Aggregator

当前环境出现异常，需完成验证后才能继续访问。

本周，互联网网络安全态势整体评价为良。

A vulnerability was found in Samsung Smart Phone and classified as critical. This impacts an unknown function of the component ActivityManagerService. Such manipulation leads to active debug code. This vulnerability is referenced as CVE-2023-21496. The attack can be executed directly on the physical device. No exploit is available. It is suggested to upgrade the affected component.

A vulnerability was found in Samsung Smart Phone. It has been declared as critical. This vulnerability affects unknown code of the component mPOS TUI Trustlet. The manipulation results in format string. This vulnerability is identified as CVE-2023-21497. The attack is only possible with local access. There is not any exploit available. It is recommended to upgrade the affected component.

A vulnerability marked as critical has been reported in Samsung Smart Phone. This affects an unknown part of the file mm_Authentication.c of the component Shannon Baseband. This manipulation causes memory corruption. This vulnerability appears as CVE-2023-21494. The attack may be initiated remotely. There is no available exploit. It is suggested to upgrade the affected component.

A vulnerability, which was classified as critical, has been found in Samsung Smart Phone. This impacts an unknown function of the component Knox Enrollment Service. This manipulation causes improper access controls. This vulnerability is handled as CVE-2023-21495. It is possible to launch the attack on the local host. There is not any exploit available. It is advisable to upgrade the affected component.

文章讨论了某个主题或问题，并提供了相关背景、分析和结论。

HackerNews 编译，转载请注明出处： 近期，名为 “Scattered Lapsus$ Hunters” 的网络犯罪团伙在 Telegram上宣称，已获取谷歌 执法请求系统（LERS ）及美国联邦调查局（FBI）电子背景调查系统的访问权限。 LERS是一个安全的在线门户，供经过验证的政府机构提交和跟踪针对用户数据的合法请求。该系统一方面帮助执法机构向谷歌申请所需信息，另一方面确保整个流程符合法定程序要求。 谷歌证实，威胁行为者通过创建虚假账号，成功获取LERS平台的访问权限，目前已将该账号停用。 谷歌指出，攻击者未通过该欺诈账号发起任何请求，同时强调 “未发生数据泄露”。然而，未经授权访问谷歌 LERS 仍存在多重风险：可能导致用户数据暴露、干扰正常执法调查、为欺诈性数据请求提供可乘之机，且会损害公众对该系统的信任。 而若 FBI 电子背景调查系统（eCheck）遭遇入侵，风险则包括个人记录与犯罪记录被盗、身份诈骗、背景调查结果被篡改，甚至对国家安全构成威胁。鉴于这两个系统的高度敏感性，必须建立强有力的安全防护措施，以保障用户隐私、数据完整性及机构公信力。 据悉，该威胁团伙最初通过社会工程学手段，诱骗企业员工将 Salesforce 数据加载器（Salesforce Data Loader）关联至公司账号，进而实施数据窃取与勒索。随后，他们入侵了 Salesloft 公司的 GitHub 代码仓库，使用 Trufflehog（一款敏感信息扫描工具）扫描代码，发现了 Drift（一款客户互动平台）的认证令牌，并利用该令牌进一步发起针对 Salesforce 的大规模数据窃取攻击。 此次 Salesforce 数据窃取攻击影响了多家大型企业客户，包括安联人寿、谷歌、Zscaler、Cloudflare、澳洲航空及帕洛阿尔托网络公司。 9 月 11 日，该团伙在 BreachForums [.] hn（一个数据泄露相关论坛）上发布 “告别” 信息，宣布将 “隐匿”。 团伙在留言中写道：“虚荣不过是转瞬即逝的胜利，操纵舆论也终究只是徒劳的自负。正因如此，我们决定，从今往后，沉默将成为我们的力量。”“未来，你或许会在其他数十家尚未披露数据泄露事件的十亿美元级企业，以及部分政府机构（包括安全级别极高的机构）的新数据泄露报告中看到我们的名字，但这并不意味着我们仍在活跃。司法程序将持续让警方、法官与记者忙碌不已。”   消息来源：securityaffairs； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了苹果最新推出的AirPods Pro 3耳机新增的心率传感器功能及其使用方法。该功能通过读取皮下血管情况实现心率监测，需确保耳机以45度角朝向面部并紧密贴合皮肤。此外，耳机采用了更柔软的泡沫硅胶耳塞，并提供多种尺寸选择以优化佩戴舒适度和监测准确性。

A vulnerability described as critical has been identified in Tourism Management System 2.0. Affected by this vulnerability is an unknown functionality. Such manipulation leads to unrestricted upload. This vulnerability is referenced as CVE-2025-57642. It is possible to launch the attack remotely. Furthermore, an exploit is available.

A vulnerability was found in ELEXtensions ELEX WooCommerce Google Shopping Plugin up to 1.4.3 on WordPress. It has been rated as critical. Affected is an unknown function. Performing manipulation of the argument file_to_delete results in sql injection. This vulnerability is cataloged as CVE-2025-10046. It is possible to initiate the attack remotely. Furthermore, there is an exploit available.

