัปเดตก่อนหน้านี้มีการเพิ่มฟังก์ชั่นใหม่รุ่นที่แนะนำ สิ่งนี้ทำหน้าที่เป็นการอัปเดตอัตโนมัติอย่างไรก็ตามเมื่อมีปัญหาสำคัญ นี่คือการตั้งค่าที่ช่วยให้พุชที่จำเป็นรวมถึงค่าเริ่มต้น (ในความเป็นธรรมมันอยู่ในบันทึกย่อของแพตช์) การจัดการการอัปเดตเกี่ยวกับเครื่องใช้ไฟฟ้าเช่นนี้เป็นเรื่องยากเสมอเช่นเดียวกับความเสี่ยงที่ปรากฏของ ransomware ทำให้มันเหนียว
ดังนั้นคุณคิดว่าอะไรคือ Qnap เพียงแค่ดูแลลูกค้า? หรือนี่คือสิ่งที่คล้ายกับการแจ้งให้ทราบถึงความเสียหายของบ้านของ Arthur Dent ที่ตีพิมพ์ในห้องใต้ดินที่ด้านล่างของตู้เก็บเอกสารที่ล็อคติดอยู่ในอ่างล้างหน้าที่ไม่ใช้งานที่มีข้อบ่งชี้ที่ประตูที่ระบุว่า ‘ระวังเสือดาว’? ให้เราเข้าใจในความคิดเห็นหรือหากความขัดแย้งเป็นสิ่งของของคุณช่องใหม่ที่ทุ่มเทให้กับคอลัมน์!