#漏洞
Gödel's Loophole(en.wikipedia.org)
2021-3-26 19:48
Warning: Can only detect less than 5000 characters
^ a b guerra-pujol,f. E.(2012年2月23日)""哥德尔的漏洞" 首都大学法律评论V.41 PP.637-673 ^ a b c morgenstern,奥斯卡(1......
Microsoft Defender Antivirus Now Automatically Mitigates Exchange Server Vulnerabilities(www.zdnet.com)
2021-3-21 7:2
Warning: Can only detect less than 5000 characters
2021-3-20 8:35
在发展安全优势担心,攻击者正在积极定位另一组关键服务器漏洞,使公司和政府开放到严重的网络侵入。
此时间的漏洞是在Big-IP中,由西雅图的F5网络销售的一系列服务器设备。客户使用Big-IP服务器来管理进出大型网络的流量。任务包括负载平衡,DDO缓解和Web应用程序安全性。
上周,F5披露和修补的临界大型漏洞,......
2021-3-17 20:10
通过这一新的回合,沃思网络的迄今为止的总资金现在是3500万美元。该公司表示,它在2020年的年度经常性收入和新的客户帐户指标中看到了500%的增长,每个用户通常在平台上有10到100个用户。
公司的重点始终不仅仅是警告其客户潜在的漏洞,而且还要根据对公司的业务资产的风险和威胁的严重程度帮助他们优先考虑它们。毕......
Track Open Source Vulnerabilities with Google's OSV(www.i-programmer.info)
2021-3-17 2:27开源漏洞,OSV,数据库是一个新的开源,来自Google的项目,超出了CVE跟踪的当前状态。
避免在项目中引入漏洞是什么都不缺乏科学。大多数项目在最终阶段使用SAST扫描,以便找到和修复它们。以这种方式使用的一个伟大的工具是SemGrep,它与语法和语义搜索的正确性相结合了Grep,并且可以被分类为Grep和Sa......
Microsoft releases one-click Exchange On-Premises Mitigation Tool to help businesses, who don't have expertise, easily patch recently disclosed vulnerabilities(www.bleepingcomputer.com)
2021-3-16 8:53
Microsoft发布了一键Exchange On-Premises缓解工具(EOMT)工具,以允许小型企业所有者轻松缓解最近披露的Proxylogon漏洞。
本月,微软透露,在对Microsoft Exchange的攻击中正在积极使用四个零天漏洞。这些漏洞是统称为Proxylogon,并且被威胁演员用于删除Web......
Three Flaws in the Linux Kernel Since 2006 Could Grant Root Privileges(www.scmagazine.com)
2021-3-14 0:35
Linux内核中的三个最近出土的漏洞位于用于访问共享数据存储设施的iSCSI模块中,可以允许root权限与用户帐户的任何人。
自2006年自2006年以来,CVE-2021-27363,CVE-2021-27364和CVE-2021-27365和CVE-2021-27365在Linux代码中潜伏,直到Grimm研究......
Git Clone Vulnerability Announced(github.blog)
2021-3-11 16:17
今天,GIT项目发布了新版本来解决CVE-2021-21300:Git LFS在影响版本2.15和较新的GIT LFS期间使用的延迟结账机制中的安全漏洞。
这些更新地址解决了一个问题,其中特制的存储库可以在不区分大小写的文件系统上在Git Clone期间执行代码,这些文件系统通过滥用某些类型的清洁/涂抹过滤器,如G......
Up To 60,000 Computer Systems Exposed In Germany To Microsoft Flaw(www.reuters.com)
2021-3-11 7:1
柏林,3月10日(路透社) - 德国的多达60,000台计算机系统接触到一个缺陷,允许未经授权的用户在Microsoft Corp的电子邮件中访问系统,Watchdog在周三表示。
BSI首席Arne Schoenbohm表示,在上周末向上周末进行了一系列警告,仍然在上周末发出警告后解决了超过一半的漏洞,但仍需要修......
High severity Linux network security holes found, fixed(www.zdnet.com)
2021-3-4 7:5
年轻和上升的Linux安全开发商Alexander Popov' S的正技术发现并在Linux内核中找到了一组五个安全漏洞和#39; S虚拟套接字实现。攻击者可以使用这些漏洞(CVE-2021-26708)来获得拒绝服务(DOS)攻击中的根访问并击出服务器。
常见漏洞评分系统(CVSS)V3基本得分......
