漏洞

下载PDF摘要：公共开发过程是开放源码项目的一个关键特征。然而，漏洞的修复通常是在一小群受信任的维护人员之间私下讨论的，并且在没有事先公开参与的情况下集成在一起。这被认为是为了防止过早披露，并应对禁运和保密协议(NDA)的规定。虽然常规的开发活动会留下公开可用的痕迹，但对绕过标准流程的漏洞的修复不会留下公开的痕迹。我......

WhatsApp表示，六个漏洞中有五个在同一天修复，而其余的漏洞需要几天时间才能修复。尽管一些漏洞可能是远程触发的，但该公司表示，没有发现黑客积极利用这些漏洞的证据。 大约三分之一的新漏洞是通过该公司的Bug Bounty计划报告的，而其他漏洞是在例行代码审查和使用自动化系统时发现的，这一点不出所料。 WhatsAp......

公司有21天的时间确认报告，90天的时间修补漏洞；否则，Facebook将公开漏洞细节。 新的WhatsApp网页将让用户和安全研究人员知道Facebook工程师何时修补了一个重大安全漏洞。 苹果再次试图兜售其隐私立场。它想让你笑。不过，仔细听一下卖家的话。 在过去的一周里，比利时、法国和荷兰的多家ISP报告了针对其......

在一篇宣布这一变化的博客文章中，Facebook表示，它“可能偶尔会发现”第三方代码和系统中的关键错误和漏洞。“当这种情况发生时，我们的首要任务是看到这些问题迅速得到解决，同时确保通知受影响的人，这样他们就可以通过部署补丁或更新系统来保护自己。” Facebook之前曾通知第三方开发者存在漏洞，但这一政策转变正式将该......

由数十个联邦文职机构编写，只有少数几个机构有与外部安全研究人员合作的官方程序，以发现和修复软件漏洞-这是一个在私营部门司空见惯的过程。 现在，为了结束拖延，国土安全部的网络安全和基础设施安全局给各机构六个月的时间来建立这些项目，即所谓的漏洞披露政策(VDP)。 中钢协周三发布指令，要求各机构建立VDPS，避免对真诚行......

距离上次ALG=NONE JWT漏洞已经33天了。 DP3T冠状病毒跟踪项目在其后端接受签名算法=NONE的未签名JWT令牌时存在漏洞。在这里写下来。

企业防火墙和虚拟专用网络设备是至关重要的看门人，其任务是保护企业网络免受黑客和网络攻击，同时在大流行期间仍允许在家中工作的员工进入。尽管大多数办公室都是空的，但黑客经常在关键网络设备中寻找漏洞，以便闯入公司网络窃取数据或植入恶意软件。 安全公司Pen Test Partners的研究员Vangelis Stykas在......

研究人员周二表示，黑客正在积极利用一个漏洞，该漏洞允许他们在运行文件管理器(File Manager)的网站上执行命令和恶意脚本。文件管理器是一个WordPress插件，有超过70万个活跃安装。袭击的消息是在修补安全漏洞几个小时后传来的。 攻击者正在利用该漏洞上载包含隐藏在图像中的WebShell的文件。在那里，他们......

电信和数据中心运营商请注意：该公司上周末警告称，攻击者正积极试图利用思科网络设备中一个高度严重的零日漏洞。 安全漏洞存在于思科的iOS XR软件中，该软件是电信和数据中心提供商使用的运营商级路由器和其他网络设备的操作系统。在周六发布的一份公告中，这家网络设备制造商表示，目前还没有补丁可用，也没有提供何时发布补丁的时间......

记者、技术人员和研发爱好者所依赖的通信工具上周五披露了一个关键漏洞--现在已经修复--该漏洞会让黑客在用户电脑上肆虐。Sack'；的内部安全团队甚至没有发现这个漏洞；相反，是第三方安全研究人员在1月份通过漏洞赏金平台HackerOne报告了这个漏洞。 特别值得一提的是，该漏洞允许远程代码执行，这和听起来一样糟糕......

