热搜话题榜单

大学生利用漏洞“骗走”京东110万, 中心化白条的漏洞, 区块链能否补得上？

通过区块链底层改造，尝试破解金融ABS难题的初衷很好，但中心化的白条业务，能否也通过区块链技术进行优化呢?

曝英伟达CEO黄仁勋利用美国税法漏洞避税：金额超80亿美元 或为史上规模最大操作

英伟达CEO黄仁勋利用美国联邦遗产税和赠与税中的漏洞避税，金额或高达80亿美元。这可能将成为美国最大规模的避税操作之一。”在收到相关问询后，英伟达的发言人斯蒂芬妮马修拒绝对黄仁勋的个人税务细节发表评论。

谷歌利用 AI 发现 20 年前的软件漏洞：「模糊测试」改写安全游戏规则

站长之家11月23日消息：谷歌近日通过AI程序发现了一个隐藏了二十年的开源软件漏洞。谷歌在周三的一篇博客文章中表示，借助类似ChatGPT的AI工具，公司共识别出了26个漏洞，其中包括一个在OpenSSL中潜伏了二十年的漏洞。本月早些时候，谷歌宣布，BigSleep已成功发现SQLite中一个此前未知且可利用的漏洞。

​Fortinet安全警告：FortiManager 发现严重漏洞，已遭恶意利用

Fortinet确认了其FortiManager产品中的一个严重安全漏洞，编号为CVE-2024-47575。这一漏洞的严重程度相当高，CVSS评分高达9.8，甚至被称为“FortiJump”。Fortinet在与TheHackerNews的交流中表示，他们在发现漏洞后迅速向客户传达了关键信息和资源，并发布了相应的公共公告，呼吁用户按照指导实施应急措施和修复。

研究显示，GPT-4可以自主利用安全漏洞，具备攻击性

每周至少有一次，生成式人工智能都会给我们带来新的恐惧。虽然我们仍在焦急地等待OpenAI发布的下一个大型语言模型，但与此同时，GPT-4似乎比你想象的更具备能力。”他们还指出，在发布研究之前，他们已向OpenAI披露了他们的发现该公司要求他们不要将他们的提示公开分享。

谷歌称黑客利用零日漏洞攻击 iPhone 用户

在谷歌的最新报告中，揭示了政府黑客去年利用苹果iPhone操作系统中的三个未知漏洞，以及一家欧洲初创公司Variston开发的间谍软件，对受害者进行定向监控的情况。谷歌的威胁分析小组发布了一份报告，详细分析了政府利用多家间谍软件和漏洞利用卖家的活动，其中包括巴塞罗那初创公司Variston。谷歌在报告中写道，商业监控供应商正在导致危险的黑客工具激增，并表示这种针对性的监视威胁了言论自由、新闻自由和选举的公正性。

苹果发布Vision Pro耳机首个安全补丁 修复潜在黑客利用漏洞

苹果在科技巨头首次实际评测VisionPro耳机后的第二天发布了混合现实耳机的首个安全补丁。公司推出了visionOS1.0.2软件，该软件修复了VisionPro上运行的WebKit中的漏洞，该漏洞可能被黑客利用。VisionPro耳机预计将于周五上市。

女子被“买房人”忽悠 损失50万 对方打包票称可以利用漏洞赚钱

出现了一种新型骗局，骗子以买房为幌子，通过电话和微信与房主联系，然后诱导他们进行所谓的“投资”。这一骗局在中国江苏省扬中市发生，一名女性受害者在这次骗局中损失了50万元。标榜“内幕消息”和“稳定高回报”的网络投资理财通常都是诈骗，应远离此类陷阱。

苹果发布 iOS 16.5.1 和 macOS 13.4.1 快速安全响应更新：修复被主动利用的漏洞

苹果今天发布了快速安全响应更新，适用于运行iOS和iPadOS16.5.1以及macOSVentura13.4.1更新的iPhone和iPad用户。快速安全响应会在软件更新间隔期内提供重要的安全改进。苹果自去年以来一直在测试快速安全响应功能，RSR是在iOS16和macOSVentura发布时首次引入的。

已被黑客利用！苹果发布更新修复全平台系统漏洞

近日，苹果为iOS、macOS与watchOS都发布了更新补丁，用于修补系统存在的Triangulation漏洞。该漏洞名为CVE-2023-32434，是一个影响系统核心的整数溢位漏洞，能让恶意木马以核心权限执行任意代码。此次补丁还修复了CVE-2023-32439漏洞，该漏洞是一个Safari浏览器引擎WebKit中的型态混淆漏洞，可让攻击者传送网页链接，诱使用户点击访问，从执行隐藏在网页中的恶意代码。

10年未被强制修复！黑客利用Windows旧漏洞侵入通信公司

VoIP通信公司3CX遭到黑客的大规模供应链共计，被分发了含有木马程序的Windows应用。黑客此次侵入利用的，是一个已经被发现10年的古董级”漏洞。但因为不明原因，直到最新的Win11，有关该Bug的修复补丁都只是可选更新”，微软方面始终没有强制修复漏洞，也没有在新的系统版本中，直接整合修复补丁。

