#漏洞

21 NIAILS:EXIM邮件服务器中的多重关键漏洞
21Nails: Multiple Critical Vulnerabilities in Exim Mail Server(www.exim.org)
2021-5-5 20:28
Warning: Can only detect less than 5000 characters
年龄和季节的甲骨文 - 链接电缆漏洞
Oracle of Ages and Seasons – Link Cable Vulnerabilities(drenn1.github.io)
2021-4-28 11:15
我发现了多种漏洞,包括严重的远程CodeExecution(RCE)漏洞,在“塞尔达的”塞尔达:季节的甲骨文“的链接电缆通信模块中为游戏男孩颜色。该漏洞仅通过未能消毒在链路电缆上收到的输入。 年龄的甲骨文,姐妹游戏对季节的甲骨文,也受到了这一恒星的影响,并且据信是可能的远程代码执行。但是,鉴于该软件已经具有未涉及使......
错误允许黑客到Dox John Deere拖拉机所有者
Bugs allowed hackers to dox John Deere tractor owners(www.vice.com)
2021-4-23 13:4
黑客攻击。伪造。监视。网络是主板'播客和在互联网的黑暗底层上报告。 根据发现该漏洞的安全研究员,John Deere' Apps和网站上的一对虫子可以允许黑客查找和下载公司所有业主的个人数据和#39; S的农业车辆和设备的个人数据。 没有证据表明黑客利用这些缺陷。由生病规范进行的研究人员向4月......
研究人员试图将漏洞添加到Linux内核
Researchers Tried to Add Vulnerabilities to Linux Kernel(fosspost.org)
2021-4-22 13:49
Linux内核是现代历史上最大的软件项目之一;带有巨大的28百万线代码。 来自世界各地的贡献者以及来自不同领域的贡献者每天向Linux内核维护者提交大量补丁,以便在正式​​合并到官方Linux内核树之前进行审核。 这些修补程序可以帮助修复内核中的错误或次要问题,或引入新功能。 但是,今天已经捕获了一些贡献者试图......
你自己。 Facebook在手上有一个新的大型漏洞
Brace yourselves. Facebook has a new mega-leak on its hands(arstechnica.com)
2021-4-22 12:27
从上个月仍然聪明,社交媒体巨头仍然从上个月达到了500万的手机号码,社交媒体巨头有一个新的隐私危机来竞争:一个工具,在大规模的规模上,将Facebook帐户与他们的相关电子邮件地址联系起来,即使用户选择设置以防止其公开。 周二的视频播放了一台研究员,演示了一个名为Facebook电子邮件搜索V1.0的工具,他说可以......
在Cellebrite UFED和物理分析仪中利用漏洞
Exploiting vulnerabilities in Cellebrite UFED and Physical Analyzer(signal.org)
2021-4-22 11:48
Warning: Can only detect less than 5000 characters
内部Facebook备忘录揭示了公司计划“正常化”数据泄漏的新闻,经过500万用户漏洞
Internal Facebook memo reveals company plan to ‘normalise’ news of data leaks after 500 million user breach(www.independent.co.uk)
2021-4-21 9:32
泄露的内部Facebook备忘录无意中揭示了社会媒体巨头在最近的数据刮争议之后的策略。 大约5.35亿账户,其中一个属于首席执行官标志扎克伯格,有他们的个人信息。 在线工具允许任何人检查他们的信息,其中包括电话号码。 Facebook表示,它不会通知超过一亿用户关于该事件的用户,声称它有需要通知用户的完全......
Cosori Smart Air Fryer中的远程执行漏洞
Remote code execution vulnerabilities in Cosori smart air fryer(blog.talosintelligence.com)
2021-4-20 10:51
Cosori Smart Air Fryer是一种支持WiFi的厨房器具,可以使用各种方法和设置烹饪食物。用户还可以使用设备的Wi-Fi功能启动和停止烹饪,查找配方指南并监控烹饪状态。 TALOS-2020-1216(CVE-2020-28592)和TALOS-2020-1217(CVE-2020-28593)......
Microsoft从供应商列表中删除了积极技术,它提供了早期访问漏洞信息; IBM还列出了作为安全伙伴的正面
Microsoft removes Positive Technologies from a list of vendors it gives early access to vulnerability info; IBM also lists Positive as a security partner(apnews.com)
2021-4-17 3:6
该财政部在周四举办了六家俄罗斯技术公司,为支持克里姆林宫智力机构的制裁,从事“危险和破坏性网络攻击”。 但其中只有其中一个是它的国际足迹和与Microsoft和IBM这样的重量级的合作伙伴关系。 该公司,积极的技术,30多个国家的索赔,包括欧洲主要银行的欧洲银行,以及英国电信巨头的三星,SK电信,英国电信巨头。 ......
