-
全军覆没:亚马逊11款智能门铃全都存在安全漏洞
通过对在线电商平台(如亚马逊和eBay)出售的近十种廉价视频门铃的安全审查发现,每台设备都存在多个安全漏洞。其中最严重的是某些设备的做法,没有明显的理由将Wi-Fi名称、密码、位置信息、照片、视频、电子邮件和其他数据发送回制造商。近日,NCC集团安全咨询公司与英国消费者组织Which合作进行了一...
-
以太坊2.0版本发布前漏洞赏金翻了五倍
近日,以太坊2.0版本漏洞赏金计划将最高奖金提高到了5万美元(是之前的五倍),以激励黑客在以太坊2.0版本重大升级(转向权益证明模型)前,挖掘尽可能多的高价值漏洞。据悉,以太坊基金会的漏洞赏金小组将依据OWASP风险模型对漏洞进行评分。漏洞被粗略地分为低、中、高三个严重等级,最危险的漏洞可为研究...
-
iPhone修复了一个“灭霸级”漏洞
近日,著名的GoogleProjectZero研究人员IanBeer披露了一个令人震惊的iPhone漏洞的详细信息。苹果今年5月份“悄悄”修补了这个漏洞,但是直到现在,该漏洞的细节鲜为人知。该漏洞的恐怖程度堪称“灭霸级”,攻击者可以完全控制附近的所有iPhone。只要受害者的iPhon...
-
Kubernetes曝出“先天性漏洞”,所有版本都中招
Kubernetes(又名K8s)是Google开源的容器集群管理系统(谷歌内部:Borg),现在由CloudNativeComputingFoundation维护,旨在帮助提升Docker容器化工作负载、服务、应用程序的部署、扩展和管理的自动化程度和便捷性。Kubernetes通过将应用程...
-
2020漏洞数量再创新高
根据US-CERT的最新报告,2020年NVD漏洞数据库记录了17447个漏洞,这也是安全漏洞数量连续第四年创下新高。在US-CERT2020年报告的漏洞中,包括4168个高严重性漏洞、10710个中等严重性漏洞和2569个低严重性漏洞。在2019年的报告中,总共记录了17306个漏洞,其中包括...
-
华为、LG、小米手机无线文件传输曝出严重漏洞
在一项对华为、LG和小米制造的安卓手机的点对点(P2P)文件共享功能的研究中,Doyensec应用程序安全工程师洛伦佐·斯特拉发现,这些手机厂商的文件共享设计程序存在严重的安全漏洞,恶意应用程序可以轻易劫持传输会话。文件共享服务被滥用安全业界先前对WiFiDirect协议的研究侧重于网络架构...
-
Malvuln:业界首个恶意软件漏洞库
漏洞利用似乎是恶意软件的专利,但是安全专家们开发了一个“以毒攻毒”的漏洞库项目——Malvuln,分类收集恶意软件的漏洞利用信息。Malvuln(https://www.malvuln.com/)的开发者,安全研究员JohnPage(又名hyp3rlinx)透露,当他在新冠疫情封锁期间感到无聊...
-
一条命令搞坏硬盘,Windows10这个零日漏洞年久失修
MicrosoftWindows10中一个未修补的零日漏洞允许攻击者使用单行命令破坏NTFS格式的硬盘。攻击者可以将这条命令可以隐藏在Windows快捷方式文件、ZIP存档、批处理文件或其他各种矢量中,以触发硬盘驱动器错误,瞬间破坏文件系统索引。被严重低估的NTFS漏洞2020年8月和10...
-
Sudo漏洞影响全球Unix/Linux系统
近日,Qualys研究小组发现了sudo中一个隐藏了十年的堆溢出漏洞(CVE-2021-3156,命名:BaronSamedit),包括Linux在内的几乎所有Unix主流操作系统都存在该漏洞。通过利用此漏洞,任何没有特权的用户都可以使用默认的sudo配置在易受攻击的主机上获得root特权(无需...
-
2019年披露1.8万个漏洞,仅2.6%遭恶意利用
KennaSecurity更新反FUD分析报告,缓解安全漏洞焦虑情绪。信息安全行业盛产关于软件漏洞的FUD(惧、惑、疑),也很是适应软件漏洞FUD满天飞的状态,但近期一份调查研究报告当众打脸FUD,揭示2019年披露的1.8万个CVE中仅不到500个遭到利用。美国信息安全公司KennaSec...
