GitHub Actions Lead to Malicious Code Injections - ThreatWire

Threat Wire - Security, Privacy, and Internet Freedom News!
21 Aug 202405:04

Summary

TLDRDefconから帰ってきたThreatwireでは、ハッカーの息子であるSam Watsonがオリンピックでブロンズメダルを獲得し、スピードクライミングの世界記録を更新したことを称えます。また、Hack5の20周年を迎える来年Defconに向けて、特別なお祝いが計画されています。さらに、Microsoftの重要なパッチリリースや、GitHubアクションの脆弱性などのセキュリティ情報を提供しています。Hack5チームはDefconの終了後、新しいコンテンツのアイデアを探求しています。

Takeaways

  • 🏅 雷·雷德克特的儿子山姆·沃森在奥运会上获得铜牌,并打破了速度攀岩的世界纪录。
  • 🎉 雷·雷德克特在推特上分享了儿子山姆在奥运会上的进步,整个黑客社区都对此事非常投入。
  • 🤗 感谢所有参加Defcon并访问hack five展位的人,错过了见面机会的人,明年hack five 20周年庆典不容错过。
  • 👕 感谢missr团队为hack five制作的定制T恤,效果非常棒。
  • 🔒 不安全锁项目在Defcon上展示了如何使用单一RFID钥匙创建酒店所有RFID锁的主钥匙。
  • 🔢 受影响的锁是safe lock系统的所有锁,估计超过300万扇门,分布在131个国家的13000个物业。
  • 🛠️ 微软在2024年8月14日发布了一个关键的补丁星期二更新,解决了一个TCP/IP RCE漏洞(CVE-2024-38063)。
  • 🚫 这个零点击漏洞影响了所有使用IPv6的Windows系统,具体功能尚未披露。
  • 🔄 GitHub Actions被利用来强制推送代码到公共项目,利用了GitHub Actions的artifacts输出。
  • 🔄 GitHub Actions的工件可以被下载,并且在工作流程进行中,攻击者利用了这一点来实现他们的利用。
  • 🛡️ Palo Alto Networks已经发布了一个GitHub Action,用于在上传之前扫描工件中的GitHub令牌值。

Q & A

  • Defconから帰ってきた際の感想は何ですか?

    -Defconは非常に成功したと感じており、ハック5ブースに訪れた皆さんに感謝しています。来られなかった人には残念だと伝えています。

  • ハッカーコミュニティが注目したオリンピックの出来事は何ですか?

    -ハッカーコミュニティは、ハッカーのレイ・レッドactedの息子であるサム・ワトソンがオリンピックで銅メダルを獲得し、スピードクライミングの世界記録を更新したことに注目しました。

  • ハック5の20周年のお祝いはどのようなものですか?

    -ハック5の20周年を祝うために、来年Defconで素晴らしいお祝いを計画しています。その詳細はまだ内緒です。

  • Missrチームが作成したカスタムシャツについて教えてください。

    -Missrチームが作成したカスタムシャツは素晴らしいもので、ハック5チームがそれらを楽しんでいました。

  • unsafe lockプロジェクトのトークはどのような内容でしたか?

    -unsafe lockプロジェクトは、ホテルのRFIDキーを使って1つのRFIDマスターキーを作成し、特定のホテルのすべてのRFIDロックにアクセスできる方法を紹介しました。

  • 2024年8月14日にマイクロソフトがリリースした重要なパッチは何に関するものですか?

    -マイクロソフトは、すべてのIPv6を使用するWindowsシステムに影響を及ぼすTCP/IPのリモートコード実行の脆弱性CVE-2024-38063に関する重要なパッチをリリースしました。

  • CVE-2024-38063のCVSSスコアは何ですか?

    -CVE-2024-38063のCVSSスコアは9.8で、非常に高いレベルのリスクを示しています。

  • GitHub Actionsを悪用した攻撃の仕組みを説明してください。

    -攻撃者はGitHub ActionsのアーティファクトからGitHubトークンの値を取得し、その有効期限が切れる前に悪意のあるコードをプッシュする攻撃を行います。

  • Palo Alto NetworksがリリースしたGitHubアクションは何の用ですか?

    -Palo Alto NetworksがリリースしたGitHubアクションは、アップロード前にアーティファクト内のGitHubトークン値をスキャンするものです。

  • Defconの後、ハック5チームはどのような気持ちですか?

    -Defconの後、ハック5チームは非常に元気で、新しいコンテンツのアイデアを提供したいと思っています。

  • Threatwireのチャンネルで見たい新しいコンテンツについて教えてください。

    -Threatwireのチャンネルでは、コミュニティからのフィードバックに基づいて新しいコンテンツを検討しており、皆さんからの意見を楽しみにしています。

Outlines

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Mindmap

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Keywords

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Highlights

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

Transcripts

plate

هذا القسم متوفر فقط للمشتركين. يرجى الترقية للوصول إلى هذه الميزة.

قم بالترقية الآن

تصفح المزيد من مقاطع الفيديو ذات الصلة

【並木良和さん】並木良和さんの言霊集(12分くらいの長編)②(僕が目醒め続けるための読み聞かせ言霊たち)♯並木良和♯言霊集

匿名ラジオ/#400「祝400回!別の世界線の匿名ラジオを聞いてみよう!」

【2ch馴れ初め】突然ヤクザが現れ震えている定食屋の母娘→常連客の俺が正体を明かし助けた結果...【ゆっくり】

【必見】潜在意識を変えたのになぜ望みが叶わない?ステージが変わっている事に気付いていないからです

瞬間の智慧で病気も楽しむ|スマナサーラ長老の切り抜き法話(初期仏教Q&A)#読書 #医療 #jtba

Audio Editor Olympics 2024: Who Wins The Gold?

Rate This

5.0 / 5 (0 votes)

Summary
Outlines
Mindmap
Keywords
Highlights
Transcripts
الوسوم ذات الصلة
Defconハッカーセキュリティアップデート脆弱性RFIDロックGitHubハッキングパッチコミュニティ
هل تحتاج إلى تلخيص باللغة الإنجليزية؟