谷歌的项目归零,更新其漏洞泄露策略,包括30天的坐垫,然后在发布错误详细信息之前给用户提供补丁
Google's Project Zero updates its vulnerability disclosure policy to include a 30-day cushion before publishing bug details to give users time to apply patches(therecord.media)
2021-4-16 5:53
Google Project Zero Security Team今天已更新其漏洞披露指南,为每个安全错误披露添加30天的垫子,因此最终用户有足够的时间修补软件并防止攻击者武器化错误。 今天的变化特别重要,因为一大部分网络安全社区已通过项目零的规则作为非官方方法,以披露软件供应商,然后向公众披露安全错误。 在今天......
NSA:俄罗斯黑客利用VPN漏洞 - 立即补丁
NSA: Russian Hackers Exploiting VPN Vulnerabilities – Patch Immediately(www.securityweek.com)
2021-4-16 5:50
周四的美国政府警告说,俄罗斯的APT运营商正在利用五个已知的 - 并已经修补的 - 公司VPN基础设施产品的漏洞,坚持认为它立即减轻这些问题是“批评性”。 国家安全局(NSA)发布了紧急咨询,以称赞对俄罗斯外国情报服务(SVR)附属的威胁演员积极利用的董事会的五餐。 根据NSA的说法,应对本周早些时候的Micro......
政策及披露:2021年版
Policy and Disclosure: 2021 Edition(googleprojectzero.blogspot.com)
2021-4-16 4:19
在项目零时,我们花了很多时间讨论和评估漏洞披露政策以及对更广泛行业的用户,供应商,同胞安全研究人员和软件安全规范的影响。我们的目标是成为一个漏洞的研究团队,使每个人都在整个生态系统上工作,以帮助制定0天。 我们仍然致力于调整我们的政策和实践,以最佳实现我们的使命,在去年年初展示了我们的2020年的政策和披露审......
1 000多百万更多的物联网设备暴露 - 他们不会是最后一个
100 million more IoT devices are exposed—and they won’t be the last(arstechnica.com)
2021-4-15 23:20
在过去几年中,研究人员在看似基本的代码中发现了一个令人震惊的漏洞,这些代码是设备如何与互联网通信的基本代码。现在,一套新的九种这种漏洞正在暴露全球估计的1亿设备,包括一系列内容的东西产品和IT管理服务器。然而,较大的问题研究人员正在争夺回答,是如何刺激实质性变化 - 并实施有效的防御 - 随着越来越多的这些类型的漏洞......
YouTube暂停帐户以链接到WPA2漏洞的博士研究
YouTube suspends account for linking to a PhD research on WPA2 vulnerability(www.reddit.com)
2021-4-14 18:55
您可能在隐私工具'Peertube频道上看到了一些内容(这似乎今天早上下降)。 上次我伸出了一下,我已经收到了YouTube的第一次罢工,以包括参考材料教学人员如何使用Gnupg加密电子邮件(换句话说私下沟通)。 嗨Sun Knudsen,我们的团队审查了您的内容,不幸的是,我们认为它违反了我们有害和危险的政策。......
在4月份的补丁中,Microsoft修复了108个缺陷,其中包括19个“关键”缺陷,五个0日,4个NSA发现的关键交换缺陷
In its April batch of patches, Microsoft fixes 108 flaws, including 19 “critical” flaws, five 0-days, and four NSA-discovered critical Exchange flaws(www.bleepingcomputer.com)
2021-4-14 3:25
今天是Microsoft' S 4月2021年4月的修补程序周二,它有五个零天漏洞和更为严重的Microsoft Exchange漏洞。对于Windows和Microsoft Exchange管理员来说,这是一个艰难的几个月,看起来像4月份' t都更容易,所以今天对你的IT人员来说,请好。 随着今天......
研究人员发现名为名称的新漏洞:在TCP / IP堆栈中遇到数百万台服务器,智能设备和工业设备
Researchers find new vulnerabilities called NAME:WRECK in the TCP/IP stack that impact hundreds of millions of servers, smart devices, and industrial equipment(therecord.media)
2021-4-13 20:8
安全研究人员已经发现了一套新的漏洞,这些漏洞影响了数亿台服务器,智能设备和工业设备。 被称为名称:企业IOT安全公司ForeScout发现了遗失性,作为其内部研究计划的一部分,作为项目Memoria的一部分 - 该公司描述为“旨在为网络安全社区提供最大的安全性的倡议” TCP / IP堆栈。“ 虽然最终用户从未可......
