每周安全速递²⁵⁸|VMware修复Pwn2Own大赛发现的两个漏洞





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

美创用户专访 | 精细化管理：医疗行业数据分类分级的策略与实践

2025-01-10

CNVD漏洞周报2025年第29期

2025-08-11

每周安全速递³⁵³ | D4rk4rmy声称入侵摩纳哥豪华集团

2025-08-11

每周安全速递³⁵² | Epsilon Red勒索软件通过ClickFix传播

2025-08-04

每周安全速递³⁵¹ | FBI和CISA警告Interlock勒索软件攻击关键基础设施

2025-07-25

每周安全速递³⁵⁰ | 新兴勒索软件GLOBAL GROUP威胁全球多行业

2025-07-18

每周安全速递²⁵⁸|VMware修复Pwn2Own大赛发现的两个漏洞

发布时间：2023-04-28 阅读次数： 709 次

本周热点事件威胁情报

VMware修复Pwn2Own大赛发现的两个漏洞

VMware已发布更新以解决影响其Workstation和Fusion软件的多个安全漏洞，其中最严重的漏洞可能允许本地攻击者实现代码执行，该漏洞被跟踪为CVE-2023-20869（CVSS 评分：9.3），为基于堆栈的缓冲区溢出漏洞，存在于与虚拟机共享主机蓝牙设备的功能中。另外一个为影响相同功能的越界读取漏洞（CVE-2023-20870，CVSS 分数：7.1）。这两个漏洞在温哥华举行的Pwn2Own黑客大赛上，由STAR Labs研究人员证明，研究人员由此获得80000美元的奖励。

参考链接：

https://thehackernews.com/2023/04/vmware-releases-critical-patches-for.html

Black Basta勒索组织攻击加拿大出版商

加拿大目录出版商Yellow Pages Group成立于1908年，拥有并运营YP.ca 和 YellowPages.ca网站，以及 Canada411 在线服务。其已经确认其遭受了网络攻击。Black Basta勒索组织声称对这次入侵活动负责，并在发布了敏感文件和数据。

参考链接：

https://www.bleepingcomputer.com/news/security/yellow-pages-canada-confirms-cyber-attack-as-black-basta-leaks-data/

标致公司南美用户信息泄露

Stellantis旗下的法国汽车品牌法国标致汽车泄露了南美用户信息，泄露的信息包含：完整的 MySQL 数据库统一资源标识符 (URI)、JSON Web Token (JWT) 密码以及私钥和公钥的位置、指向站点的git存储库链接等。该公司还泄露了访问数据集所需的凭据。攻击者可以使用此数据登录、泄露或修改数据集的内容。

参考链接：

https://securityaffairs.com/145253/security/peugeot-leaks-access-to-user-information-in-south-america.html

安全厂商发现窃密软件ViperSoftX新变种

ViperSoftX是一种信息窃取软件，据报道主要针对加密货币，因其在日志文件中隐藏恶意代码的执行技术而成为2022年的头条新闻。研究人员观察到ViperSoftX近期进行了版本更新，逃避了初始加载程序检测，并通过破解、密钥生成、激活程序和非恶意打包程序使初始包加载程序变得更加具有欺骗性。此外还观察到更复杂的加密和基本的反分析技术。