Aggregator

HackerNews 编译，转载请注明出处： 谷歌日前发布安全更新，修复安卓操作系统中47项安全漏洞，其中一项已被证实遭到实际攻击。 本次修复的核心漏洞CVE-2024-53104（CVSS评分7.8）属于USB视频类（UVC）驱动内核组件的权限提升漏洞。 谷歌表示，攻击者可通过物理接触设备实施本地提权攻击，且已监测到该漏洞存在“有限范围的定向攻击”。 技术溯源显示，该漏洞最早可追溯至2008年发布的Linux内核2.6.26版本。 Linux内核维护者Greg Kroah-Hartman在2024年12月初披露，该漏洞源于”uvc_driver.c”程序中”uvc_parse_format()”函数对UVC_VS_UNDEFINED类型帧解析时引发的越界写入问题，可能导致内存损坏、程序崩溃或任意代码执行。 安全机构GrapheneOS分析指出，考虑到该漏洞涉及物理提权特性，不排除被取证数据提取工具滥用的可能性。同步修复的还包括高通WLAN组件高危漏洞CVE-2024-45569（CVSS评分9.8），该漏洞同样存在内存损坏风险。 值得注意的是，谷歌此次采用2025-02-01和2025-02-05双安全补丁级别机制，以便设备厂商灵活处理安卓系统通用漏洞。 “我们鼓励 Android 合作伙伴修复本公告中的所有问题，并使用最新的安全补丁级别，”谷歌表示。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文

模型权重

模型权重

HackerNews 编译，转载请注明出处： AMD 的安全加密虚拟化（SEV）功能中披露了一个安全漏洞，可能允许攻击者在特定条件下加载恶意 CPU 微代码。 该漏洞被追踪为 CVE-2024-56161，CVSS 评分为 7.2，表明其严重性较高。 AMD 在一份咨询报告中表示：“AMD CPU ROM 微代码补丁加载器中的签名验证不当，可能允许具有本地管理员权限的攻击者加载恶意 CPU 微代码，从而导致运行在 AMD SEV-SNP 下的机密客体的机密性和完整性受损。” SEV 是一项安全功能，使用每个虚拟机（VM）的唯一密钥来隔离虚拟机和 hypervisor。SNP（安全嵌套分页）结合了内存完整性保护，以创建一个隔离的执行环境，并防范基于 hypervisor 的攻击。 AMD 表示：“SEV-SNP 引入了几个额外的可选安全增强功能，旨在支持额外的 VM 使用模型，提供更强的中断行为保护，并增加对最近披露的侧信道攻击的防护。” 在另一份公告中，Google 指出 CVE-2024-56161 是由于微代码更新的签名验证中使用了不安全的哈希函数，这为攻击者可能破坏机密计算工作负载打开了大门。 该公司还发布了一个测试有效载荷来演示该漏洞，但额外的技术细节将在一个月后公布，以便有足够的时间让修复措施在“深层供应链”中得到推广。   消息来源：The Hacker News, 编译：zhongx；  本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc”并附上原文