-
2016年CNVD漏洞数据统计
一、2016年漏洞收录情况统计(一)漏洞收录概况2016年,国家信息安全漏洞共享平台(CNVD)共收录通用软硬件漏洞10822个。其中,高危漏洞4146个(占38.3%)、中危漏洞5993个(占55.4%)、低危漏洞683个(占6.3%),各级别比例分布与月度数量统计如图所示。较2015年漏洞收...
-
2016年IOT设备漏洞情况汇总
近年来,随着智能手机、可穿戴设备、活动追踪器、无线网络、智能汽车、智能家居等终端设备和网络设备的迅速发展和普及利用,针对IOT设备的网络攻击事件比例呈上升趋势,攻击者利用IOT设备漏洞可导致设备拒绝服务、获取设备控制权限进而形成大规模恶意代码控制网络,或用于用户信息数据窃取、网络流量劫持等其他黑客地...
-
Windows SMBv3远程拒绝服务0day漏洞
国外技术网站Github曝光了WindowsSMBv3存在远程攻击0day漏洞。根据已公开的漏洞验证代码(POC),攻击者可以迫使受影响系统蓝屏崩溃。目前微软尚未对此漏洞发布公告,暂不明确何时将推出补丁。经验证,此漏洞主要影响WindowsServer2012/2016、Win8/8.1以及...
-
基于开源程序漏洞的攻击在2017年将增长20%
现在,无论是商业软件还是程序员自行开发的小程序,开源代码已经变得越来越普遍了,而开源似乎也已经成为了一种趋势。但需要注意的是,BlackDuck软件公司的研究人员根据他们对开源项目所收集到的统计数据预测到,基于开源软件漏洞的网络攻击活动数量在2017年将增长20%。BlackDuck软件公司的...
-
黑客利用 WordPress 漏洞纂改上百万网页
近日,黑客利用RESTAPI漏洞对WordPress网站发动攻击,纂改了3.9万域名的150万网页。该漏洞已在上个月释出的WordPressv4.7.2中修复。漏洞允许攻击者发送一个简单的HTTP请求,绕过身份验证系统,编辑WordPress网页的标题和内容,它只...
-
BIND域名系统再现高危DoS漏洞
互联网系统协会(InternetSystemsConsortium,ISC)近期修复了BIND域名系统中存在的DoS漏洞—CVE-2017-3135。Infoblox公司的RameshDamodaran和AliaksandrShubnik报告了该漏洞。CVE-2017-3135影...
-
卡巴斯基发现车载安卓APP漏洞 易遭黑客攻击
各类APP让人们的生活变得更便捷,但为此人们又会付出怎样的代价?俄罗斯反病毒与计算机安全公司卡巴斯基(Kaspersky发表报告,声称在一些高端汽车的车载安卓APP中发现了严重缺陷,容易让黑客控制汽车,甚至引发盗窃行为。如今,许多汽车制造商都提供专用APP,让用户通过操作APP开启车门或是启动...
-
Cloudflare 严重漏洞暴露客户机密
帮助550万家网站优化安全和性能的云服务供应商Cloudflare曝出了严重漏洞,能暴露客户的机密信息,包括验证用户身份的密码、cookies和令牌。漏洞已经修复,但在修复和被发现前存在了5个月之久,而部分泄漏高度敏感的信息可能已被Google和其它搜索引擎缓存。Cloudf...
-
微软急推 KB4010250:修补 Flash Player 漏洞
由于在最后一分钟发现了bug,微软曾推迟了2017年2月份的“星期二补丁”。但是为了修补WindowsServer2016/Server2012R2、Windows10(含1511/1607)、以及Windows8.1(含8.1RT)上的FlashPla...
-
关于CloudFlare服务器存在缓冲区溢出漏洞(Cloudbleed)的安全公告
近日,国家信息安全漏洞共享平台(CNVD)收录了CloudFlare服务器存在的缓冲区溢出漏洞(CNVD-2017-02009,又称Cloudbleed“云滴血”)。远程攻击者可利用漏洞获取服务器上的缓存信息(如:身份验证cookie、API密钥和登录认证等敏感信息),对在Cloudflare上运行...
