-
无法修复,雷电接口漏洞威胁数百万台电脑
最新研究表明,除了少数最新型号的电脑外,几乎所有配备了英特尔雷电接口的设备都容易受到“邪恶女仆”攻击,而且无法软件修复。euong只要是2019年之前生产的配备雷电接口的Windows或Linux电脑,可以用Thunderspy技术绕过休眠或锁定的电脑登录屏幕(甚至包括硬盘加密),以获得对计算机...
-
CVSS是靠谱的漏洞优先级标准吗?
2019年超过55%的开源漏洞被评为高或严重,但不要被这个数字吓到,要真正了解漏洞及其对企业或产品的威胁等级,我们需要信息的绝不只是一个冷冰冰的CVSS评分。根据WhiteSource的《开源安全漏洞现状报告》,软件开发行业对开源组件越来越依赖,对开放源代码安全漏洞的关注度也不断提升,导致发现的...
-
漏洞管理的漏洞:“端点麻木”
新冠疫情给企业漏洞管理带来哪些挑战和压力?近日,PonemonInstitute和Automox发布的两个漏洞报告给出了令人不安的数据。根据Ponemon针对全球3000家企业的调查,60%的数据泄露与尚未修复的安全漏洞有关,与2018年相比,今年企业修补漏洞的延迟导致企业在停机时间上的损失增加...
-
微软本周二修复了一个“震网”级别的资深漏洞
每月的“补丁星期二”,微软都会例行发布针对各种漏洞的补丁程序,但是本周二微软发布的一大堆补丁中,其中一些修复了一个“震网”级别的资深漏洞——一个易于利用的Windows打印机后台程序——WindowsPrintSpooler的漏洞(CVE-2020-1048),安全公司SafeBreach的研究...
-
FIRST更新多方漏洞披露指南
事件响应和安全团队论坛(FIRST)近日发布了更新的多方漏洞披露指南,在最佳实践手册中增加了明确的沟通、安全港条款和披露静默期等内容,以帮助简化多方协调漏洞披露流程。FIRST是事件响应团队的国际联盟,其任务是促进安全最佳实践并维护广泛使用的CVSS评分系统。FIRST先前发布的漏洞披露指南主...
-
过去五年“利用率”最高漏洞TOP10
美国网络安全和基础设施安全局(CISA)近日发布2016年至2019年之间十个最常被利用的漏洞列表中,其中七个Microsoft产品漏洞(Office、Windows、SharePoint、.NETFramework)、一个ApacheStruts漏洞、一个AdobeFlashPlayer漏...
-
可以劫持九成Android设备的漏洞:StrandHogg
挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞,恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。在2019年12月,Promon曾警告说,一个被称为StrandHogg的Android漏洞正被数十个恶意Android应用程序利用以提升特权。StrandHo...
-
远程命令执行漏洞!用友 NC 全版本受影响
用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。受影响的版本用友NC全版本解决方案官方暂时还未发布安全补丁,请用户保持关注。目前建议受影响企业加强用友NC访问权限的控制,严禁外部IP对于用友NC的访问请求。参考链接...
-
《2020高效漏洞管理现状与趋势报告》发布
导语:在“以人为本”的2020年RSAC安全大会上,漏洞管理依然是关注焦点。对于整个网络安全行业来说,未来几年面临的重大趋势和机遇如下:新冠疫情后的远程办公成为新常态;去中心化组织和新的劳动力分配方式兴起;数字化转型放大安全威胁;新基建的“安全设计”;威胁情报、SOAR、零信任架构与漏洞管理的融合发...
-
五角大楼的漏洞神器:Mayhem
在今年的RSAC2020创新沙盒大赛上,有一家公司虽然没有染指冠军,但是获得了到场的周鸿祎、赵粮等中国网络安全大佬的一致点赞。这家公司就是ForALLSecure。ForAllSecure是由来自卡耐基梅隆大学的ForAllSecure安全研究团队于2012年创立的公司,创始人DavidBru...
