Meta遭重罚！9100万欧元为明文存储密码买单；Avro SDK惊现严肃漏洞，Java应 ...

  
消息1：Meta遭重罚！9100万欧元为明文存储密码买单，用户隐私再亮红灯！

爱尔兰数据掩护委员会（DPC）对Meta处以9100万欧元（1.0156亿美元）的罚款，这是针对2019年3月该公司安全漏洞事件观察的一部分，当时Meta披露其系统中错误地以明文形式存储了用户密码。
DPC于次月启动了观察，发现这家社交媒体巨头违反了欧盟《通用数据掩护条例》（GDPR）中的四项差别条款。
为此，DPC指责Meta未能及时通知DPC数据泄露事件，未能记载关于以明文形式存储用户密码的个人数据泄露事件，以及未能接纳得当的技术步伐来确保用户密码的保密性。
Meta最初透露，这一隐私违规行为导致部分用户的Facebook密码以明文形式暴露，但它指出，没有证据表明这些密码被内部不当访问或滥用。
   主要技术关键词：
1.Meta
2.Facebook
3.Instagram
4.明文存储（Plaintext Storage）
5.爱尔兰数据掩护委员会（DPC）
6.安全漏洞（Security Lapse）
7.欧盟《通用数据掩护条例》（GDPR）
    来源：https://thehackernews.com/2024/09/meta-fined-91-million-for-storing.html
  消息2：Avro SDK惊现严肃漏洞，Java应用面临远程代码实行危机！

Apache Avro Java软件开发工具包（SDK）中存在一个严肃的安全漏洞，如果该漏洞被成功利用，则大概在易受攻击的实例上实行恣意代码。
该漏洞被追踪为CVE-2024-47561（CVSS评分：9.3），影响1.11.4之前的全部软件版本。
“Apache Avro 1.11.3及之前版本的Java SDK中的模式解析答应恶意行为者实行恣意代码，”项目维护者在上周发布的一份咨询中表现，“建议用户升级到1.11.4或1.12.0版本，以修复此题目。”
Apache Avro与Google的Protocol Buffers（protobuf）类似，是一个开源项目，为大规模数据处置处罚提供了一种语言中立的数据序列化框架。
Avro团队指出，如果该应用步伐答应用户提供自己的Avro模式进行解析，则该漏洞会影响任何应用步伐。来自Databricks安全团队的Kostya Kortchinsky因发现和报告这一安全缺陷而得到表扬。
   主要技术关键词：
1.Apache Avro
2.Java软件开发工具包（SDK）
3.远程代码实行（Remote Code Execution）
4.CVE-2024-47561
5.数据序列化框架（Data Serialization Framework）
6.Protocol Buffers（protobuf）
    来源：https://thehackernews.com/2024/10/critical-apache-avro-sdk-flaw-allows.html
  消息3：玩家鉴戒！假冒作弊脚本暗藏Lua恶意软件，全球肆虐！

寻找游戏作弊方法的用户正被诱骗下载一种基于Lua的恶意软件，该软件能够在受感染的系统上创建长期性并转达额外的有效载荷。
“这些攻击利用了Lua游戏引擎增补步伐在学生玩家群体中的流行度，”Morphisec研究员Shmuel Uzan在本日发布的一份新报告中表现，“这种恶意软件变种在北美、南美、欧洲、亚洲甚至澳大利亚都非常广泛。”
关于此次活动的细节最早由OALabs在2024年3月记载，当时用户被诱骗下载了一个用Lua编写的恶意软件加载器，该加载器利用GitHub上的一个怪癖来分阶段转达恶意有效载荷。
   主要技术关键词：
1.Lua-based Malware（基于Lua的恶意软件）
2.Game Cheats（游戏作弊）
3.Lua Gaming Engine（Lua游戏引擎）
4.Malware Loader（恶意软件加载器）
5.GitHub（GitHub平台）
6.Malicious Payloads（恶意有效载荷）
    来源：https://thehackernews.com/2024/10/gamers-tricked-into-downloading-lua.html
  消息4：OpenAI大显神威，AI助力阻断20起全球网络犯罪与虚假信息传播！

