Aggregator

NCSC Technical Director Dr Ian Levy explains the technical impact of the recent US sanctions on the security of Huawei equipment in the UK.

With 5G set to transform mobile services, Ian Levy explains how the UK has approached telecoms security, and what that means for the future.

五大赛区同频共振，“铁人三项”赛程过半。赛事全程高能，跟随镜头一起来看！

五大赛区同频共振，“铁人三项”赛程过半。赛事全程高能，跟随镜头一起来看！

五大赛区同频共振，“铁人三项”赛程过半。赛事全程高能，跟随镜头一起来看！

五大赛区同频共振，“铁人三项”赛程过半。赛事全程高能，跟随镜头一起来看！

五大赛区同频共振，“铁人三项”赛程过半。赛事全程高能，跟随镜头一起来看！

五大赛区同频共振，“铁人三项”赛程过半。赛事全程高能，跟随镜头一起来看！

Cyber security – even in a time of global unrest – remains a balance of different risks. Ian Levy, the NCSC's Technical Director, explains why.

NCSC Technical Director Dr Ian Levy explains how the security analysis behind the DCMS supply chain review will ensure the UK’s telecoms networks are secure – regardless of the vendors used.

Ian Levy, the NCSC’s departing Technical Director, discusses life, the universe, and everything.

The NCSC's technical director outlines the challenges that TLS 1.3 presents for enterprise security.

负责制定 PCI Express 规范的组织 PCI Special Interest Group(PCI-SIG)表示，PCI Express 7 即将完成，正式版本预计会在今年晚些时候公布，目前处于 0.9 版本阶段。然而问题是当前一代的主板仍然采用 PCI Express 5.0 以及 4.0，6.0 版本尚未进入市场。PCI Express 的数据传输速率大约每三年翻一番，PCIe 6.0 传输率 64 GT/s，而 PCIe 7.0 将达到 128 GT/s，通过 x16 配置最高可达 512GB/s。

2025版的网络安全等级保护测评报告模板在结构和内容上进行了多项调整，为了更好地应对当前和未来的网络安全挑战。

Kali Linux 2025.1a is now available. This release enhances existing features with improvements designed to streamline your experience. 2025 theme refresh Kali Linux 2025.1a introduces an annual theme refresh, maintaining a modern interface. This year’s update debuts a redesigned theme aimed at enhancing the user experience from startup. Users can expect notable visual updates, including an improved boot menu, a refined login screen, and a selection of new desktop wallpapers for both Kali and Kali … More →

The post Kali Linux 2025.1a drops with theme refresh, Kali NetHunter updates appeared first on Help Net Security.

HackerNews 编译，转载请注明出处： 黑客正在积极利用OpenAI ChatGPT基础设施中的服务器端请求伪造（SSRF）漏洞（CVE-2024-27564）发起攻击。尽管该漏洞的严重程度被评为中等，但其带来的威胁已引发广泛关注。 据网络安全公司Veriti的研究，攻击者已经在多起真实攻击中利用该漏洞，证明即使是中等风险的安全缺陷，也可能成为攻击者突破AI系统防线的有效手段。 Veriti的研究数据显示，仅在一周内，已有10,479次攻击尝试来自恶意IP地址。这些攻击表现出高度协调性，目标多为使用OpenAI技术的机构。 美国是遭受攻击最严重的国家，占比高达33%。德国和泰国紧随其后，各占7%。此外，印度尼西亚、哥伦比亚和英国等国也报告了相关攻击事件，反映了这一威胁的全球性。 Veriti的研究人员指出：“此次攻击模式表明，即使是微小的漏洞也可能成为攻击者的目标。只要有机会，他们便会加以利用。” 攻击量在2025年1月急剧上升，随后在2月和3月略有回落，可能表明攻击者的策略有所调整，或是受到防御措施的影响。 CVE-2024-27564是一种服务器端请求伪造漏洞，允许攻击者在输入参数中注入恶意URL，从而迫使ChatGPT的应用程序在攻击者的指令下执行请求。 该漏洞通常发生在用户输入未经过适当验证时。在本次事件中，攻击者通过操控ChatGPT的pictureproxy.php组件中的url参数，发送任意请求，可能绕过安全控制。 风险概览 风险因素 详情 影响产品 ChatGPT（commit f9f4bbc中的pictureproxy.php组件）OpenAI基础设施 影响 发送任意请求、暴露敏感信息 攻击条件 远程利用可能 CVSS 3.1评分 6.5（中等） 金融机构成为主要目标 在此次攻击中，银行和金融科技公司成为主要受害者。这类机构高度依赖AI驱动的服务和API集成，使其更容易受到SSRF攻击的侵害。 攻击可能导致数据泄露、未经授权的交易、合规性处罚以及声誉损害。 应对措施 令人担忧的是，Veriti发现35%的受影响机构由于入侵防护系统（IPS）、Web应用防火墙（WAF）和传统防火墙配置不当而未能有效防御此漏洞。 为应对此威胁，安全专家建议机构立即采取以下措施： 审查并修复IPS、WAF和防火墙配置，确保防御CVE-2024-27564。 实施严格的输入验证，防止恶意URL注入。 监控日志，检测来自已知恶意IP的攻击尝试。 考虑网络分段，隔离处理URL请求的组件。 在风险评估程序中优先关注与AI相关的安全漏洞。   近年来，国家支持的黑客组织和网络犯罪分子逐渐将AI系统作为攻击目标。根据最新报告，自2024年初以来，攻击者已在20多起事件中尝试滥用ChatGPT进行恶意活动。     消息来源：Cybersecurity News；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

The U.S. Cybersecurity and Infrastructure Security Agency (CISA) has issued a warning about a serious vulnerability in the NAKIVO Backup and Replication software, known as CVE-2024-48248. This vulnerability allows attackers to exploit an absolute path traversal flaw, enabling them to read arbitrary files without authentication. The vulnerability resides in the Director Web Interface of the […]

The post CISA Warns of NAKIVO Backup Flaw Exploited in Attacks with PoC Released appeared first on GBHackers Security | #1 Globally Trusted Cyber Security News Platform.

欧盟反垄断监管机构周三要求苹果向竞争对手开放其封闭的生态系统，它阐述了苹果必须如何遵守欧盟《数字市场法（Digital Markets Act）》的详细要求，否则可能面临罚款。欧盟的第一项命令要求苹果向竞争对手的智能手机、耳机和 VR 设备制造商开放访问其技术，以便能无缝连接苹果设备。第二项命令建立响应应用开发者互操作性请求的流程。苹果批评了该决定，称“今天的决定将我们陷入繁文缛节，减缓苹果为欧洲用户创新的能力。”欧盟反垄断负责人 Teresa Ribera 反击称：“我们只是在执行法律。”不遵守规定可能会导致调查，罚款金额最高会达到苹果全球年销售额的 10%。

攻击者利用Cisco智能许可工具未修复漏洞，注入内置后门管理员账户，远程获取权限，严重威胁企业安全，Cisco紧急修复仍难挡活跃攻击。