漏洞

NETGEAR R7000经过一天的辛勤研究，放松、放松、轻松地做一些事情，这是一件很有趣的事情。虽然与10-15年前相比，现代软件开发流程极大地提高了商业软件的质量，但消费者网络设备在很大程度上被甩在了后面。因此，当需要一些快速乐趣和良好的信心提升时，我喜欢分析SOHO设备。本博客描述了一个这样的会话，即审核Net......

赫尔南德斯之所以能够逃脱捕获这么长时间，是因为他使用了Tails，这是一种专为处于高监控风险的用户设计的Linux版本，它通过开源的Tor网络路由所有入站和出站连接，以将其匿名化。据“副”杂志报道，联邦调查局曾试图侵入赫尔南德斯的电脑，但失败了，因为他们使用的方法不是为“尾巴”量身定做的。两名Facebook员工告诉......

一位研究人员说，数百万路由器、打印机和其他设备可能会被利用通用即插即用网络协议中的安全漏洞的新攻击远程征用。 此漏洞攻击名为CallStranger，在强制大量设备参与分布式拒绝服务(或DDoS)攻击时最有用，这些攻击会用垃圾通信量使第三方目标不堪重负。CallStranger还可以用来渗透网络内部的数据，即使它们受......

最近，我发现自己希望有一份在线参考，提供近年来每个公开的iOS内核漏洞利用的高级利用流的简要摘要；由于没有这样的文档，我决定在这里创建它。 本文总结了针对IOS 10到IOS 13的本地应用程序上下文中的原始IOS内核攻击，重点介绍了从漏洞授予的初始原语到内核读/写的高级利用漏洞流。在这篇文章的最后，我们将简要介绍I......

Facebook安全人员和工程师帮助FBI追踪到了一个臭名昭著的儿童掠夺者，他们帮助一家第三方公司在专注于安全的Linux操作系统Tails版本中开发了一个漏洞，这是Inno周三的一篇报道。但他们悄悄地这样做，事后没有通知Tails的开发者重大安全漏洞，在将监控后门交给联邦特工的同时，可能违反了安全行业规范。 据副总......

细节仍在公布中，但英特尔-SA-00320，也就是。串扰是最新的英特尔侧通道CPU漏洞。作为英特尔本月第二个星期二报告期的一部分，今天披露了这个最新的旁路漏洞以及其他几个安全问题。英特尔-SA-00320/串扰是一个特殊的寄存器缓冲区数据采样问题。这份白皮书似乎还没有由独立研究人员发布，英特尔-SA-00320深度潜......

思科披露了影响使用其IOS XE和IOS软件的路由器设备的四个重大安全缺陷。 这四个严重缺陷是思科6月3日针对iOS XE和iOS网络软件的半年度咨询捆绑包的一部分，其中包括描述25个漏洞的23份咨询捆绑包。 10分9.8的严重漏洞CVE-2020-3227涉及Cisco IOS XE软件中Cisco IOx应用托管......

超过一半的员工横跨四个亚太市场都在用他们的个人执行工作任务的设备在家办公时，即使他们相信这些设备是..。 网上请愿呼吁公众拒绝使用可穿戴设备的新冠肺炎的联系方式追踪已经获得一万七千五百多个签名，对于关心的新加坡居民来说..。 这些新工具意味着帮助开发商密码管理器和苹果希望这些工具能降低INS

去年年底，互联网基础设施公司Cloudflare的安全工程师大卫·海恩斯(David Haynes)发现自己在凝视一张奇怪的图像。“这纯粹是胡言乱语，”他说。“一整串灰色和黑色的像素，由机器制造。”他拒绝分享这张照片，称这会带来安全风险。 海恩斯的谨慎是可以理解的。这张图片是由卡内基梅隆大学(Carnegie Mel......

4月29日星期三，Thread开始经历我们的主要后端服务的部分中断。我们将问题追溯到存在格式错误的memcached密钥，并在thread.com上更正了该问题。一直以来，我们怀疑这可能会在一些使用memcached的Djangosite上被利用，以导致私人数据泄露-无论是内部服务数据还是关于其他用户的数据。Thre......

