资安业者Wiz揭露位于Nvidia Container Toolkit的安全漏洞CVE-2024-0132,它允许黑客突破容器的隔离限制而存取主机,CVSS风险评为9.0分,Nvidia亦发布1.16.2版修补。
CVE-2024-0132为时间检查与时间使用(TOCTOU)漏洞,发生在检查资源状态与使用该资源间的时间差中,在默认的配置下运行特定的容器映像档就会触发该漏洞,允许黑客存取主机的文件系统,成功的利用可导致程序运行、服务阻断攻击、权限扩张、信息揭露或是窜改数据等行为。
有鉴于Nvidia为全球最大的显示芯片供应商,Wiz估计,全球有33%的云端环境都安装了Nvidia Container Toolkit而可能曝险。
HashiCorp修补帐密管理工具Vault高风险漏洞
9月26日云端服务基础设施自动化业者HashiCorp发布资安公告,指出旗下的机敏信息(secrets)管理工具Vault存在高风险漏洞CVE-2024-7594,同时影响社群版(Community Edition)与企业版(Enterprise),对此,他们发布社群版1.17.6,以及企业版1.17.6、1.16.10、1.15.15予以修补。
这项漏洞发生的原因,在于SSH机敏信息引擎的valid_principals列表默认不须具备任何参数,一旦valid_principals及default_user字段尚未设置,任何得到授权的用户请求的SSH凭证,将能对任何本机用户进行身分验证,CVSS风险评分为7.7。
其他漏洞与修补
◆OpenPLC存在重大漏洞,攻击者可发送特制请求触发
◆Proxmox虚拟化平台、邮件安全闸道的API存在高风险漏洞
◆Riello不断电系统存在漏洞,恐导致设备遭到接管
◆Proroute旗下4G路由器存在高风险命令注入漏洞
◆影音播放器VLC Media Player修补高风险漏洞
【资安产业动态】
Firefox被控侵犯用户隐私
非营利的欧洲数位人权中心None of Your Business(NOYB)向奥地利数据保护机构(DSB)投诉,指控Mozilla基金会在Firefox浏览器中内置的隐私保护归因(Privacy Preserving Attribution,PPA)在未取得用户同意之前便默认激活,违反GDPR。
NOYB认为,Mozilla企图在不于各个网站搜集个人数据的情况下衡量广告效果,但事实上,有部分的追踪能力直接转移到Firefox上,虽然相较于在美国常见的无限追踪,PPA的侵入性较小,但根据GDPR,它依然侵犯了用户的权利,因为它并没有取得用户的明确同意。
近期资安日报
【9月27日】黑客利用Docker引擎API进行挖矿
【9月26日】macOS版ChatGPT软件存在可被窃密的漏洞SpAIware
【9月25日】UNC1860为攻击中东企业组织的黑客开路



2024-09-30