关键缩放漏洞触发远程代码执行而无需用户输入
Critical Zoom Vulnerability Triggers Remote Code Execution Without User Input(www.zdnet.com)
2021-4-10 5:32
研究人员已经披露了Zoom中的零天漏洞,该Zoom可以用于启动远程执行(RCE)攻击。 由零日倡议组织的PWN2OWN是White-Hat Cyber​​security专业人士和团队的比赛,在发现流行软件和服务中发现错误。 最新竞争包括23个条目,竞争不同类别,包括Web浏览器,虚拟化软件,服务器,企业通......
Linux BPF VM中的漏洞允许任何本地用户运行内核级代码
Vulnerabilities in the Linux BPF VM Lets Any Local User Run Kernel-Level Code(linuxreviews.org)
2021-4-10 4:38
跳转到导航跳转以搜索识别为CVE-2021-29154的新Linux内核漏洞,允许任何现代GNU / Linux用户在内核模式下运行代码的常规未经特权的系统用户。概念漏洞验证的验证存在。该漏洞最多可包含Linux 5.11.12,Linux内核开发人员尚未发布安全版本。确实存在补丁和解决方法。 Linux内核具......
缩放零天发现使得呼叫更安全,黑客$ 200k富裕
Zoom zero-day discovery makes calls safer, hackers $200k richer(blog.malwarebytes.com)
2021-4-9 20:36
两位荷兰白帽安全专家进入年度计算机黑客竞赛PWN2OWN,设法找到一个远程执行(RCE)缺陷在缩放中,比以前更好的USD。 PWN2OWN是由零日计划组织的高调活动,这些活动挑战黑客在常用软件和移动设备中找到严重的新漏洞。该活动被认为是为了证明流行的软件和设备具有缺陷和漏洞,并为漏洞的地下交易提供了对抗。 “目......
拜登提出枪支控制改革以“幽灵枪”和关闭漏洞
Biden proposes gun control reforms to go after ‘ghost guns’ and close loopholes (techcrunch.com)
2021-4-9 3:27
在白宫玫瑰园周四下午讲话,拜登将最近的大众枪击事件叙述了恐怖的悲剧,但指出,在这个国家每天都在射门。 “这是一个流行病,因为上帝的缘故,”他重复,“它必须停止。” 在概述解决问题的计划之前,他肯定会解决那些认为这是一个人为任何人拥有像突击步枪这样的宪法权利的人的不可避免的第二次修正案。 “我必须以任何方式推荐推荐......
VPN漏洞如何允许勒索软件扰乱两种制造工厂
How a VPN vulnerability allowed ransomware to disrupt two manufacturing plants(arstechnica.com)
2021-4-8 6:42
在部署一个相对较新的压力之后,赎金软件运算符关闭了一个属于欧洲制造商的生产设施,即在Kaspersky Lab的一名研究员,加密的加密服务器的加密服务器和第39位工业流程的加密服务器。 被称为ring的赎金瓶在1月博客帖子中发出公众关注。它通过利用Fortinet销售的VPN中的长期修补漏洞来掌握网络。追踪为CVE......
Facebook的迟到漏洞时间披露提出了GDPR合规性问题
Facebook’s tardy disclosure of breach timing raises GDPR compliance questions (techcrunch.com)
2021-4-8 1:33
虽然它最初试图在周末发表的数据漏洞启示,但通过暗示人们的出生日期和电话号码是“老”的信息,昨天在昨天晚期的博客帖子中终于透露了有问题的数据事实上,由于2019年“和”2019年9月“之前的”2019年“和”在2019年9月“之前已经从其平台上刮了。 关于这一事件的时间的新细节提出了遵守欧洲一般数据保护条例(GDPR......
美联储表示,黑客可能会利用关键堡垒VPN漏洞
Feds say hackers are likely exploiting critical Fortinet VPN vulnerabilities(arstechnica.com)
2021-4-3 5:44
联邦调查局和网络安全和基础设施安全局表示,先进的黑客可能会在Fortinet Fortios VPN中利用关键漏洞,试图在以后的攻击中施加野蛮和大型企业。 “APT演员可以使用这些漏洞或其他常见的开发技术来获得对多个政府,商业和技术服务的初步访问,”各机构周五在联合咨询中表示。 “获得初始访问预先定位APT演员以进......