OpenAI周三表现，自今年年初以来，该公司已经扰乱了全球凌驾20个试图利用其平台进行恶意活动的运营和敲诈网络。
这些活动包括调试恶意软件、为网站撰写文章、为社交媒体账户天生简介以及为X平台上的虚假账户创建AI天生的头像。
这家人工智能（AI）公司表现：“威胁行为者继续对我们的模型进行演变和实行，但我们没有看到证据表明这导致他们在创造全新恶意软件或创建病毒式受众方面取得了有意义的突破。”
该公司还表现，它扰乱了与美国、卢旺达以及较小程度上与印度和欧洲联盟选举相干的社交媒体内容天生活动，而且这些网络都没有吸引病毒式加入或持续受众。
这包括一家名为STOIC（也被称为Zero Zeno）的以色列商业公司所进行的活动，该公司此前曾就印度选举天生社交媒体评论，Meta和OpenAI在今年5月初已对此进行了披露。
   主要技术关键词：
1.OpenAI
2.AI（人工智能）
3.Cybercrime（网络犯罪）
4.Disinformation（虚假信息传播）
5.Malware（恶意软件）
6.Social Media Content（社交媒体内容）
7.Elections（选举）
8.STOIC/Zero Zeno（以色列商业公司名）
    来源：https://thehackernews.com/2024/10/openai-blocks-20-global-malicious.html
  消息5：GitLab告急！新漏洞答应恣意实行CI/CD流水线，企业安全再遭挑衅！

GitLab已针对社区版（CE）和企业版（EE）发布了安全更新，以修复八个安全漏洞，此中包括一个严肃漏洞，该漏洞大概答应在恣意分支上运行持续集成和持续交付（CI/CD）流水线。
该漏洞被追踪为CVE-2024-9164，其CVSS评分为9.6（满分为10）。
GitLab在一份咨询中表现：“在GitLab EE中发现了一个题目，该题目影响从12.5开始到17.2.9之前的全部版本，从17.3开始到17.3.5之前的版本，以及从17.4开始到17.4.2之前的版本，答应在恣意分支上运行流水线。”
在剩余的七个题目中，四个被评为高风险，两个被评为中风险，一个被评为低风险——

• CVE-2024-8970（CVSS评分：8.2），答应攻击者在某些情况下以其他用户的身份触发流水线；
  
• CVE-2024-8977（CVSS评分：8.2），答应在配置了产品分析仪表板并已启用的GitLab EE实例中进行SSRF攻击；
  
• CVE-2024-9631（CVSS评分：7.5），导致检察存在冲突的归并请求的差异时速度变慢；
  
• CVE-2024-6530（CVSS评分：7.3），由于跨站脚本题目，在授权新应用步伐时导致OAuth页面中出现HTML注入。
  

该咨询是GitLab近几个月来披露的一系列似乎持续不停的与流水线相干的漏洞中的最新一起。上个月，该公司解决了另一个严肃漏洞（CVE-2024-6678，CVSS评分：9.9），该漏洞答应攻击者以恣意用户的身份运行流水线作业。
   主要技术关键词：
1.GitLab
2.CI/CD Pipeline（持续集成/持续交付流水线）
3.CVE-2024-9164（漏洞编号）
4.CVSS（通用漏洞评分系统）
5.SSRF（服务器端请求伪造）攻击
6.OAuth（开放授权）
7.跨站脚本（XSS）题目
8.归并请求（Merge Request）
9.安全更新（Security Updates）
    来源： https://thehackernews.com/2024/10/new-critical-gitlab-vulnerability-could.html
  

---

保举阅读：
爆料！黑客只需车牌号，就能轻松“控制”起亚汽车！ChatGPT macOS惊现“影象裂痕”，黑客借AI之手窃密无孔不入！NVIDIA大漏洞曝光！黑客一键解锁，主机控制权拱手相让

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。