-
黑客利用网络安全公司设备漏洞入侵上百家企业
近日,FireEye旗下网络安全公司Mandiant发现网络安全公司Accellion遭到黑客攻击,实施攻击的黑客组织还利用多个零日漏洞和WebShell结合,通过Accellion的文件传输设备(FTA)入侵了上百个Accellion的企业客户,并窃取了敏感文件。报道称,该攻击发生在2020...
-
GitHub删除概念验证漏洞利用代码引发争议
近日,GitHub删除了安全研究人员NguyenJang发布的概念验证(PoC)漏洞利用代码,该漏洞利用了最近成为业界焦点的微软Exchange软件漏洞。GitHub的决定立即引发了网络安全行业的争论,即安全研究人员何时应避免发布软件漏洞,以及GitHub之类的软件代码平台应如何管理其用户。...
-
漏洞也是艺术品?NFT面临安全危机
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(MikeWinkelmann)以6930万美元的价格在佳士得网上出售了一张数字图像,成交价格甚至远远超过了萨尔瓦多·达利或保罗·高更的艺术品,也是有史以来出售的最昂...
-
VPN漏洞导致两家工厂遭遇勒索软件攻击
本周三,卡巴斯基实验室的一名研究人员透露,一种相对较新的勒索软件变体,攻击了一家欧洲制造商,导致其两个工厂停工,该勒索软件变体对服务器进行加密以控制该制造商的工业流程。攻击者利用了一个披露已久的VPN漏洞。勒索软件Cring在1月份的博客文章中引起了公众的关注。它通过利用Fortinet出售的V...
-
DNS高危漏洞威胁全球数百万物联网设备
近日,Forescout研究实验室与JSOF合作,披露了一组新的DNS漏洞,称为NAME:WRECK。这些漏洞存在于四个流行的TCP/IP堆栈中,即FreeBSD、IPnet、NucleusNET和NetX,这些堆栈通常存在于流行的IT软件和IoT/OT固件中,影响全球数以百万计的IoT物联网...
-
IoT和OT设备中曝25个RCE漏洞
这25个安全漏洞被统称为BadAlloc,是由内存分配整数溢出(IntegerOverflow)或环绕错误(Wraparound)引起的。攻击者可以利用这些漏洞导致系统奔溃,并在受感染的IoT和OT系统上远程执行恶意代码。Microsoft的研究人员在多个实时操作系统(RTOS)、C标准库(...
-
一个驱动程序漏洞在戴尔设备中潜伏12年之久,最近终于被修复
在过去的12年中,戴尔的台式机、笔记本、平板电脑等设备的驱动程序中一直存在严重漏洞,会导致系统权限增加。5月4日,戴尔发布安全公告,称修补了一个存在长达12年的驱动程序漏洞。该漏洞预估影响上亿台戴尔设备。从台式机到最新的Alienware和笔记本电脑,大约380种型号的设备受到了影响。该漏洞由安...
-
高通芯片漏洞正在影响全球约30%移动手机
一个高危漏洞正在影响全球约30%使用QualcommMobileStationModem(移动站调制解调器(MSM))芯片的移动手机。移动站调制解调器是高通公司于1990年初设计的片上系统(SoC),多年来,安全研究人员经常将这一组件作为研究目标,例如通过发送SMS或精心制作的无线电...
-
幽灵漏洞新变种,威胁英特尔和AMD处理器预计影响数十亿电脑
3年前困扰英特尔和AMD处理器的幽灵漏洞又回来了。5月6日消息,一组弗吉尼亚大学和加州大学圣地亚哥分校的学者发现了幽灵漏洞新变种,它可以绕过当前处理器上所有针对幽灵漏洞的防护措施,几乎可以将所有设备一网打尽,包括台式机、笔记本电脑、云服务器和智能手机。Spectre和Meltdown的披露...
-
蓝牙爆出七个严重漏洞,攻击者可假冒合法设备
近日,美国国家情报系统研究人员(ANSSI)在蓝牙BluetoothCore和MeshProfile规范中发现多个安全漏洞,攻击者可利用这些漏洞在配对过程中冒充合法设备,并发起中间人(MitM)攻击。蓝牙核心和网格配置文件规范定义了蓝牙设备相互通信以及使用低能耗无线蓝牙设备所需的要求,以实...
搜索 "漏洞"
滇ICP备19002590号-1