Cisco Talos的一名成员发现了此漏洞。作者：Jon Munshaw。Cisco Talos最近在流行的Zoom视频聊天应用程序中发现了两个漏洞，可让恶意用户在受害者的机器上执行任意代码。在COVID-19大流行期间，视频会议软件的受欢迎程度飙升，因为全球各地的个人都被鼓励在家工作，避免与朋友和家人进行密切的面......

当苹果在2019年6月的全球开发者大会上宣布登录苹果时，它称这是一种更私密的方式，可以简单、快速地登录应用程序和网站。这个想法过去是，现在仍然是一个好主意：用一个安全的身份验证系统取代可以用来收集个人数据的社交登录帐户，该系统得到了苹果承诺不会分析用户或他们的应用程序活动的支持。 当时获得大量关注的一个优点是，用户可......

ST工程与国立大学新加坡的所有人都在寻找利用量子密码学构建网络加密的技术工具，所以这些将会是做好降低安全性的准备..。 臭名昭著的信息窃取特洛伊木马是目前最猖獗的恶意软件形式之一，并且再次演变。 起诉该公司的律师现在可以接触到这份报告，为潜在的审判做准备。 直到最近，印第安人才被迫下载的市民恐惧中的Aarogya S......

学者们说，他们在Linux、MacOS、Windows和FreeBSD等操作系统使用的USB驱动程序堆栈中发现了26个新漏洞。 由普渡大学(Purdue University)的惠鹏(音译)和瑞士洛桑联邦理工学院的马蒂亚斯·佩耶(Mathias Payer)组成的研究团队表示，所有的漏洞都是通过他们创建的一种名为US......

研究人员在iOS上发现了两个零日漏洞，影响了iPhone和iPad上的邮件应用程序。苹果公司的一位发言人告诉路透社，即将到来的软件更新中将包括一个修复程序。 ZecOps的研究人员在邮件应用程序中发现了两个零日漏洞，从而危及了iOS的安全。后者并不是微不足道的，因为自2018年以来，它们一直被一家APT运营商利用。此......

挪威一家信息安全公司发现了一个新的Android漏洞，他们将其命名为Strandhogg2.0。安全公司Promon表示，Strandhogg&34；是一种古老的北欧海岸线突袭和绑架战略，今天的漏洞是2019年发现的类似战略的邪恶孪生兄弟。 最初的Strandhogg使用名为taskAffity的Android功能劫......

只要苹果保持对iPhone的“围墙花园”策略，只允许它批准的应用程序和定制，黑客们就一直试图从他们所说的“监狱”中越狱，因此有了“越狱”的名字。黑客通过在iOS中发现一个以前未披露的漏洞来做到这一点，该漏洞突破了苹果为阻止访问底层软件而设置的许多限制中的一些。苹果公司表示，这么做是为了安全。但越狱者表示，突破这些限制......

我们在Check Point Research工作的每个研究项目的目标之一是深入了解软件是如何工作的：它们包含哪些组件？他们脆弱吗？攻击者如何利用这些漏洞？更重要的是，我们如何防范此类攻击？ 在我们最新的研究中，我们创建了一种名为“安全链接”的安全机制，以保护malloc()的单链表不被攻击者篡改。我们成功地向核心开......

哈钦森州长已将扩大阿肯色州的计算机科学教育作为其政府的首要任务。去年12月，他宣布成立一个计算机科学和网络安全特别工作组，以加强该州的网络安全教育。但据专家称，最近几天，州长本人与网络安全最佳实践脱节。 周五，我通知阿肯色州劳动力服务部(Arkansas Department Of Workforce Service......

到3月底，群组视频聊天应用Houseparty的情况看起来很好，因为被隔离的年轻人可能是因为Zoom无情的安全故障而望而却步，他们正在寻找一个看起来不那么企业化的平台，以便与朋友和家人保持联系。随着史诗运动会旗下的这款应用在苹果应用商店的日下载量接近15万次，Vogue滔滔不绝地说这是“你需要立即下载的隔离应用”。 ......

