【网安播报】CocoaPods 曝关键漏洞,应用程序面临供应链攻击风险

1、CocoaPods 曝关键漏洞,数百万 macOS 和 iOS 应用程序面临供应链攻击风险

开源依赖管理器 CocoaPods 中的安全漏洞暴露了数千个软件包,利用这些漏洞的攻击者可以将恶意代码注入合法应用,通过受信任的渠道分发恶意软件,并破坏用户数据,由于许多流行的应用程序都依赖于 CocoaPods,因此此类漏洞威胁到整个 iOS 和 macOS 生态系统,数百万 macOS 和 iOS 设备上的应用程序面临供应链攻击风险。

参考链接:

https://www.spiceworks.com/it-security/endpoint-security/news/critical-cocoapods-vulnerability-macos-ios-apps-supply-chain-attacks/

2、黑客创建了 250 个 npm 包,模仿流行的 AWS 和 Microsoft 项目

Sonatype安全研究人员最近发现了250多个模仿流行的AWS,Microsoft和其他开源项目的npm软件包,这些软件包在真实软件包正式发布后不久就出现了,其使用了包含反向 shell 和依赖混淆的攻击手段。黑客通过将恶意代码注入广泛使用的软件库,从而影响到许多开发人员和应用程序,这个案例暴露了持续的供应链安全问题,展示了如何谨慎处理npm软件包管理器。

参考链接:

https://cybersecuritynews.com/hackers-250-npm-packages-mimic-aws-microsoft/

3、Vanna AI 中的提示注入缺陷使数据库暴露于 RCE 攻击

网络安全研究人员披露了 Vanna.AI 库中的一个高严重性安全漏洞,该漏洞与"ask"函数中的提示注入漏洞有关,通过提示注入技术实现远程代码执行漏洞,可能被利用来诱骗库执行任意命令。近年来,生成式人工智能 (AI) 模型的快速推出凸显了黑客利用的风险,他们可以通过提供绕过内置安全机制的对抗性输入来将工具武器化。

参考链接:

https://thehackernews.com/2024/06/prompt-injection-flaw-in-vanna-ai.html

严重的 GitLab 错误威胁软件开发管道

DARKReading 网站消息,一个严重的 GitLab 漏洞可能允许攻击者以另一个用户的身份运行管道,该公司正敦促运行易受攻击版本的用户立即修补该漏洞,以避免 CI/CD 失常。在 GitLab 中,管道可以自动完成构建、测试和部署代码的过程。从理论上讲,攻击者如果有能力以其他用户的身份运行管道,就可以访问他们的私有存储库,并操作、窃取或外泄其中包含的敏感代码和数据。而且像这样的管道漏洞不仅会带来安全风险,还会带来监管和合规风险。

参考链接:

https://www.freebuf.com/news/404873.html

相关推荐
一如初夏丿2 天前
xcode15 报错 does not contain ‘libarclite‘
ios·xcode
app开发工程师V帅2 天前
Xcode 文件缺失:Missing submodule xxx
ide·macos·xcode
app开发工程师V帅2 天前
Xcode 16 编译弹窗问题、编译通过无法,编译通过打包等问题汇总
macos·xcode
请叫我飞哥@5 天前
iOS在项目中设置 Dev、Staging 和 Prod 三个不同的环境
ios·xcode·swift
B.-5 天前
减少 Flutter 应用体积的常用方法
学习·flutter·android studio·xcode
名字不要太长 像我这样就好8 天前
【iOS】OC语法知识小结
ios·cocoa·xcode
zhangfang688 天前
Go 语言切片(Slice)
开发语言·golang·xcode
davidson14718 天前
Xcode
ios·swiftui·xcode·swift·apple
tealcwu9 天前
【Unity踩坑】Unity生成iOS的XCode项目时提示错误:xcrun: error: SDK “iphoneos“ cannot be located
unity·ios·xcode
望天hous9 天前
go 怎么判断一个文件存在,并且如果存在则读取文件,并json反序列化 string切片
golang·json·xcode