资安业者SafeBreach指出,Windows作业系统存在名为MagicDot的漏洞,这项弱点与新旧版本作业系统的路径转换有关,一旦将其利用,攻击者有可能将其当作恶意程式运用。
值得留意的是,为维持新旧作业系统相容性,MagicDot微软并未完全修补,使得这项弱点很可能被拿来挖掘新的攻击手法。
【攻击与威胁】
伊利诺大学厄巴纳香槟分校(UIUC)研究人员指出,他们透过大型语言模型(LLM)应用程式,可自动利用已被揭露、具备漏洞编号及细节说明的漏洞,并进行自动化攻击。
研究人员从开源软体收集15个甫被公布的「一日」漏洞(1-day),这些涵盖跨网站伪造请求(CSRF)、权限扩张漏洞、容器漏洞、网页漏洞,他们对LLM应用程式输入漏洞CVE编号及说明,总共使用91行程式码及1,056个Token提示。
他们透过10个生成式AI机器人进行实验,结果发现,采用GPT-4的机器人利用漏洞的成功率达到87%,但其他机器人则无法利用漏洞。
◆4月19日档案伺服器系统CrushFTP发布资安公告,指出他们发布10.7.1、11.1.0新版本程式,修补已遭利用的零时差漏洞CVE-2024-4040,呼吁用户应尽速部署新版程式因应。
该公司指出,一旦攻击者利用上述漏洞,就有机会跳脱使用者的虚拟档案系统(Virtual File System,VFS)范围,从而存取、下载伺服器的系统档案,CVSS风险评分为7.7。
虽然开发团队并未透过攻击细节,但资安业者CrowdStrike指出,这项漏洞被用于针对性攻击,对方锁定美国企业组织的CrushFTP伺服器下手,研究人员根据取得的证据,认为骇客很可能基于政治目标收集情报。
其他漏洞与修补