Aggregator

黄豆安全实验室发现Telegram消息屏蔽绕过0day漏洞可深度利用，影响所有私密频道和群组。攻击者可查看敏感数据、媒体文件及已封禁内容。尽管原始漏洞已修复但仍有绕过方式。建议用户避免在私密群组存储敏感信息以保护隐私安全。

A researcher at Positive Technologies has uncovered a critical vulnerability in the implementation of the NTFS file system, which enables a local attacker to escalate privileges to SYSTEM by leveraging a specially crafted virtual...

The post Critical NTFS Vulnerability (CVE-2025-49689) Uncovered: Local Attacker Can Gain SYSTEM Privileges in Windows 11 appeared first on Penetration Testing Tools.

As healthcare providers and their vendors develop and implement agentic artificial intelligence and other AI tools, they need to throughly understand data privacy risks under HIPAA and other laws, said attorney Jordan Cohen of law firm Akerman LLP.

AI Models Mostly Fail in Full Track of Vulnerability Research to Exploit
The rise of code-illiterate but AI-enabled script kiddies able to wreak havoc by weaponizing software vulnerabilities into automated exploits, thanks to expert-level assistance from large language models, remains but a future possibility, based on exploit-writing tests of 50 LLMs.

Also, US Sanctions North Korean IT Worker Scammers and More Paraguay Hacks
This week, McDonald's password mishap, North Korean IT worker sanctions, a wormable Microsoft flaw, Qantas update. Monzo fined, Flutter data breach and CyberTeam again targeted Paraguay. Anatsa Trojan reappeared, DoNot targeted a European ministry. Academics sneaked prompt injections into papers.

Abnormal AI CEO Evan Reiser on Behavioral Anomalies, Personalized Phishing Training
Abnormal AI is rolling out behavior-driven AI tools that automate phishing awareness and data reporting. Co-founder and CEO Evan Reiser says the platform reflects a shift away from generic campaigns and manual dashboards toward contextual, real-time defense.

Also: Winkle Abduction Sentencing and Crypto Theft Rising
This week, uncovering 40 malicious crypto Firefox extensions, three sentenced in a Belgium court for crypto kidnapping, the rise of crypto theft. The U.S. Secret Service is a huge crypto custodian, and prosecutors claw back funds pilfered by a fake presidential inaugural committee.

As healthcare providers and their vendors develop and implement agentic artificial intelligence and other AI tools, they need to throughly understand data privacy risks under HIPAA and other laws, said attorney Jordan Cohen of law firm Akerman LLP.

AI Models Mostly Fail in Full Track of Vulnerability Research to Exploit
The rise of code-illiterate but AI-enabled script kiddies able to wreak havoc by weaponizing software vulnerabilities into automated exploits, thanks to expert-level assistance from large language models, remains but a future possibility, based on exploit-writing tests of 50 LLMs.

Also, US Sanctions North Korean IT Worker Scammers and More Paraguay Hacks
This week, McDonald's password mishap, North Korean IT worker sanctions, a wormable Microsoft flaw, Qantas update. Monzo fined, Flutter data breach and CyberTeam again targeted Paraguay. Anatsa Trojan reappeared, DoNot targeted a European ministry. Academics sneaked prompt injections into papers.

Abnormal AI CEO Evan Reiser on Behavioral Anomalies, Personalized Phishing Training
Abnormal AI is rolling out behavior-driven AI tools that automate phishing awareness and data reporting. Co-founder and CEO Evan Reiser says the platform reflects a shift away from generic campaigns and manual dashboards toward contextual, real-time defense.

Also: Winkle Abduction Sentencing and Crypto Theft Rising
This week, uncovering 40 malicious crypto Firefox extensions, three sentenced in a Belgium court for crypto kidnapping, the rise of crypto theft. The U.S. Secret Service is a huge crypto custodian, and prosecutors claw back funds pilfered by a fake presidential inaugural committee.

