本周最受到瞩目的漏洞,应该就属网路设备管理平台FortiManager零时差漏洞CVE-2024-47575(也被称做FortiJump),在Fortinet对外发布资安公告之后,有资安业者证实已有企业遭遇相关攻击。
资安业者Mandiant指出,他们看到骇客组织UNC5820在今年6月就开始利用这项漏洞,但对于攻击者的身分,以及运用漏洞的目的,迄今仍无法掌握。
【攻击与威胁】
5月15日Google发布Chrome 125更新(125.0.6422.60、61),修补零时差漏洞CVE-2024-4947,通报此弱点的资安业者卡巴斯基表示,当时他们看到北韩骇客组织Lazarus假借提供电玩游戏的名义,并利用这项漏洞企图控制受害者的电脑。
这起攻击行动之所以曝光,起初是在5月13日,该厂牌防毒软体在俄罗斯个人用户的电脑,侦测到后门程式Manuscrypt感染的情况,由于使用该恶意程式的Lazarus鲜少针对个人用户下手,这样的情况引起研究人员的注意,进一步调查发现,detankzone[.]com网站利用浏览器弱点发动攻击。
研究人员进一步指出,攻击者架设的网站以TypeScript及React打造而成,他们将漏洞利用程式码埋在名为index.tsx的档案,但值得留意的是,这些程式码不光利用CVE-2024-4947,还运用另一个近期才揭露的V8沙箱弱点。
【漏洞与修补】
苹果于本周四(10月24日)公开邀请所有安全及隐私研究人员,或者是任何有兴趣的人存取Private Cloud Compute(PCC),并提供抓漏奖励,最高可获得100万美元的奖金。为了实现此一宣布,苹果提供了PCC的安全指南,PCC的虚拟研究环境(Virtual Research Environment,VRE),以及PCC的某些关键原始码。
什么是PCC?这是苹果AI服务Apple Intelligence的一环,使用者可于Mac、iPhone及iPad上直接执行AI任务,更复杂的任务将会移至PCC执行。值得一提的是,这是苹果第一次将装置的安全及隐私能力扩展至云端,以确保发送到PCC的个人资料无法被使用者之外的任何人存取,包括苹果在内。苹果号程PCC是云端大规模AI运算史上最先进的安全架构。