-
零日漏洞:强大又脆弱的武器
所有软件都存在漏洞,其中一些漏洞是能被武器化的安全漏洞。零日漏洞定义零日漏洞就是供应商尚未修复的安全漏洞,可被攻击者转化为强力武器加以利用。出于军事、情报和司法目的,某些政府会找寻、购买和使用零日漏洞。但这种操作颇引争议,因为其他攻击者若发现相同漏洞,整个社会都会因政府的隐瞒不报而面临风险。...
-
微软警告黑客组织Fancy Bear正试图利用物联网设备漏洞
微软威胁情报中心报道称,俄罗斯黑客组织FancyBear一直试图利用VoIP电话和打印机等物联网设备,对企业网络展开渗透。外界普遍猜测,该组织拥有俄罗斯官方背景,又名StrontiumGroup或APT28。该组织已成功地在50多个不同的国家/地区,感染了超过50...
-
Whatsapp现重大安全漏洞:允许修改聊天信息
8月9日消息,近日以色列网络安全公司CheckPoint在接受采访时表示,Facebook旗下的聊天应用Whatsapp出现了严重的安全漏洞,黑客在入侵之后可以随意的修改用户的聊天信息。CheckPoint的安全人员表示,他们已经发现了三种可以改变用户对话的方式,包括了使用群组对话中的“引用”(q...
-
谷歌 Project Zero 90 天截止期限:97.5% 的漏洞在披露前修复
因到期披露未修复软件漏洞,谷歌ProjectZero安全分析师与微软及苹果起争执。谷歌ProjectZero团队最新发布的数据显示,即便给安全补丁分发工作造成了压力,谷歌的漏洞披露策略对终端用户的总体影响是积极正面的。谷歌表示,自2014年创立以来,其漏洞跟踪管理平台上报告并披...
-
中国勒索软件感染量跃居首位 挖矿、高危漏洞风险依然严峻
在近日上映的《使徒行者2》中,推动剧情的一个关键便是锁死了反派重要文件的病毒,而这个据称只能用制作者“虹膜”才能解锁的病毒,很大概率便是勒索软件。在现实世界中,勒索软件所扮演的更多是“破坏者”角色。在近日亚信安全发布的2019年第二季度安全威胁报告中明确显示,勒索软件的新变种依然源源不断的涌现,其中...
-
曝蓝牙漏洞可使数百万设备遭窃听攻击
摘要:研究人员发现攻击者可利用蓝牙核心规范中新披露的漏洞(CVE-2019-9506)拦截和操控两个易受攻击设备之间的蓝牙通信/流量。可利用此漏洞进行KNOB攻击,他们已与国家组织及其成员分享了此发现。攻击者可利用蓝牙核心规范中新披露的漏洞(CVE-2019-9506)拦截和操控两个易受攻击设备...
-
Apple越狱ios12.4 发布后“意外解开”旧的漏洞
越狱后的iPhone允许您安装通常不被Apple批准的应用程序和其他功能,但它也会禁用Apple为保护其用户而实施的一些系统保护,从而使您可以进行潜在的攻击。通常情况下,iPhoneJailbreaks被发现漏洞的人以数百万美元的价格出售,但如果你想要越狱你的Apple设备,你可以免费使用它。...
-
更新 Windows 10:8 亿设备面临关键漏洞风险
微软称,未受保护的服务器无需用户互动即可在网络上传播病毒与恶意软件。微软警告用户,应立即更新Windows10操作系统,以免受关键漏洞危害。该公司表示,未受保护的服务器可在网络上自发传播病毒和恶意软件,无需用户授意。开启自动更新功能的Windows10设备已受到保护。受影响Wi...
-
Zoncolan:Facebook如何从1亿行代码中捕捉漏洞
Facebook的隐私和安全跟踪记录算不上好,尤其是考虑到其很多重大过失都是本可避免的情况下。但要守护数亿用户和巨大的平台,要从该公司上亿行代码中找出每个漏洞真不是件容易的事。因此,Facebook的工程师从四年前就开始构建定制评估工具,不仅检查已知漏洞类型,还可在30分钟内完全扫描整个代码...
-
漏洞市场赏金持续飙升 但只属于 1% 的挖漏洞精英
如今,一个关键漏洞的平均支出几乎已经达到了3400美元,但在这个50万人参与的漏洞市场中,通常只有极少数顶尖级的漏洞猎手能够真正获利。根据安全项目管理公司HackerOne的说法,随着越来越多的公司参与众包挑战,以吸引具有安全意识的自由职业者和道德黑客分析他们的代码,漏洞赏金也随之不...