HackerNews 编译，转载请注明出处： 俄罗斯职业篮球运动员丹尼尔·卡萨特金（Daniil Kasatkin）因涉嫌担任勒索软件团伙谈判代表，应美国要求于法国被捕。 卡萨特金是一名俄罗斯篮球运动员，2019年返回俄罗斯前曾短暂效力于宾夕法尼亚州立大学NCAA篮球队。在莫斯科MBA-MAI俱乐部效力的四个赛季中，他出战172场比赛后离队。 据法国媒体报道，卡萨特金在与未婚妻飞抵法国后，于6月21日在巴黎戴高乐机场被捕。此次逮捕基于美国发出的国际通缉令，指控其在勒索软件团伙中担任谈判者角色。 目前卡萨特金已被羁押，美国正寻求将其引渡以面临“共谋实施计算机欺诈”及“计算机欺诈共谋”罪名指控。 其律师坚称卡萨特金无罪，辩称涉案行为与其购买的二手电脑有关。“他买了一台二手电脑，完全是无辜的，他对此感到震惊，”律师弗雷德里克·贝洛特向媒体表示，“他完全不懂电脑，连应用程序都不会安装。那台电脑他从未动过，要么是被黑客入侵，要么是卖家冒充他人身份进行操作。” 虽然勒索软件团伙名称未公开，但报道称该团伙在2020至2022年间攻击超过900家企业，其中包括两家联邦机构。美国司法部过往对知名勒索软件团伙Conti的描述高度吻合——该团伙作为Ryuk的继任者在2020年出现，并于2022年因数据泄露事件关闭。不过此前Conti未曝光过入侵联邦机构的记录，尽管其攻击过州政府系统。 上月，法国警方还逮捕了四名涉嫌运营BreachForums黑客论坛的人员，其中包括使用IntelBroker和ShinyHunters化名的黑客。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了错误代码521的问题及其解决方法。

An attack on the Visual Studio Code extension known as Ethcode has compromised the security of more than 6,000 developers worldwide. The incident stemmed from the insertion of malicious code into this widely used...

The post Ethcode Compromised: Over 6,000 Devs Hit by Malicious VS Code Extension appeared first on Penetration Testing Tools.

Ubuntu 24.10版本已结束生命周期，不再提供更新和支持。建议用户升级至Ubuntu 25.04版本以获得更好的体验和持续支持。

Microsoft has just released Windows 11 Beta Build 22631.5696 (KB5062663) to address several known system issues. These fixes are expected to arrive later this month as part of an optional update for the stable...

The post Windows 11 Beta Build 22631.5696: Critical Fixes for ReFS & Printing appeared first on Penetration Testing Tools.