How to Scan NuGet Packages for Security Vulnerabilities(devblogs.microsoft.com)
2021-3-3 22:14
开源无处不在。它存在于许多专有代码库和社区项目中。对于组织和个人而言,今天的问题不是您是否正在使用开放源代码,而是您正在使用什么开放源代码以及使用了多少开放源代码。
如果您不知道软件供应链中的内容,则其中一个依赖项中的上游漏洞可能是致命的,使您和您的客户容易受到潜在的威胁。
今天,我们宣布NuGet的漏洞功能可公......
Setup for testing Android app vulnerabilities(palant.info)
2021-3-2 23:17
在上一篇文章中,我记录了我对Android游戏进行反向工程的方法。但是,动手编写代码只是安全性研究的一部分。一旦发现潜在问题,我需要验证它是否确实可以利用。因此,没有办法解决实际的实时应用程序。理想情况下,这必须在具有仿真硬件的受控环境中进行。和以前一样,这主要是我为未来的自我写下来的东西,但对其他人也可能有用。
......
First Fully Weaponized Spectre Exploit Discovered Online(therecord.media)
2021-3-2 2:58
上个月在恶意软件扫描网站VirusTotal上上传了针对Spectre CPU漏洞的完全武器利用程序,这是一种能够进行实际破坏的有效利用程序第一次进入了公共领域。
该漏洞是由法国安全研究员朱利安·沃伊辛(Julien Voisin)发现的。它针对Spectre,这是2018年1月披露的一个主要漏洞。
根据其网站,......
2021-3-1 12:35
当Twitter在1月禁止唐纳德·特朗普(Donald Trump)和许多其他极右用户时,他们中的许多人成为了数字难民,他们迁移到Parler和Gab之类的网站,寻找一个不会减轻他们的仇恨言论和虚假信息的住所。几天后,Parler被黑客入侵,然后被亚马逊虚拟主机丢弃,使该站点离线。现在,继承了一些Parler流离失所......
2021-3-1 2:14
有关如何进行身份验证的更多详细信息,请参阅Snyk文档的CLI身份验证部分。
运行snyk --help以获得所有命令的快速概述,或有关CLI的完整详细信息,请阅读snyk.io CLI文档。
package参数是可选的。如果未提供软件包,Snyk将针对当前工作目录运行该命令,从而允许您测试非公共应用程序。
......
An Exploration of JSON Interoperability Vulnerabilities(labs.bishopfox.com)
2021-2-27 9:15
TL; DR相同的JSON文档可以在微服务中使用不同的值进行解析,从而导致各种潜在的安全风险。如果您喜欢动手实践的方法,请尝试一下实验,当实验吓到您时,请返回并继续阅读。
JSON是Web应用程序通信的基础。 JSON的简单性通常被认为是理所当然的。我们通常不将JSON解析作为威胁模型的一部分。但是,在我们现代的......
2021-2-27 8:43
可以利用严重程度得分为10的10个最新披露的漏洞,远程控制广泛用于控制工厂和其他工业环境中设备的硬件。
该漏洞在罗克韦尔自动化的可编程逻辑控制器中发现,该逻辑控制器以Logix品牌销售。这些设备的范围从小型烤面包机到大型面包盒甚至更大,可帮助控制装配线和其他制造环境中的设备和过程。工程师使用称为Studio 500......
Add / XOR / ROL: Book Review: “This Is How They Tell Me the World Ends”(addxorrol.blogspot.com)
2021-2-26 3:40Warning: Can only detect less than 5000 characters
由于不断使用双曲线语言,这本书也变得更加难以阅读。漏洞能够将航天器撞到地球上,引爆以窃取数据,事情总是需要最安全的。最机密的信息,依此类推。该书本可以从等效于均衡器的编辑器中受益,以平衡措辞。
这本书有几件令人喜......