-
94% 的微软高危漏洞可通过关闭管理权限消除
根据端点安全公司Avecto的年度微软漏洞报告结论:94%的微软软件高危漏洞可通过关闭管理权限消除;对于浏览器而言,100%的InternetExplorer和Edge漏洞可通过关闭关闭管理权限消除。2016年微软软件报告了530个漏洞,其中36%(189被归类为...
-
谷歌Project Zero再曝微软IE/Edge浏览器安全漏洞
几周前谷歌ProjectZero公布了其在Windows10中发现的一个漏洞,微软承诺将通过3月14日的例行Windows安全补丁提供修补。而现在,ProjectZero团队再次对外公布了一项微软相关的安全漏洞,此次为IE/Edge浏览器相关的漏洞“CVE-2017-0037”,由该团队的Iv...
-
极棒(GeekPwn)实验室:物联网安全堪忧 loT设备存大量低级漏洞
近两年来,智能设备席卷全球,随之而来的安全威胁却在不断演变和升级,在刚刚过去的2016年发生的几起全球重大网络安全事件中,都能看到物联网攻击的身影。在温哥华举办的国际信息安全大会Cansecwest上,来自极棒实验室(GeekPwnLab)的安全专家宋宇昊与刘惠民带来了IoT设备漏洞挖掘与利用的演...
-
维基解密:科技公司获得安全漏洞信息须答应几个条件
据报道,维基解密本周接触了包括苹果和谷歌在内的多家知名科技公司,要求他们必须先答应一系列条件,然后才能收到有关中情局掌握的“零日漏洞”和其他监控手段的外泄信息。大概一周前,维基解密创始人朱利安·阿桑奇(JulianAssange)曾表示,他将协助科技公司修复中情局外泄文件中提到的安全漏洞。...
-
英特尔携手HackerOne推出漏洞赏金计划
据外媒报道,继其他科技公司之后,英特尔终于推出了自己一个漏洞奖金计划,为硬件漏洞发现者提供最高30000美元的奖金。英特尔携手漏洞披露企业HackerOne推出了这个项目,鼓励世界各地的白帽黑客找到各种软件、固件和硬件中的安全漏洞。英特尔公司在一份声明中表示:“我们希望鼓励研究人员找出问题并直...
-
一国产品牌摄像头被曝安全漏洞
现在不少有小孩、老人或养宠物的家庭都选择在房间安装监控摄像机,方便在外出的时候实时了解家里的情况。不过这些摄像头真的安全吗?监控摄像机真的出现了安全漏洞。也许正在您查看家中的情况时,黑客此时也把您家人的一举一动看的一清二楚。据NOSEC报道,中国一家安全摄像头制造商大华科技(DahuaTechn...
-
Adobe修复Flash Player和Shockwave中的漏洞
Adobe发布了FlashPlayer和ShockwavePlayerd的安全更新。该公司周二发布的安全更新解决了FlashPlayer中的七个漏洞和ShockwavePlayer中的一个漏洞。FlashPlayer更新了25.0.0.127版本修复了24.0.0.221及更早版本在操...
-
Drupal v8.2.7发布,修复了多个CMS漏洞
Drupal开发团队发布了Drupal8.2.7版本,解决了流行CMS中的一系列的漏洞。漏洞列表包括访问绕过问题,跨站点请求伪造(CSRF)漏洞和远程代码执行的问题。其中最严重的漏洞是编号为CVE-2017-6377访问绕过漏洞,影响了CMS的编辑器模块。“当通过配置的文本编辑器(如CKEd...
-
安全专家Ormandy再曝LastPass漏洞
3月20日,GoogleProjectZero的研究专家TavisOrmandy在LastPass浏览器扩展程序中发现了两个远程可执行代码(RCE)漏洞。LastPass团队在推文中获悉这个BUG之后,表示非常重视他所报告的内容,然后团队表示在正式发布解决方案之前先提供了临时的解决方案。美国...
-
LastPass中的漏洞允许攻击者窃取密码
GoogleProjectZero的安全专家TavisOrmandy发现了几个漏洞,在Chrome和Firefox扩展中可以利用LastPass密码管理器来窃取密码。专家也为这个缺陷编写了PoC漏洞,并强调似乎只有一个已经被LastPass打补丁了。Ormandy首先在Firefox版本的...