安全漏洞

微软的 Windows Hello for Business (WHfB) 一直被认为是防止网络钓鱼攻击的安全验证手段。然而，最近的发现表明，WHfB 默认的防网络钓鱼身份验证模型存在容易受到降级攻击的漏洞。这使得威胁行为者可以入侵受生物特征保护的 PC 和笔记本电脑。

思科最近修复了一个严重的漏洞，该漏洞被编号为 CVE-2024-20401。这个漏洞允许攻击者通过电子邮件中的恶意附件永久崩溃安全邮件网关（SEG）设备，并添加具有 root 权限的新用户。

近日，美国网络安全和基础设施安全局（CISA）发布了重要警告，敦促联邦机构尽快修补 GeoServer 中的严重漏洞 CVE-2024-36401。此漏洞的 CVSS 评分高达 9.8，表明其危害程度极高。更令人担忧的是，有证据显示该漏洞正在被积极利用。

软件巨头微软周二推出了大量更新，以修复 Windows 生态系统中的安全漏洞，并警告称攻击者已经在野利用 Windows Hyper-V 权限提升漏洞。

OpenSSH 维护团队最近发布了一项关键安全更新，以修复一个严重的安全漏洞。该漏洞可能导致基于 glibc 的 Linux 系统中以 root 权限执行未经身份验证的远程代码执行（RCE）

英特尔处理器中的一个新漏洞——CVE-2024-0762，别名“UEFIcanhazbufferoverflow”——可能会影响大量计算机。该漏洞是一个缓冲区溢出问题，影响 Phoenix Technologies 的 SecureCore 统一可扩展固件接口 (UEFI) 固件的多个版本。

华硕已发布软件更新，以解决影响其路由器的一个严重安全漏洞，该漏洞可能被恶意行为者利用来绕过身份验证。