应用安全初创公司OverSecure在谷歌广泛使用的Play Core库中发现了这个缺陷，该库允许开发者将应用内更新和新功能模块(如语言包或游戏关卡)推送到他们的Android应用程序中。 同一台Android设备上的恶意应用程序可以通过向依赖该库的其他应用程序注入恶意模块来利用该漏洞进行攻击，这些应用程序可以从应用......

肆无忌惮的替罪羊玩家一直在利用Steam的家庭共享功能中的一个漏洞来绕过作弊检测禁令。现在，Fall Guys的推特账号表示，它已经关闭了游戏的家庭共享，因为它继续在游戏的700万蒸汽购买者中寻找和阻止作弊者。 在漏洞被堵住之前，Steam玩家可以用主账户购买替罪羊，然后使用Steam的长期家庭共享计划，与新创建的免......

早在2017年，你可能还记得黑客和安全研究人员是如何强调信令系统7(SS7，在美国称为公共信道信令系统7)中的长期漏洞的，这是1975年首次构建的一系列协议，旨在帮助连接世界各地的电话运营商。虽然这个问题并不新鲜，但2016年的一份“60分钟”报告引起了更广泛的关注，即该漏洞可以让黑客追踪用户位置，躲避加密，甚至记录......

尚未安装最新版本的Pulse Secure VPN的组织有充分的理由停止抖动-这是一种代码执行漏洞，允许攻击者控制使用该产品的网络。 跟踪名称为CVE-2020-8218的该漏洞要求攻击者拥有运行VPN的计算机的管理权限。发现该漏洞的GoSecure公司的研究人员找到了一个简单的方法来清除这个障碍：诱骗管理员点击嵌入......

历史上，内存腐败利用一直是优秀红色团队成员工具包中最强大的附件之一。它们允许攻击者在不依赖任何用户交互的情况下执行有效负载，为攻击性安全工程师和对手带来了轻松的胜利。 对于防御者来说，幸运的是，但对于研究人员和对手来说，不幸的是，这些类型的利用变得越来越难以执行，这在很大程度上要归功于我们每天使用的系统中直接实施的广......

过去一年大规模抗议活动的兴起-在香港、印度、伊朗、黎巴嫩、津巴布韦和美国-给活动人士带来了重大挑战。当Internet连接严重拥塞或完全关闭时，您如何相互通信，同时保护您的身份和对话的私密性？ 一个大力推广的解决方案是Bridgefy，这是一款即时通讯应用，得到了Twitter联合创始人比兹·斯通(Biz Stone......

社会严重依赖技术，预计到2025年，全球使用的联网设备数量将增长到559亿台。其中许多设备跨越工业控制系统(ICS)的各个部分，这些设备影响物理世界，帮助我们在家中进行日常生活，并监控和自动化从能源使用到工作中的机器维护的一切。滥用这些系统的可能性已经引起了网络犯罪分子的注意；根据2020 IBM X-Force威胁......

联邦检察官指控优步(Uber)前安全主管乔·沙利文(Joe Sullivan)妨碍司法公正，因为他向联邦贸易委员会(Federal Trade Commission)调查人员隐瞒了2016年的数据泄露事件。沙利文现在是Cloudflare的首席安全官。 在一份通过电子邮件发送的声明中，沙利文的一位发言人表示，政府的指......

谷歌周三修补了影响Gmail和G Suite电子邮件服务器的一个重大安全漏洞。 该漏洞可能会让威胁行为人发送伪造的电子邮件，模仿任何Gmail或G Suite客户。 安全研究人员艾莉森·侯赛因(Allison Husain)在4月份发现并向谷歌报告了这个问题，他表示，该漏洞还允许攻击者传递欺骗电子邮件，称其符合两个最......

举几个例子：黑客欺骗自动取款机吐出现金。一对安全研究人员想出了一种方法来检测最新的蜂窝站点模拟器。汽车研究人员成功黑进了一辆梅赛德斯-奔驰。大约二十年前的Windows漏洞可以用来植入恶意软件。加密货币交易所一度极易受到黑客攻击。互联网卫星比我们想象的更不安全，它们的数据流可能包含敏感的、未加密的数据。两名安全研究人......