A vulnerability, which was classified as critical, has been found in dotCMS Cloud Services. This vulnerability affects unknown code of the file /api/v1/contenttype. The manipulation of the argument sites leads to sql injection. This vulnerability is traded as CVE-2025-8311. It is possible to initiate the attack remotely. Furthermore, there is an exploit available. It is advisable to upgrade the affected component.

A vulnerability described as problematic has been identified in Concrete CMS CMS up to 9.4.2 on Members. This vulnerability affects unknown code of the component Members Dashboard Page. Executing manipulation can lead to information disclosure. The identification of this vulnerability is CVE-2025-8573. The attack may be launched remotely. Furthermore, there is an exploit available. Upgrading the affected component is recommended.

A vulnerability labeled as critical has been found in Mbed TLS up to 3.6.3. This impacts the function mbedtls_x509_string_to_names. The manipulation of the argument head results in use after free. This vulnerability is known as CVE-2025-47917. It is possible to launch the attack remotely. Furthermore, an exploit is available. The affected component should be upgraded.

错误代码521通常由Cloudflare触发，表示无法连接到源服务器。

HackerNews 编译，转载请注明出处： 上周日，乌克兰军方情报机构（HUR）表示，已对俄罗斯中央选举委员会及其他政府部门系统实施黑客攻击，此举是对 “俄罗斯在被占领乌克兰地区举行投票” 的回应。 此次攻击恰逢俄罗斯 “统一投票日”，当天俄罗斯全国同步举行地区和地方选举。今年，克里米亚及乌克兰其他被占领地区也同步进行了投票。乌克兰政府及其盟友均表示，此类选举不具备合法性。 乌克兰军方情报机构称，其发起的分布式拒绝服务（DDoS）攻击，目标直指俄罗斯中央选举委员会服务器、电子投票系统、国家服务门户网站 “Gosuslugi”，以及国营电信运营商 “俄罗斯电信”（Rostelecom）的核心路由器。DDoS 攻击的原理是向服务器发送海量流量，最终导致服务器瘫痪、无法正常访问。 乌克兰军方情报机构发言人称：“此次攻击的目标是干扰在线投票，尤其是在被占领的乌克兰地区。” 该发言人补充表示，攻击导致俄罗斯相关数字服务暂时陷入瘫痪，许多俄罗斯民众无法通过电子方式投票。 俄罗斯方面承认，其与选举相关的网站遭遇了持续性攻击。 俄罗斯中央选举委员会主席埃拉・帕姆菲洛娃（Ella Pamfilova）向当地官方媒体表示，自周五投票开始以来，中央选举委员会网站多次出现无法访问的情况，但她强调投票本身未受影响。 俄罗斯数字发展部副部长奥列格・卡恰诺夫（Oleg Kachanov）证实，“Gosuslugi” 门户网站及中央选举委员会的数字服务出现 “短期流量异常波动”，但远程投票平台仍按设计正常运行。 俄罗斯电信总裁米哈伊尔・奥谢夫斯基（Mikhail Oseevsky）称，为中央选举委员会网站提供支持的路由器出现过载，不得不进行重启，这导致投票高峰时段系统出现故障。他表示：“目前这些问题已得到解决”，并补充称俄罗斯将在明年议会选举前加强网络防御。 帕姆菲洛娃随后向记者透露，在为期三天的投票期间，针对中央选举委员会相关资源的攻击已记录在案的就超过 50 万次。 乌克兰外交部谴责在被占领土举行的选举 “不合法”，并呼吁盟友不承认选举结果。 欧盟对此表示认同并予以谴责，一名发言人表示，欧盟 “既不承认在被占领土上举行的所谓‘选举’，也不承认其结果”，并称此类投票是 “对国际法的又一次违反”。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

甲骨文、银湖资本（Silver Lake）和 Andreessen Horowitz（a16z）组建的财团将收购 TikTok 美国业务。TikTok 美国业务将由一家新成立的公司运营，美国投资者持有八成股份，其余归中国股东，新公司的董事会也将由美国人主导，其中一名董事将由美国政府指定。TikTok 现有的美国用户将被要求迁移到新应用，美国用户的数据将由甲骨文位于德州的设施处理。美国总统特朗普（Donald Trump）本周二再次签署了一项行政令，第四次延长要求字节跳动剥离 TikTok 美国业务的时间至 12 月 16 日。

甲骨文、银湖资本和a16z组成的财团将收购TikTok美国业务。新公司将由美国投资者持80%股份运营，董事会由美国人主导并含一名政府指定董事。现有用户需迁移到新应用，数据由甲骨文在德州处理。特朗普再次延长要求字节跳动剥离TikTok至12月16日。

文章描述了错误代码521的原因及解决方法：该错误通常由服务器配置错误或连接问题引起。解决步骤包括检查服务器设置、确认防火墙或安全组允许Cloudflare IP地址访问，并确保服务器正常运行且能响应请求。