漏洞

9月14日，GitLab支持团队升级了我们的一位客户遇到的一个严重问题：GitLab可以正常运行一段时间，但一段时间后用户遇到错误。当试图通过Git克隆某些存储库时，用户会看到一条不透明的Stalefile错误消息。错误消息持续了很长一段时间，阻止员工工作，除非系统管理员通过在目录本身中运行ls进行手动干预。 因此，......

美国联邦调查局(FBI)和国土安全部(Department Of Homeland Security)的网络安全部门表示，他们检测到黑客利用Windows的一个关键漏洞攻击州和地方政府，在某些情况下，这些攻击被用来入侵用于支持选举的网络。 非特定APT(高级持续威胁的缩写)的成员正在利用名为Zerologon的Win......

在澳大利亚的联邦预算中，新并不是什么新鲜事。几乎所有的网络安全支出都是重新宣布的，几乎没有可衡量的目标。 众议院司法小组委员会就亚马逊，苹果，脸书，谷歌正在打电话给用于对以下内容进行全面更改恢复市场竞争数字经济，加强反垄断工作..。 新的原生文件系统API现在还允许网站与存储在用户本地磁盘上的任何文件或文件夹进行交互......

微软周一表示，伊朗国家支持的黑客目前正在利用现实世界黑客活动中的Zerologon漏洞。 成功的攻击将允许黑客接管被称为域控制器(DC)的服务器，域控制器是大多数企业网络的核心，并使入侵者能够完全控制他们的目标。 微软公司今天在一条简短的推文中说，伊朗的攻击是由微软的威胁情报中心(MSTIC)检测到的，已经持续了至少......

正如安全研究人员最近发现的那样，一个受欢迎的性玩具存在重大安全漏洞，对数万名用户来说可能是灾难性的。 英国安全公司Pen Test Partners表示，被标榜为“世界上第一款APP控制的贞操设备”的秋友互联网贞操锁存在缺陷，任何人都可以远程永久锁定用户的阴茎。 狱友贞洁锁的工作原理是，允许值得信任的伴侣使用移动应用......

一名网络安全研究人员声称，搭载英特尔处理器和T2芯片的苹果MacOS设备容易受到无法修复的漏洞攻击，这可能会让攻击者获得超级用户访问权限。 T2芯片出现在大多数现代MacOS设备中，是一种苹果硅协处理器，可以处理引导和安全操作，以及音频处理等不同的功能。独立安全顾问尼尔斯·H指出，T2芯片存在一个无法修补的严重缺陷。......

GitHub今天正式推出了一个新的代码扫描工具，旨在帮助开发人员在代码部署到公众之前识别代码中的漏洞。 这一新功能是去年GitHub收购旧金山代码分析平台Semmle的结果；微软拥有的代码托管平台当时透露，它将使Semmle的CodeQL分析引擎在所有开源和企业存储库中本地可用。经过几个月的测试期，代码扫描现已向所有......

申请者说，哥伦比亚特区律师协会(District Of Columbia Bar)正在将申请存储在其网站上一个不受保护的目录中。哥伦比亚特区律师协会负责监督在美国首都执业的律师的招生和执照发放。 DC Bar在发布之前没有回复多个电子邮件请求和请求评论的语音邮件。 TechCrunch获得的一封8月26日的电子邮件首......

谷歌表示，将堵住一个漏洞，该漏洞允许Netflix和Spotify等大型开发商避免为应用内支付支付30%的佣金。 到目前为止，开发者可以通过让用户直接输入信用卡信息来规避使用谷歌应用内支付系统带来的30%佣金。 谷歌负责产品管理的副总裁萨米尔·萨马特(Sameer Samat)周一在一篇博客文章中写道，该公司对其计费......

Mozilla修复了一个漏洞，该漏洞可被滥用来劫持同一Wi-Fi网络上所有用于Android浏览器的Firefox，并强制用户访问恶意网站，如钓鱼页面。 实际漏洞存在于Firefox SSDP组件中。SSDP代表简单服务发现协议(Simple Service Discovery Protocol)，是Firefox查......