又一天，又发现了漏洞。刚刚发现了一种利用DNS递归解析器操作方式的新恶意攻击。 具体地说，当收到包含名称服务器但没有对应IP地址的NS引用响应时，该攻击会利用解析程序的工作方式。用外行的话说，这种被称为NXNSAttack的新攻击会影响递归DNS服务器和DNS委派过程。 首先，什么是递归DNS服务器？它是将DNS查询......

在怀特岛试行的冠状病毒接触追踪应用程序中已经发现了广泛的安全漏洞。 参与其中的安全研究人员警告说，这些问题会对用户的隐私构成风险，并可能被滥用来防止传染警报的发送。 GCHQ的国家网络安全中心(NCSC)告诉BBC，它已经意识到了大多数提出的问题，并正在解决这些问题。 具体地说，他们呼吁采取新的法律保护措施，以防止官......

基于蓝牙无线协议中的一个新的安全漏洞，最近披露了一种新型的恶意攻击。 该攻击被称为BIAS(偏向模仿攻击)，并被赋予CVE2020-10135标识符，它会影响蓝牙协议的经典版本。这意味着依赖蓝牙Classic的智能手机、平板电脑、笔记本电脑、智能物联网设备等设备都会受到攻击。 是谁发现了这个漏洞？洛桑联邦理工学院(E......

漏洞收购公司Zerodium本周宣布，由于过剩，它不再购买某些类型的iOS漏洞，该公司预计价格在不久的将来会下降。 Zerodium在Twitter上表示，在接下来的2-3个月内，它将不再获得iOS本地权限提升、Safari远程代码执行和沙盒逃逸漏洞，“因为与这些向量相关的提交数量很高”。 该公司表示，预计不提供持久......

J在狭小的宿舍里坐在书桌前，想成为民主眼中的成年人。这位身材苗条的少年留着修剪整齐的棕色头发，戴着厚实的眼镜，最近来到了斯坦福-他离家生活的第一个学期-距离2018年中期选举还有不到两个月的时间。虽然他不是一个用刺耳的贴纸覆盖笔记本电脑或大声站立的人，但他对投票的前景感到真正的兴奋。但在他投缺席票之前，他需要在芝加哥......

Chrome Galvanizer是一款生成Chrome企业策略的工具，可帮助用户加强浏览器安全性。目前，主要支持生成策略，以限制来自明确标记为敏感的站点(例如，您的电子邮件、银行、加密权限和其他站点)的扩展访问。这允许您阻止扩展访问这些特定的站点，即使您在第一次安装它们时已经授予了访问它们的权限。 这可以防止通过反......

Crytic是我们的Github应用程序，用于发现智能合同缺陷，在某种程度上是一件大事：它可以在没有人工干预的情况下检测安全问题，在你工作的同时提供持续的保证，并在部署之前保护你的代码库。 Crytic发现了许多其他工具无法检测到的错误，包括一些不广为人知的错误。目前，Crytic有90多个探测器，我们正在不断增加新......

Adobe发布了安全修补程序来解决DNG、Reader和Acrobat软件中存在的36个漏洞。 周二，这家软件巨头发布了两个安全建议(1，2)，详细说明了这些漏洞，其中最严重的漏洞可被攻击者利用，以触发远程代码执行攻击和信息泄露。 第一套补丁与适用于Windows和MacOS的Adobe Acrobat和Reader......

Zerodium本周宣布，由于提交的数量很多，它在未来两三个月内不会购买任何iOS漏洞。换句话说，该公司拥有如此多的安全漏洞可供其使用，因此它不再需要更多的漏洞。 Zerodium是一个漏洞获取平台，它向研究人员支付零日安全漏洞的费用，然后将其出售给政府组织和执法机构等机构客户。该公司专注于高风险漏洞，通常为每个全功......

今天，Adobe Acrobat Reader DC for MacOS修补了我报告的三个关键漏洞(CVE-2020-9615、CVE-2020-9614和CVE-2020-9613)。触发漏洞的唯一要求是已安装Adobe Acrobat Reader DC。MacOS上的普通用户(启用了SIP)可以在用户不知情的情......