安芯网盾内存安全周报专栏,希望帮助企业更好地理解内存安全相关问题。让用户更好地认识、发现问题,防止外部入侵等威胁、有效地对系统进行安全设计,以实时防御并终止无文件攻击、0day /Nday攻击、缓冲区溢出攻击、基于内存的攻击等恶意行为。
Comcast的Xfinity公司通报一起数据泄露事件,黑客利用了Citrix服务器的一个名为Citrix Bleed的漏洞(CVE-2023-4966)进行攻击。
Xfinity敦促用户为受影响的账户重置密码,但一些用户在没有解释明确的情况下收到了重置密码的请求。一年前,Xfinity遭遇了凭证填充攻击,绕过双因素身份验证,危及账户。这些被泄露的账户随后被用作重置服务密码的账户,包括加密货币交易所Coinbase和Gemini。
尽管发生了数据泄露,但Xfinity表示其业务并未受到影响,也没有收到勒索要求。该公司迅速修补了Citrix漏洞,并建议用户启用双重或多重身份验证。Xfinity的网络安全团队持续全天候监控潜在威胁,保证其对用户安全的承诺。
详细情况
该漏洞允许创建恶意gpt,可以利用该漏洞对网络钓鱼用户进行攻击。尽管向OpenAI报告了这个问题,但该研究人员没有收到任何回应,这迫使他在2023年12月12日向公众披露这起事件。OpenAI的回应是通过验证API实现客户端验证,以防止从不安全的url泄露图像。
然而,修复是不完整的,利用在测试中观察到的差异,在某些条件下黑客仍然可以利用这一漏洞进行攻击,虽然修复会使攻击变得更易侦测,增加数据传输速率限制,并减慢该过程,但它并不是万无一失的。此外,ChatGPT的iOS移动应用程序还没有实施安全检查,导致该平台上的风险未得到解决。由于ChatGPT的闭源特性,验证检查的确切细节是未知的。文章指出,客户端验证尚未应用于iOS应用程序,目前尚不清楚该修复是否已扩展到ChatGPT安卓应用程序,而该应用程序在Google Play上的下载量超过1000万。
参考链接
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...