HackerNews 编译，转载请注明出处： 影响OpenSynergy旗下BlueSDK蓝牙协议栈、被统称为PerfektBlue的四个漏洞，可被利用来实现远程代码执行（RCE），并可能允许攻击者访问梅赛德斯-奔驰（Mercedes-Benz AG）、大众（Volkswagen）和斯柯达（Skoda）等多家汽车厂商车辆的关键部件。 OpenSynergy于去年（2024年）6月确认了这些漏洞，并在9月向客户发布了补丁，但许多汽车制造商尚未推送修复固件更新。至少有一家大型整车厂（OEM）直到最近才知晓这些安全风险。 这些安全问题可被串联组合成一种被研究人员称为PerfektBlue攻击的漏洞利用链，攻击者可通过无线方式（OTA）发起攻击，该攻击“最多只需用户点击一次”。 尽管OpenSynergy的BlueSDK在汽车行业被广泛使用，但来自其他行业的供应商也在使用它。 PerfektBlue攻击 专注于汽车安全的公司PCA Cyber Security的渗透测试团队发现了这些PerfektBlue漏洞，并于2024年5月报告给了OpenSynergy。该团队是Pwn2Own Automotive黑客大赛的常客，自去年以来已在汽车系统中发现了超过50个漏洞。 据他们称，PerfektBlue攻击影响了“汽车及其他行业中数百万台设备”。 由于无法获取源代码，发现BlueSDK中的漏洞是通过分析该软件产品的编译版二进制文件实现的。 这些漏洞严重性从低危到高危不等（如下所列），可通过信息娱乐系统（IVI）访问汽车内部。 CVE-2024-45434（高危） – 蓝牙配置文件中用于媒体设备远程控制的AVRCP服务存在释放后重用（UAF）漏洞 CVE-2024-45431（低危） – 对L2CAP（逻辑链路控制和适配协议）通道的远程通道标识符（CID）验证不当 CVE-2024-45433（中危） – 射频通信（RFCOMM）协议中的函数终止不正确 CVE-2024-45432（中危） – RFCOMM协议中使用了错误参数的函数调用 研究人员没有分享利用PerfektBlue漏洞的完整技术细节，但表示已与受影响设备配对的攻击者可利用它们“操控系统、提升权限并向目标产品的其他组件横向移动”。 PCA Cyber Security在大众ID.4（ICAS3系统）、梅赛德斯-奔驰（NTG6）和斯柯达Superb（MIB3）的信息娱乐主机上演示了PerfektBlue攻击，并在TCP/IP协议栈之上获得了反向shell（该协议允许网络设备间通信，例如汽车内的组件）。 研究人员称，通过在车载信息娱乐系统（IVI）上实现远程代码执行（RCE），黑客可以跟踪GPS坐标、窃听车内对话、访问手机通讯录，并可能横向渗透到车辆中更关键的子系统中。 风险与影响范围 OpenSynergy的BlueSDK在汽车行业被广泛使用，但由于定制化和重新打包流程，以及汽车嵌入式软件组件缺乏透明度，很难确定哪些厂商依赖它。 PerfektBlue主要是一种“一键式RCE”攻击，因为大多数情况下需要诱使用户允许与攻击者设备配对。然而，一些汽车制造商将信息娱乐系统配置为无需任何确认即可配对。 PCA Cyber Security透露，他们已告知大众、梅赛德斯-奔驰和斯柯达这些漏洞，并给予其足够时间应用补丁，但研究人员未收到这些厂商关于解决问题的回复。 媒体已联系这三家汽车制造商，询问其是否已推送OpenSynergy的修复程序。梅赛德斯-奔驰尚未立即提供声明，大众则表示在获悉问题后立即开始调查影响并研究解决方法。 大众发言人表示：“调查显示，在某些条件下，有可能通过蓝牙未经授权连接到车辆的信息娱乐系统。” 只有在多个条件同时满足的情况下才可能利用这些漏洞： 攻击者距离车辆最多5至7米范围内； 车辆点火开关必须打开； 信息娱乐系统必须处于配对模式，即车辆用户必须正在主动配对蓝牙设备； 车辆用户必须在屏幕上主动批准攻击者的外部蓝牙访问。 大众代表强调，即使这些条件满足且攻击者连接到了蓝牙接口，“他们必须保持在距离车辆最多5至7米的范围内”才能维持访问。 该厂商强调，在成功利用的情况下，黑客无法干扰关键车辆功能，如转向、驾驶辅助、引擎或刹车，因为它们“位于不同的控制单元上，这些单元通过自身的安全功能防止外部干扰”。 PCA Cyber Security表示，上个月他们在汽车行业确认了第四家受PerfektBlue影响的整车厂（OEM），该厂商称OpenSynergy未曾告知其这些问题。 研究人员称：“我们决定不披露这家OEM的身份，因为他们没有足够的时间做出反应。” “我们计划在2025年11月，以会议演讲的形式披露关于这家受影响OEM的详细信息以及PerfektBlue的全部技术细节。” 媒体也已联系OpenSynergy，询问PerfektBlue对其客户的影响范围以及受影响客户数量，但在发布时尚未收到回复。       消息来源： bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了一个关于错误代码521的问题及其解决方案的讨论。

Жидкие телескопы могут стать следующим шагом в поиске экзопланет.