微软(Microsoft)隔夜警告称，今年修补的Windows漏洞之一正受到恶意黑客的积极利用，这一进展给落后者带来了越来越大的压力，要求他们立即更新。 在跟踪漏洞时，CVE-2020-1472允许黑客立即控制Active Directory，Active Directory是一种Windows服务器资源，充当连接到......

国会为你工作。通过“民主用户指南”(User‘s Guide to Democratic)了解如何成为更好的老板，这是一系列关于你的代表实际工作的个性化电子邮件。 这篇文章是与德克萨斯论坛联合出版的，这是一个非营利性、无党派的当地新闻编辑室，向德克萨斯人提供信息并与之接触。注册这份简短的周刊，以便快速了解他们对德克萨......

今天，联网汽车分析初创公司奥罗拉实验室(Aurora Labs)筹集了2300万美元，使其融资总额达到3400万美元。值得注意的是，这笔资金是在保时捷SE将其对Aurora的投资扩大到250万美元之后进行的，这使得这家汽车制造商在这家初创公司中的持股比例达到了“较低的个位数”。 现代高端汽车的特点是代码量超过1亿行，......

美国国土安全部(US Department Of Homeland Security)要求联邦机构在周二午夜之前修补一个关键的Windows漏洞，该漏洞可以让攻击者很容易成为全能的管理员，可以自由创建账户，用恶意软件感染整个网络，并执行类似的灾难性行动。 正如研究人员所称的那样，Zerologon允许恶意黑客立即获得......

周五晚些时候，网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency，简称CISA)发布警报，要求所有联邦部门和机构在周一之前“立即”为任何易受所谓Zerologon攻击的Windows服务器打补丁，理由是政府网络面临“不可接受的风险”。 Zerol......

“连线”10月刊对选举安全状况进行了深入细致的研究。虽然很多地方并不美观，但我们确实发现了一些希望。数据科学家Sara-Jayne Terp的任务是消除错误信息。这个非营利性缩写的前Facebook员工希望用特朗普的2016年战略来对付他。我们深入研究了明星投票的故事，这是一个大胆的计划，旨在永远确保投票机技术的安全......

您可以为您的网络安全做的最重要的事情之一是更新您的软件-如果您的网络依赖于Microsoft Windows Active Directory，则存在一个严重的漏洞，需要您加以注意。 今天下午，CISA发布了紧急指令20-04，指示联邦民用执行分支机构在2020年8月将微软Windows服务器的安全更新(CVE-20......

在其核心，该理事会专注于保卫和保护关键的国家安全系统，政府将这些系统用于其敏感和机密的通信。但该委员会最出名的是分享了一些来自外国黑客的更新的、大规模的网络威胁。在过去的一年里，该委员会对针对大多数现代计算机的安全引导功能的攻击发出了警告，并排除了与俄罗斯情报机构有关的恶意软件操作。通过公开，NSA的目标是让外国黑客......

注册、教育和行动。我们支持与iamvoter.com合作进行投票，iamvoter.com是一个鼓励投票和公民参与的无党派运动。 特朗普政府周五宣布，微信和TikTok将于周日晚上被禁止进入美国应用商店，这是一个令人精疲力竭、不必要的传奇故事可能带来的最愚蠢的结果之一。 禁止微信入境将切断人们与他们在中国的亲人的联系......

微软发布了一个新的开源安全工具，名为Project OneFuzz，这是一个Azure的测试框架，它将多个软件安全测试工具结合在一起，自动检测可能是安全问题的崩溃和错误的过程。 谷歌的开源毛茸茸机器人已经帮助它在自己的软件和其他开源软件项目中检测到了数以千计的错误。现在，微软发布了对软件开发人员同样挑战的答案。 On......