-
欧洲交通灯曝出严重安全漏洞,可导致道路混乱
近日,德国工业网络安全咨询公司ProtectEM在对德国某城市进行安全审核时发现:部署在欧洲道路上的交通信号灯控制器存在一个严重漏洞,可能导致“持续的交通混乱”。默认情况下,控制交叉路口交通信号灯的硬件(SwarcoCPULS4000)的调试端口为打开状态,从而使攻击者无需旁路访问控制即可获...
-
勒索软件通过VPN漏洞攻击用户
VPN是提高远程办公或远程访问安全性的重要技术,但是如果VPN成为勒索软件的“投放渠道”,其杀伤力也是巨大的。近日,波兰网络安全公司REDTEAM.PL的研究人员观察到“黑暗王国”(BlackKingdom)勒索软件利用去年修补的PulseSecureVPN漏洞发起攻击。该漏洞编号为CV...
-
物联网安全风暴:“ Ripple20”漏洞波及数亿联网设备
日前,以色列安全公司JSOF曝出的一“波”19个物联网软件漏洞(统称Ripple20,其中四个很严重)波及全球数亿个物联网(IoT)和工业控制设备。研究人员表示,他们将这19个漏洞命名为“Ripple20”并不是说发现了20个漏洞,而是因为这些漏洞将在2020年及以后的IoT市场中连锁引发安全风...
-
Netgear数十款路由器产品曝出高危零日漏洞
近日,安全研究人员发现了大量Netgear路由器固件中未修补的高危零日漏洞,该漏洞使79种Netgear设备型号有被完全接管root权限的风险,更糟糕的是该漏洞至今尚无补丁程序。根据两份单独的安全报告,该漏洞是路由器固件中httpdWeb服务器存在的内存安全问题,它使攻击者可以绕过Netgea...
-
腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本
6月23号,开源框架ApacheDubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相应的修复方案。该漏洞由腾讯安全玄武实验室研究员于去年11月首次提交。ApacheDubbo擅长处理分布式和微服务系统远程调用。据Apache官方信息显示,包括阿里巴巴、网易云音...
-
主流ATM和POS机驱动程序曝出大量严重漏洞
在过去的几年中,ATM和销售点(POS)系统已成为许多网络犯罪分子的目标,这导致了一些历史上规模最大的信用卡盗用和盗窃案。尽管攻击者可以通过多种方式侵入这些计算机,但研究人员现在警告说,这些设备的驱动程序中的漏洞可能导致更持久的破坏性攻击。设备安全公司Eclypsium的研究人员近日评估了主流A...
-
-
2020年十大漏洞赏金项目
近日,Hackone公布了2020年十大漏洞赏金项目TOP10榜单,该列表基于HackerOne项目目录中的公共信息,排名依据每家企业在2020年4月(包括之前)向黑客支付的累计赏金总额。榜单排名具体如下(红色字体为单项最高或最低数值):第一名:VerizonMedia行业:数字媒体总...
-
2020漏洞报告:CVE数量将创新高
根据SkyboxSecurity最新发布的2020年漏洞和威胁趋势报告,2020年漏洞数量有可能突破新的记录——超过20,000个,其中移动漏洞数量在2020年大幅增加。报告指出,漏洞的激增表明企业在大规模远程工作时难以管理网络风险。2020年上半年业界共提交了9000个漏洞,报告预测202...
-
网络安全最大盲区:“人的漏洞”
在现代企业的网络安全防御体系中,人员是最薄弱的环节,同时也是最不受重视的环节。换而言之,人员是黑客最容易突破和利用的“漏洞”,同时也是企业安全投入最少,提升最慢的短板。GoSecurity公司2020年全球企业安全调查结果直观地反映了这个问题:长期以来,那些手套上镶着半打零日漏洞宝石,头上顶...
搜索 "漏洞"
滇ICP备19002590号-1