-
美国某电力系统因防火墙漏洞被攻击致运行中断
今年早些时候,黑客利用受害者组织所使用的防火墙中的已知漏洞针对美国电力公用事业发起了拒绝服务(DoS攻击。国家能源技术实验室去年春天发布的一份季度报告显示,一起网络事件导致美国西部一家未具名的公用事业公司“电力系统运行中断”。据悉,这起事件发生在今年3月5日,对加利福尼亚州、犹他...
-
google chrome浏览器更新,以修补新的严重安全漏洞
谷歌发布了Chrome浏览器的紧急软件更新,并敦促Windows、Mac和Linux用户立即将应用程序升级到最新版本。Chrome77.0.3865.90版本于本周三开始向全球用户推出,其中包含1个关键安全漏洞和3个高风险安全漏洞的安全修补程序,其中最严重的漏洞可能允许远程黑客控制受影响的系统。...
-
SIM卡又出现新漏洞 威胁用户信息安全
此前,SIM卡被曝出存在一个严重的漏洞,攻击者可以在用户不知情的情况下发送短信攻击目标手机。现在安全研究人员又公布了一个新漏洞,威胁到用户的个人信息安全。新漏洞危及到一些SIM卡上的WIB(无线互联网浏览器)应用程序据介绍,新漏洞名为WIBattack,该漏洞危及到一些SIM卡上的WIB(无线...
-
vBulletin 软件漏洞发布,恐已被攻击者利用
匿名漏洞猎手发布了一种有效且简便的漏洞利用程序,用于验证vBulletin的预认证远程代码执行漏洞(CVE-2019-16759),并且攻击者不久后就已开始使用它。关于vBulletinvBulletin是当今最流行的互联网论坛软件。W3Techs表示,在所有互联网站点中大概有0.1%的...
-
俄安全研究员发现小米漏洞,可以访问全球所有的小米宠物喂食器
一位俄罗斯安全研究人员说,她意外地找到了一种方法,可以入侵并接管世界各地的所有小米宠物喂食器。来自俄罗斯圣彼得堡的安全研究员安娜·普罗维茨托娃(AnnaProsvetova)上周在其私人Telegram上发布的一系列消息中说,她发现了小米FurryTail智能宠物喂食器的后端...
-
漏洞与补丁管理的八个趋势
未修复漏洞依然是很多公司的主要安全问题。公司企业承受着不断增长的有效漏洞与补丁管理实现压力:近期多起数据泄露事件中,攻击者展现出利用未修复软件缺陷获取关键企业应用及系统访问权的趋势。甚至相对较老和很久以前修复的漏洞都还在被利用。永恒之蓝(EternalBlue就是其中一个例子。这是针对微软...
-
5G 安全漏洞及安全指南
研究人员已在5G中发现11个新漏洞,修复时钟滴答作响。因仍面临保障和技术阻碍,5G目前还未至鼎盛时期,但在全球各大城市已陆续上线。所以,几乎十几个新5G漏洞曝出就尤其令人担忧了。11月12日,美国计算机学会(ACM在伦敦举行的计算机与通信安全大会上,研究人员演示了表明...
-
漏洞管理项目最佳实践
若建立在可满足所有利益相关者信息需求的成熟基本目标之上,若其输出能够绑定企业目标,若能够减少企业的总体风险,那么企业的漏洞管理项目就能发挥出其全部潜力。此类漏洞管理技术能够检测风险,但需要人与过程的基础以确保项目成功。漏洞管理项目有四个阶段:1.确定资产关键性、资产拥有者、扫描频率,以及确立...
-
甲骨文 EBS 漏洞可让黑客随便“印钞”
50%的客户未打补丁……安全公司Onapsis称,在甲骨文公司电子商务套件(EBS:E-BusinessSuite中发现一系列关键漏洞,可致攻击者获得电子转账和打印银行支票的控制权,且其行为无法检测与追踪。该攻击链利用了两个主要漏洞,位于波士顿的网络安全公司Onapsis将其...
-
从研究者视角看漏洞研究之2010年代
作者:王铁磊@盘古团队随着2019年进入最后一个月,整个2010年代即将成为过往。过去十年漏洞领域的研究发展,可谓波澜壮阔、精彩纷呈。我屡次提笔试图记录这十年的技术发展,最终都因为这个事情的难度远远超出自己的预想而弃笔。不过有些想法不吐不快,索性简单总结些个人观点,抛砖引玉供人讨论、补充和参考。...
搜索 "漏洞"
滇ICP备19002590号-1