Telegram安卓应用曝出0day漏洞,允许恶意文件伪装成视频进行传播
2024年7月22日,ESET研究人员披露Telegram存在一个名为“EvilVideo”的零日漏洞,该漏洞影响 Telegram v10.14.4 及更早版本。利用这一漏洞,攻击者可以在Telegram频道、聊天和群组中,将恶意 Android APK 伪装成视频文件传播。
该漏洞最初被发现于2024年6月6日,当时ESET研究人员在一个地下论坛上看到了一则关于该漏洞的广告。化名“Ancryno”的卖家以未公开的价格出售该零日漏洞,声称其适用于Telegram版本10.14.4及更早版本。于是ESET追踪到相关频道,获取恶意负载并进行详细分析。
分析结果显示,“EvilVideo”漏洞仅在 Telegram 的 Android 版本中有效,允许攻击者创建特制的 APK 文件,而这些文件在发送给其他用户时会显示为视频格式。在默认设置下,Telegram 应用会自动下载媒体文件,因此频道参与者一打开对话就会在设备上接收到恶意负载。对于已禁用自动下载的用户,单击视频预览也会启动文件下载。而当用户尝试播放假视频时,Telegram 会弹出使用外部播放器提示窗口,这可能导致接收者点击“打开”按钮并执行恶意负载。
Telegram用户如果最近有收到请求使用外部应用播放的视频文件,保险起见最好进行一次杀毒扫描。Telegram视频文件通常会存储在 '/storage/emulated/0/Telegram/Telegram Video/'(内部存储)或 '/storage/
审议通过!首届电竞奥运会将于明年在沙特举办
当地时间7月23日,在法国巴黎进行的国际奥委会第142次全会上,一项备受关注的提案得到一致通过:于2025年在沙特阿拉伯举办首届奥林匹克电子竞技运动会。国际奥委会在其官网称,“今天创造了历史”。在全会新闻发布会上,巴赫表示,世界在变化,人们正在经历一场数字革命。这项合作是一座里程碑,国际奥委会和电子竞技社区都需要学习很多,找到双方的共同点。据介绍,国际奥委会与沙特阿拉伯奥委会的合作期限为12年。该提案通过后,双方将立即着手选定赛事的举办城市和场馆,并对比赛时间、项目和选手晋级程序等细节进行确认。
—— 央视新闻
京东集团将在香港推出与港元1:1挂钩的加密货币稳定币
京东集团旗下的京东币链科技(香港)有限公司已获得香港金融管理局批准,成为三家沙盒监管的发行商之一,计划在香港推出与港元1:1兑换的加密货币稳定币。此次沙盒监管是香港金管局的实验项目,旨在测试加密货币稳定币的场景应用。
京东币链科技将与圆币创新科技和渣打银行香港公司、安拟集团、香港电讯有限公司联合申请的公司一起,在指定范围内测试业务模式,并与金管局就拟议实施的监管制度进行沟通和协调。京东币链科技于2024年3月在香港注册,主要业务包括数字货币支付系统和区块链基础设施建设。
https://github.com/1Panel-dev/1Panel/security/advisories/GHSA-5grx-v727-qmq6
1Panel存在SQL注入漏洞
有网友发现从近期开始Google 默认不再索引新 Web 内容
谷歌现在似乎在“默认不索引”的基础上运作。只有当它感知到真正的需求时,它才会在其索引中包含内容。这一决定似乎基于以下因素:
内容独特性、权威性和大品牌内优先索引
但是注意,在某些时候,谷歌通常会很快索引新内容,这可能会避免错过突发新闻或重要更新。不久之后,谷歌可能会取消内容的索引。因此,初始索引的内容不一定表明谷歌认为您的内容有价值。
谷歌正在从一个全面的搜索引擎转变为更类似于独家目录的东西。
对于内容创作者来说,这是一个重大挑战:如果谷歌拒绝索引你的内容,你如何获得知名度?
上周五,全世界大部分地区都在应对至今 IT 史上最严重的安全事故,但有一个国家基本未受到影响:中国。原因十分简单,Crowdstrike 的安全软件在中国基本无人用。很少有中国机构会购买美国的安全软件,中国对微软的依赖程度也没有其它地区高,阿里巴巴、腾讯和华为是主要的云服务商。因此遭遇 Crowdstrike 蓝屏死机事件的主要是在华外企或组织,根据社交媒体上的信息,中国用户报告无法入住喜来登、万豪和凯悦等国际连锁酒店。网络安全专家 Josh Kennedy White 称,微软通过其本地合作伙伴世纪互联在中国开展业务,世纪互联的基础设施独立于微软在全球的基础设施。这种设置使得中国的基本服务如银行和航空免受全球干扰。
https://www.bbc.com/news/articles/c3g01y047pdo
取证公司Cellebrite可以破解搭载最新版iOS 17.5.1的iPhone
2024年7月最新披露的内部文档显示,以色列移动取证公司Cellebrite目前已经可以破解搭载最新版iOS 17.5.1的iPhone。与之前的文档对比,可以发现Cellebrite近几个月在破解iPhone方面取得了显著进展。对最新版的iPhone 15系列,Cellebrite通过Cellebrite Advanced Services (CAS)提供破解。大多数Android手机也可被破解。Cellebrite目前仍无法破解搭载GrapheneOS的Google Pixel 6, 7, 8系列手机。
GrapheneOS (https://grapheneos.social/@GrapheneOS/112826067364945164)
