Google致歉：Chrome漏洞致1500万Windows用户密码丢失

8月31日消息，微软网络安全研究人员发现了一个 Chromium 引擎中的零日漏洞，该引擎为 Chrome 等浏览器提供支持。这个漏洞被一个名为 Citrine Sleet 的朝鲜黑客组织利用，专门针对加密货币用户。Citrine Sleet 使用了名为 FudModule 的 rootkit 恶意软件，通过创建虚假的加密货币交易平台网站，诱使用户下载恶意软件或武器化的加密钱包，从而获得远程代码执行权限，进而窃取受害者的加密资产。此漏洞已在 8 月 21 日被修复，用户需尽快更新浏览器以确保安全。 这是今年第三个被利用的 Chromium 零日漏洞。

金色财经报道，微软网络安全研究人员发现了一个Chromium引擎中的零日漏洞，该引擎为Chrome等浏览器提供支持。这个漏洞被一个名为Citrine Sleet的朝鲜黑客组织利用，专门针对加密货币用户。Citrine Sleet使用了名为FudModule的rootkit恶意软件，通过创建虚假的加密货币交易平台网站，诱使用户下载恶意软件或武器化的加密钱包，从而获得远程代码执行权限，进而窃取受害者的加密资产。此漏洞已在8月21日被修复，用户需尽快更新浏览器以确保安全。 这是今年第三个被利用的Chromium零日漏洞。此前，Citrine Sleet还曾冒充交易所员工，在Telegram上散布含有恶意代码的文件，并针对加密货币投资初创公司进行攻击。用户应保持警惕，避免下载不明文件或点击可疑链接。

5月4日消息，Google 已在所有平台支持无密码登录技术 Passkeys，用户可以为自己的个人 Google 帐户设置 Passkeys，且不会使原有密码失效，之后用户可以使用指纹、面部扫描或屏幕锁定 PIN 登录跨 Google 产品。

6月9日消息，安全机构 Numen Cyber Labs 发布微软 win32k 提权漏洞解析。Numen 表示，该漏洞系 win32k 提权漏洞，是微软 Windows 系统层面的漏洞。通过该漏洞，黑客可获取 Windows 的完全控制权。 Numen 指出，win32k 漏洞历史众所周知。但在最新的 windows11 预览版中，微软已经在尝试使用 Rust 重构该部分内核代码。未来该类型的漏洞在新系统可能被杜绝。 此前报道，5 月，微软发布的补丁更新解决了 38 个安全漏洞，其中包括一个零日漏洞。

8月14日消息，据微软官方披露，近日，Windows系统曝出严重安全漏洞，编号为CVE-2024-38063，该漏洞影响所有受支持的Windows版本，包括Windows11、Windows10以及多个版本的WindowsServer。漏洞的CVSS3.1分数为9.8，属于「重要」级别，攻击者可以通过特制的IPv6数据包远程入侵设备，执行任意代码。该漏洞存在于Windows的TCP/IP网络堆栈中，是一个严重的远程代码执行漏洞。 攻击者可以通过反复向Windows设备发送特制的IPv6数据包，触发漏洞并远程执行代码，无需用户交互或身份验证。微软强烈建议所有用户尽快更新至最新的Windows版本。微软正在发布相关补丁以修复此漏洞，禁用IPv6可临时防止漏洞被利用。

8月26日消息，据社群消息，今日已有多位加密社区成员反映其私钥被盗，有猜测称该情况因使用比特指纹浏览器所致。对此，比特指纹浏览器官方在社群中表示，WPS For Windows部分版本存在远程代码执行漏洞，攻击者可利用该漏洞在受害者目标主机上执行任意代码，控制主机等。目前已知的影响版本包括WPS Office 2023个人版低于12.1.0.15120（含）、WPS Office机构版本（如专业版、专业增强版）低于11.8.2.12055（含）。漏洞较好触发，用户在点击不明链接后可能已遭到黑客攻击。