利用游戏平台漏洞 男子在家动动手指月入20万！结果惨了

网络或者游戏平台存在漏洞，被发现后利用漏洞牟利，可能会涉嫌犯罪，有这个念头的朋友，一定要趁早打消。近日，上海某游戏账号交易平台报案称，有用户利用平台漏洞套现，造成公司大额损失。周某非法套取的钱款已全数追回，平台方已解决相关程序漏洞。

专家双十一解析购物成瘾根源：利用消费者心理漏洞

中关村在线消息：今年双十一购物节已经结束了，相信大家已经买了不少东西准备收货。自从有双十一购物节以来，大额折扣总是能吸引用户消费，集中在11月购买很多商品，甚至出现了购物成瘾者。其实双十一购物节，有不少厂商玩先涨后降的优惠套路，利用信息差对产品价格不明确的用户朋友进行欺骗行为，所以买东西一定要查价格，货比三家谨慎下单，以免被骗。

Talos警告Lazarus黑客正利用Log4j漏洞入侵美国能源公司

研究发现，黑客利用了在 Log4j 中存在一年之久的漏洞（即 Log4Shell），来破坏暴露在互联网上的 VMware Horizon 服务器...最近几个月，该组织又将目光瞄向了区块链和加密货币组织，比如从 Harmony 的 Horizon Bridge 窃取了 1 亿美元的加密资产、以及从 Ronin Network 盗走了 6.25 亿美元的加密货币...7 月，美国政府悬赏千万美元征求包括 Lazarus 在内的威胁组织的成员信息、达到了美国国务院 4 月宣布的金额的两倍......

报告警示黑客会在CVE公告披露15分钟内尝试扫描并利用漏洞

由 Palo Alto Networks 最新公布的《2022 版 Unit 42 事件响应报告》可知，黑客一直在密切监视软件供应商的公告板上是否有最新的 CVE 漏洞报告，并且会在极短的 15 分钟内开始扫描易受攻击的端点...该漏洞于 2022 年 5 月 4 日披露，但在 CVE 公告发布十小时后，他们就已记录 2552 次端点扫描和漏洞利用尝试......

务必更新！Chrome新版本修复高危漏洞：已被黑客利用

今天，谷歌为Chrome浏览器发布了103.0.5060.114紧急更新，修复了一个已经证明被利用的高危漏洞...黑客能够利用该漏洞的这一特性造成程序崩溃，且如果在攻击过程中实现了代码的执行，还能够直接绕过已有的安全解决方案...该漏洞已经证实被黑客利用，但为了避免问题进一步扩大，官方并未分享与之相关的任何细节或其他信息...和之前的漏洞情况相同，直到到部分用户进行更新，且第三方库不再依赖相关模块运行，谷歌才会对外公布漏洞的具体信息...

京东专项治理利用“海关监管”违规宣称 7月5日将巡检在售商品

京东发布治理公告称，为了规范经营秩序，保障顾客合法权益，京东将对违规宣称“海关监管”商品开展专项治理，请各位合作商家自检自查全店商品，并及时整改...通知要求位商家及供应商对全店涉及违规宣称“海关监管”的商品在7月4日前完成自检自查，7月5日京东将进行在售商品巡检，对仍旧涉及相关违规问题的商品依据协议约定及平台规则进行商品下架并对店铺采取相应管控措施，感谢各位的配合...在售商品禁止利用“海关”等国家机关进行商品宣传，用于对商品品质背书...

安全研究人员警告iPhone存在关机后仍可被恶意利用的漏洞隐患

虽然尚无证据表明该漏洞已被野外利用、甚至可能需要搭配其它攻击手段，但对于设备制造商苹果来说，这依然是个相当烫手的山芋...如果你已经已经放权，那这里提到的蓝牙芯片漏洞利用可能就是多此一举了...庆幸的是，安全研究员 Ryan Duff 表示:“在缺乏额外漏洞利用的情况下，攻击者难以单独借此发起攻击”...但若攻击者有机会直接利用到蓝牙芯片并修改固件（目前尚不知晓有类似的漏洞利用），事情就会变得相当棘手...即使 iPhone 处于关机状态，黑客仍可利用该漏洞来定位用户设备......

黑客正积极利用BIG-IP设备漏洞 配置错误引发危险等级9.8安全隐患

iControl REST 是一组用于配置和管理 BIG-IP 设备的基于 Web 的编程接口，而 BIG-IP 则是该组织用于负载均衡、防火墙、以及检查和加密进出网络数据的一系列设备...在其中一个案例中，有 IP 地址为 216.162.206.213 和 209.127.252.207 的攻击者将有效载荷置入了 /tmp/f5.sh 的文件路径、从而在 /usr/local/www/xui/common/css/ 中部署基于 PHP 的 webshell 后门......

Project Zero报告：2021年共发现58个已被黑客利用的零日漏洞

Project Zero 是由 Google 专家和分析师组成的内部团队，负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二，该团队发布公告称，在 2021 年共发现了 58 个已被黑客利用的漏洞，刷新了历史记录。零日漏洞是指开发人员刚刚意识到的安全缺陷，因此，他们有“零天”时间来修复或“打补丁”。如果不被发现，这种缺陷可能导致数据泄露和勒索软件攻击。去年，微软警告用户 Windows 10 和其他软件的零日漏洞，包括 Microsoft Exchange和Microsoft Office，然后及时为100多个潜在风险发布了安全更新补丁。自 2014 年成立以来，Project Zero 检测