ESET研究员马丁·斯莫拉尔(Martin 电脑Smolár)追踪到三个影响深远的统一可扩展固件接口(UEFI)安全漏洞,这些漏洞影响了各种联想笔记本电脑型号,使恶意攻击者能够在受影响的设备上部署和执行固件植入操作,成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动,从而有效地授予攻击者安装持久性恶意软件的能力,使得这些恶意软件可以在系统重新启动后仍然存在。
安全专家发现新型恶意 Windows 11 网站自Windows 11系统发布以来,不断有各种活动欺骗用户下载恶意的 Windows 11 安装程序。网络安全公司 CloudSEK 近日发现了一个新型恶意软件活动,它看起来非常像是微软的官方网站,诱骗用户下载包含恶意文件的ISO镜像文件。CloudSEK表示,在下载受感染的ISO后,多个进程在后台运行,并创建Windows命令脚本,禁用注册表安全,添加 Defender 例外,卸载安全产品等。
LV因虚拟试穿软件被卷入数据隐私诉讼,涉及生电脑 物识别数据近日,奢侈品品牌路易威登(Louis Vuitton,LV)北美公司因在其网站上的虚拟试穿工具中涉嫌收集消费者的生物识别数据而遭受诉讼指控。原告认为,通过让LV访问他们的面部图像,消费者向该品牌提供了详细和敏感的生物识别和信息,包括完整的面部扫描,但是该品牌收集和储存这些信息没有首先获得消费者的同意,或告知他们这些数据正在被收集。原告表示,LV收集消费者的生物识别数据的做法涉嫌违反了伊利诺伊州《生物识别信息隐私法》(BIPA)规定的“明确授权”。
索尼、尼康、Adobe和英特尔等公司成立C2PA联盟对抗"深度伪造"4月18日,据日经亚洲报道,因为越来越复杂的“假货”威胁着公众的言论,一个横跨软件、芯片、相机和社交媒体的“内容来源和真实性联盟”(C2PA)旨在制定相关标准以确保网上分享的图像和视频是真实的。报道称, 电脑 Adobe、微软、英特尔和Twitter,以及日本相机制造商索尼和尼康、英国广播公司(BBC)和软银集团旗下的芯片设计公司ARM都参与其中。该联盟将接触YouTube等更多社交媒体平台,使尽可能多的机构加入该联盟。
LinkedIn成为网络钓鱼攻击中模仿最多的品牌4月19日,网络安全公司 Check Point发布报告称,职场类社交软件LinkedIn在今年第一季度的网络钓鱼活动急剧升温,目前已占全球网络钓鱼数量的52%,位居排行榜首位。在 Check Point提供的一个示例中,攻击者通过发送带有官方标识和样式,并带有虚假联系方式的钓鱼邮件,诱导用户点击“接受”,便会跳转一个仿冒的LinkedIn 登录页面,如果用户输入自身账户信息,便会被攻击者“盗号”。专家建议用户在收到并打开电子邮件中的链接或按钮时一定要三思而后行。
GitHub透露:攻击者利用窃取的OAuth令牌入侵了几十个组织GitHub透露,一名电脑攻击者正在使用窃取的OAuth用户令牌(原发放给Heroku和Travis-CI),从私人仓库下载数据。自2022年4月12日首次发现这一活动以来,攻击者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。相关人员表示,"在发现非GitHub或npm存储的第三方OAuth令牌被更广泛地窃取后,我们立即采取行动,通过撤销与GitHub和npm内部使用这些受损应用程序有关的令牌来保护GitHub和npm。"
黑客从iCloud备份中获取MetaMask种子后窃取了655万美元MetaMask已向iOS用户发布警告,如果应用数据备份处于活动状态,苹果iCloud中会存储加密货币钱包的种子。MetaMask是一款“热门”加密货币钱包,有2100多万投资者使用它来存储钱包令牌和管理数字资产。在加密货币术语中,“种子”是一个秘密恢复短语,由12个单词组成,用电脑于保护对钱包内容的访问。将钱包种子存储在iCloud中实际上意味着,如果所有者的苹果账户受损,他们的数字资产也会面临风险。上述场景已经被用于攻击至少一名MetaMask用户,该用户因网络钓鱼攻击而损失了超过655万美元。
更多安全资讯尽在“安全419”
电脑 电脑