美国网络安全和基础设施安全局(Cybersecurity And Infrastructure Security Agency)表示，成熟的网络行为者，包括那些隶属于中国国家安全部的网络行为者，没有花费资源开发新的恶意软件工具，而是利用已知的漏洞和开源攻击，并渗透到了联邦政府实体中。 “CISA分析师继续观察表明妥协......

研究人员开发并发布了针对最近修补的Windows漏洞的概念验证漏洞，该漏洞允许访问组织皇冠上的明珠-Active Directory域控制器，它充当连接到网络的所有计算机的全能网守。 在跟踪漏洞时，CVE-2020-1472具有来自Microsoft的严重严重级别，并且根据通用漏洞评分系统，最高级别为10。利用漏洞需......

上周末，全球近2000家Magento 1门店遭到黑客攻击，这是迄今为止记录在案的最大规模的黑客行动。这是一个典型的Magecart攻击：注入的恶意代码会截获未被怀疑的商店客户的支付信息。被检查的商店被发现运行Magento版本1，该版本于去年6月宣布停产。 SansEC早期漏洞检测系统监控全球电子商务空间的安全威胁......

一名安全研究人员发现，民主党总统候选人乔·拜登(Joe Biden)的官方竞选应用程序中存在一个隐私漏洞，任何人都可以查询数百万美国人的敏感选民信息。 这款名为Vote Joe的竞选应用程序允许拜登的支持者通过上传他们手机的联系人名单来鼓励朋友和家人在即将到来的美国总统选举中投票，看看他们的朋友和家人是否登记投票。这......

来自国家统计局的新建议网络安全中心敦促企业将拥有一个制定了事件响应计划-即使他们认为他们'；你不太可能成为牺牲品敬黑客。..。 随着新冠肺炎疫情的威胁使医疗保健不堪重负系统和全球经济，IT'；它也有一个强大的对安全的影响企业和个人。..。 十分之九的冠状病毒域名就是骗局。50万个Zoom帐户正在出售，日期......

南非信息监管机构主席潘西·特拉库拉(Pansy Tlakula)周一表示，已任命一名独立的网络法医调查员审查Experian进行的一项内部调查。 数百万南非人的个人数据在互联网上被发现，尽管他们保证这些信息已被找回。在今年早些时候发生的南非最大的一起数据泄露事件中，数百万南非人的个人数据被盗。 未能检索数据和解决泄密......

感谢克林特·吉布勒、格雷森·哈达维和r2c的巴勃罗·埃斯特拉达，感谢他们对这首曲子的贡献。感谢r2c签约让我写这篇文章！本文在Jacobian.org上交叉发布。 当我在Heroku管理安全团队时，我做了一个反复出现的噩梦：我的PagerDuty闹钟响了，提醒我发生了某种安全事件。在我的梦里，我会看着我的手机，意识到......

这些漏洞是由应用安全初创公司Oversected发现的，可能允许同一设备上的恶意应用从TikTok应用程序内部窃取敏感文件，如会话令牌。会话令牌是用户无需重新输入密码即可保持登录状态的小文件。但是，如果这些令牌被盗，攻击者可以在不需要密码的情况下访问用户的帐户。 恶意应用程序将不得不利用这些漏洞将恶意文件注入易受攻击......

哥伦比亚大学的一组学者开发了一种定制工具，可以动态分析Android应用程序，看看它们是否以不安全的方式使用密码。 该工具名为CRYLOGGER，在2019年9月和10月被用于测试1780个Android应用程序，这些应用程序代表了33个不同Play Store类别中最受欢迎的应用程序。 研究人员表示，该工具检查了2......

谢尔盖·格拉祖诺夫(Sergey Glazunov)最近在Project Zero BugTracker上披露了2046号问题。这个问题描述了当开发人员决定使用新的TORQUE语言重新实现两个CodeStubAssembler(CSA)函数时引入到V8中的一个错误。这两个函数用于在JavaScript中创建新的Fix......