智能助手设备在隐私方面也有失误，但对大多数人来说，它们通常被认为是足够安全的。不过，对亚马逊Alexa平台漏洞的最新研究突显了思考智能助手存储的有关你的个人数据的重要性，并尽可能地将其降至最低。 安全公司Check Point周四发布的调查结果显示，Alexa的网络服务存在漏洞，黑客可以利用这些漏洞窃取目标的整个语音......

如果飞行员调整了预先设定的高度限制，一个非常特殊的软件错误会使客机转向错误的方向。 该漏洞是在安装了罗克韦尔柯林斯航空航天制造的飞行管理系统(FMS)的庞巴迪CRJ-200飞机上发现的，导致客机试图沿着某些错过的进场右转而不是左转-反之亦然。 当飞行员不确定他们是否能安全着陆时，就会使用错过的进场。它们是一条公开的路......

独立安全研究人员索加特·波卡雷尔(Sugat Pokharel)发现，当他从Instagram下载数据时，他下载的数据包含他之前删除的与其他用户的照片和私人消息。Instagram是Instagram于2018年推出的一项功能，目的是遵守欧洲新的数据规则。 对于公司来说，将新删除的数据存储一段时间，直到能够从其网络、......

周三，成立两天的去中心化加密货币Yam崩溃，此前其创建者透露，一个软件漏洞实际上否决了人类治理。 在世界标准时间8月12日星期三下午6点左右，我们在山药改基合同中发现了一个漏洞，它将产生比打算出售给Uniswap Yam/yCRV池的山药多得多的山药，将大量多余的山药发送到协议储备，&34；山药项目在周四的一篇帖子中......

由于亚马逊(Amazon)的Alexa语音助手的子域存在安全漏洞，可能会被利用来交出用户数据。 这款智能助手可以在亚马逊回声(Amazon Echo)和回声点(Echo Dot)等设备上找到，全球出货量超过2亿台，很容易受到寻求用户个人身份信息(PII)和语音录音的攻击者的攻击。 Check Point Resear......

周二，微软修补了120个漏洞，其中两个值得注意，因为它们受到了积极的攻击，第三个漏洞是因为它修复了之前的一个安全漏洞补丁，该漏洞允许攻击者获得一个即使在机器更新后仍然存在的后门。 零日漏洞之所以得名，是因为受影响的开发人员在安全漏洞受到攻击之前有零天的时间发布补丁。零日漏洞攻击可能是最有效的攻击之一，因为它们通常不会......

本月，该公司已经修补了13个不同产品的120个漏洞，从Edge到Windows，从SQL Server到.NET Framework。 在本月修复的120个漏洞中，17个漏洞的严重程度最高，为“严重”，还有两个零日漏洞在微软能够提供今天的补丁之前就已被黑客利用。 本月修补的两个零日中的第一个是Windows操作系统中......

TikTok的未来仍然悬而未决，因为它同时被视为收购目标和安全风险，现在“华尔街日报”正在报道它一直在跟踪的用户信息的细节。他们对其Android应用程序的分析深入研究了2018年至2020年的几个版本，并表示“为一款移动应用程序收集的信息并不是异常多。” 然而，离群点是，直到去年年底，TikTok还利用一个已知的安......

“华尔街日报”的一项分析发现，TikTok绕开了谷歌Android操作系统的隐私保护，从数百万移动设备上收集唯一标识符，这些数据允许该应用程序在线跟踪用户，而不允许他们选择退出。 手机安全专家说，这一策略是通过一层不同寻常的加密层隐藏起来的，似乎违反了谷歌限制应用程序跟踪用户的政策，而且没有向TikTok用户披露。“......

高通骁龙芯片上的400多个漏洞威胁着手机在全球的可用性。 智能手机在全球拥有超过30亿用户，是我们日常生活中不可或缺的、几乎不可分割的一部分。 随着移动市场的持续增长，供应商们争先恐后地在他们的最新设备中提供新功能、新功能和更好的技术创新。为了支持这种不懈的创新动力，供应商通常依赖第三方提供手机所需的硬件和软件。最常......