零单击Apple麦克斯邮件中的漏洞
Zero click vulnerability in Apple’s macOS Mail(mikko-kenttala.medium.com)
2021-4-2 4:40
我发现Apple Mail中的零单击漏洞,允许我在邮件的沙箱环境中添加或修改任意文件。这可能导致许多坏事,包括对第三方的敏感信息的未经授权披露。攻击者可以修改受害者的邮件配置,包括邮件重定向,可通过密码重置接管受害者的其他帐户。此漏洞可用于更改受害者的配置,使受害者将以蠕虫的方式将攻击传播到他们的信函。苹果在2020......
在一个地址期间,拜登总统表示,亚马逊使用“各种漏洞”来避免支付任何联邦所得税,但表示他不想“惩罚”他们
During an address, President Biden said Amazon uses “various loopholes” to avoid paying any federal income taxes, but says he doesn't want to “punish” them(www.reuters.com)
2021-4-1 20:16
华盛顿州(路透社) - 乔·彼登总统在周三拜登·曼西亚·宾夕法尼亚州匹兹堡·宾夕法尼亚州匹兹堡的地址,挑选了亚马逊,因为他谈到了提高跨国公司的税收负担并徒步公司税率。 拜登当天早些时候推出的基础设施计划将公司税率从21%提高到28%,并根据白宫发布的25页发布的25页发布纸张,将税务守则改为允许公司在海外移动利润的......
美国大学的安全漏洞
Security Breach at US Universities(dorper.me)
2021-4-1 20:4
大规模的数据泄露已经打击美国大学,包括斯坦福大学,加州大学迈阿密大学,科罗拉多大学博尔德大学,耶稣会大学,锡拉丘兹大学和马里兰大学。黑客已经偷了Terrabytes的学生,潜在学生和员工个人信息,包括成绩单,财务信息,邮寄地址,电话号码,用户名,密码和社会安全号码。这些违规是影响〜50组织的较大的Acculion F......
新的5G协议漏洞允许位置跟踪
New 5G protocol vulnerabilities allow location tracking(therecord.media)
2021-3-29 1:1
安全研究人员在5G协议中发现了新的漏洞,该协议可以被滥用到崩溃网络段并提取诸如位置信息的用户数据。 新的漏洞已在去年结束时由AdaptiveMobile在专门从事移动网络安全性的网络安全公司。 在本周发布的36页报告中,该漏洞影响了5G的网络切片机制,允许网络运营商将5G基础设施分成专用于特定用例的较小部分的功能......
OAuth 2.0身份验证漏洞
OAuth 2.0 Authentication Vulnerabilities(portswigger.net)
2021-3-29 0:6
在浏览网络时,您'几乎肯定会遇到遍布您使用社交媒体帐户登录的网站。此功能是使用流行的OAuth 2.0框架构建此功能。 OAuth 2.0对攻击者来说非常有趣,因为它既非常常见,并且本质上容易实现错误。这可能导致许多漏洞,允许攻击者获得敏感的用户数据并完全逐步绕过身份验证。 在本节中,我们' ll......
OpenSSL修复了高度严重性漏洞,允许黑客崩溃服务器
OpenSSL fixes high-severity flaw that allows hackers to crash servers(arstechnica.com)
2021-3-26 20:58
OpenSSL是用于实现网站和电子邮件加密的最广泛使用的软件库,已修补高度严重性的漏洞,使黑客可以容易地完全关闭大量服务器。 OpenSSL提供了实现传输层安全协议的时间测试的加密功能,将继承人固定加密套接字层,该层加密在Internet服务器和最终用户客户端之间流动的数据。人们开发使用TLS依赖OpenSSL以节......
资料来源:Biden EO草案需要许多软件供应商通知其联邦政府。 网络安全的客户漏洞和保存伴随数据日志
Source: Biden EO draft would require many software vendors to notify their federal govt. clients of cybersecurity breaches and preserve accompanying data logs(www.reuters.com)
2021-3-26 20:23
根据路透社的草案,旧金山/华盛顿州(路透社) - 计划拜登行政司令部将要求许多软件供应商在公司拥有网络安全漏洞时向其联邦政府客户通知他们的联邦政府客户。 国家安全委员会发言人表示,在执行命令的最终内容上没有决定。订单可以早在下周释放。 在12月来光明的Solarwinds Corp Hack表明“联邦政府需要能......