Book Review: “This Is How They Tell Me the World Ends”(addxorrol.blogspot.com)
2021-2-25 3:12Warning: Can only detect less than 5000 characters
由于不断使用双曲线语言,这本书也变得更加难以阅读。漏洞能够将航天器撞到地球上,引爆以窃取数据,并且事物总是必须是最安全的,最机密的信息,依此类推。该书本可以从等效于均衡器的编辑器中受益,以平衡措辞。
关于这本书,......
2021-2-24 21:37
也许您不是偏执狂。也许他们是为了得到您。 Google软件工程师Ronald Minnich在10亿台机器中发现了一个隐藏的MINIX操作系统。使用英特尔处理器,可能会同意这一点。
为什么?让我们从什么开始。为Google工作的著名Linux和安全开发人员Matthew Garrett最近解释说,多年来,英特尔芯片......
2021-2-19 5:43
常见漏洞和披露(CVE®)是记录列表,每条记录都包含一个已知的网络安全漏洞的标识号,描述和至少一个公共参考。 CVE记录由世界各地的CVE编号颁发机构(CNA)指派,在用于讨论或共享有关独特软件漏洞的信息时,可确保各方之间的信心,为工具评估提供基准,并实现网络安全自动化的数据交换。
2021-2-19 4:37
Warning: Can only detect less than 5000 characters
2021-2-6 21:7
SolarWinds是一家鲜为人知的公司,其网络监控工具Orion是美国历史上最严重漏洞之一的主要载体,该公司已推出了针对三个严重漏洞的修复程序。
Trustwave SpiderLabs的研究员Martin Rakhmanov在周三的博客中表示,在FireEye和Microsoft报告黑客控制了SolarWin......
Google has patched an actively exploited zero-day vulnerability in its Chrome 88 update(www.zdnet.com)
2021-2-6 20:33
Warning: Can only detect less than 5000 characters
但是,它并没有发布某些已达到使用寿命的受影响设备的补丁程序。
Google says it paid $6.7M in 2020, up from $6.5M in 2019, to 662 researchers from 62 countries as part of its bug bounty program(www.zdnet.com)
2021-2-6 20:28
Warning: Can only detect less than 5000 characters
但是,它并没有发布某些已达到使用寿命的受影响设备的补丁程序。
Full System Control with New SolarWinds Orion and Serv-U FTP Vulnerabilities(www.trustwave.com)
2021-2-6 20:22
在此博客中,我将讨论最近在若干SolarWinds产品中发现的三个新的安全性问题。这三个都是严重的错误,最严重的错误是允许以高特权远程执行代码。据Trustwave所知,在最近的SolarWinds攻击或任何“野外”攻击中,没有漏洞被利用。但是,鉴于这些问题的严重性,我们建议受影响的用户尽快进行修补。我们故意在这篇文......
Launching OSV – Better vulnerability triage for open source(security.googleblog.com)
2021-2-6 19:56
2021年2月5日 没有评论 :
New iMessage Security Features(www.schneier.com)
2021-1-30 23:38苹果没有记录这些变化,但是格罗斯表示,他弄弄了最新的iOS 14,发现苹果推出了“重要的iMessage处理重构”,这严重削弱了利用漏洞利用零链接进行链接的常规方法。 Groß指出,基于内存破坏的零点击漏洞利用通常需要利用多个漏洞来创建漏洞利用链。 在大多数观察到的攻击中,这些攻击可能包括内存损坏漏洞,无需用户交互......
Microsoft is planning to fix a Windows 10 vulnerability that could corrupt a NTFS-formatted hard drive simply by viewing a folder with a malicious shortcut(www.theverge.com)
2021-1-16 8:42
微软表示,它计划修复一个奇怪的Windows 10错误,该错误仅通过查看图标即可损坏硬盘。安全研究员乔纳斯·L(Jonas L)在本周早些时候首次警告该漏洞,称其为“令人讨厌的漏洞”。攻击者可以在ZIP文件,文件夹甚至简单的Windows快捷方式中隐藏特制的行。 Windows 10用户需要做的就是提取ZIP文件或仅......
Malvuln – Malware Vulnerability Research(www.malvuln.com)
2021-1-15 20:6Malvuln.com是有史以来第一个专门致力于恶意软件安全漏洞研究的网站。 分析和利用内部恶意软件漏洞。 恶意软件0day攻击