#漏洞

一名网络安全研究人员声称，搭载英特尔处理器和T2芯片的苹果MacOS设备容易受到无法修复的漏洞攻击，这可能会让攻击者获得超级用户访问权限。 T2芯片出现在大多数现代MacOS设备中，是一种苹果硅协处理器，可以处理引导和安全操作，以及音频处理等不同的功能。独立安全顾问尼尔斯·H指出，T2芯片存在一个无法修补的严重缺陷。......

GitHub今天正式推出了一个新的代码扫描工具，旨在帮助开发人员在代码部署到公众之前识别代码中的漏洞。 这一新功能是去年GitHub收购旧金山代码分析平台Semmle的结果；微软拥有的代码托管平台当时透露，它将使Semmle的CodeQL分析引擎在所有开源和企业存储库中本地可用。经过几个月的测试期，代码扫描现已向所有......

申请者说，哥伦比亚特区律师协会(District Of Columbia Bar)正在将申请存储在其网站上一个不受保护的目录中。哥伦比亚特区律师协会负责监督在美国首都执业的律师的招生和执照发放。 DC Bar在发布之前没有回复多个电子邮件请求和请求评论的语音邮件。 TechCrunch获得的一封8月26日的电子邮件首......

谷歌表示，将堵住一个漏洞，该漏洞允许Netflix和Spotify等大型开发商避免为应用内支付支付30%的佣金。 到目前为止，开发者可以通过让用户直接输入信用卡信息来规避使用谷歌应用内支付系统带来的30%佣金。 谷歌负责产品管理的副总裁萨米尔·萨马特(Sameer Samat)周一在一篇博客文章中写道，该公司对其计费......

Mozilla修复了一个漏洞，该漏洞可被滥用来劫持同一Wi-Fi网络上所有用于Android浏览器的Firefox，并强制用户访问恶意网站，如钓鱼页面。 实际漏洞存在于Firefox SSDP组件中。SSDP代表简单服务发现协议(Simple Service Discovery Protocol)，是Firefox查......

微软(Microsoft)隔夜警告称，今年修补的Windows漏洞之一正受到恶意黑客的积极利用，这一进展给落后者带来了越来越大的压力，要求他们立即更新。 在跟踪漏洞时，CVE-2020-1472允许黑客立即控制Active Directory，Active Directory是一种Windows服务器资源，充当连接到......

国会为你工作。通过“民主用户指南”(User‘s Guide to Democratic)了解如何成为更好的老板，这是一系列关于你的代表实际工作的个性化电子邮件。 这篇文章是与德克萨斯论坛联合出版的，这是一个非营利性、无党派的当地新闻编辑室，向德克萨斯人提供信息并与之接触。注册这份简短的周刊，以便快速了解他们对德克萨......

今天，联网汽车分析初创公司奥罗拉实验室(Aurora Labs)筹集了2300万美元，使其融资总额达到3400万美元。值得注意的是，这笔资金是在保时捷SE将其对Aurora的投资扩大到250万美元之后进行的，这使得这家汽车制造商在这家初创公司中的持股比例达到了“较低的个位数”。 现代高端汽车的特点是代码量超过1亿行，......

美国国土安全部(US Department Of Homeland Security)要求联邦机构在周二午夜之前修补一个关键的Windows漏洞，该漏洞可以让攻击者很容易成为全能的管理员，可以自由创建账户，用恶意软件感染整个网络，并执行类似的灾难性行动。 正如研究人员所称的那样，Zerologon允许恶意黑客立即获得......

周五晚些时候，网络安全和基础设施安全局(CyberSecurity And Infrastructure Security Agency，简称CISA)发布警报，要求所有联邦部门和机构在周一之前“立即”为任何易受所谓Zerologon攻击的Windows服务器打补丁，理由是政府网络面临“不可接受的风险”。 Zerol......

您可以为您的网络安全做的最重要的事情之一是更新您的软件-如果您的网络依赖于Microsoft Windows Active Directory，则存在一个严重的漏洞，需要您加以注意。 今天下午，CISA发布了紧急指令20-04，指示联邦民用执行分支机构在2020年8月将微软Windows服务器的安全更新(CVE-20......

微软发布了一个新的开源安全工具，名为Project OneFuzz，这是一个Azure的测试框架，它将多个软件安全测试工具结合在一起，自动检测可能是安全问题的崩溃和错误的过程。 谷歌的开源毛茸茸机器人已经帮助它在自己的软件和其他开源软件项目中检测到了数以千计的错误。现在，微软发布了对软件开发人员同样挑战的答案。 On......

研究人员开发并发布了针对最近修补的Windows漏洞的概念验证漏洞，该漏洞允许访问组织皇冠上的明珠-Active Directory域控制器，它充当连接到网络的所有计算机的全能网守。 在跟踪漏洞时，CVE-2020-1472具有来自Microsoft的严重严重级别，并且根据通用漏洞评分系统，最高级别为10。利用漏洞需......

上周末，全球近2000家Magento 1门店遭到黑客攻击，这是迄今为止记录在案的最大规模的黑客行动。这是一个典型的Magecart攻击：注入的恶意代码会截获未被怀疑的商店客户的支付信息。被检查的商店被发现运行Magento版本1，该版本于去年6月宣布停产。 SansEC早期漏洞检测系统监控全球电子商务空间的安全威胁......

南非信息监管机构主席潘西·特拉库拉(Pansy Tlakula)周一表示，已任命一名独立的网络法医调查员审查Experian进行的一项内部调查。 数百万南非人的个人数据在互联网上被发现，尽管他们保证这些信息已被找回。在今年早些时候发生的南非最大的一起数据泄露事件中，数百万南非人的个人数据被盗。 未能检索数据和解决泄密......

感谢克林特·吉布勒、格雷森·哈达维和r2c的巴勃罗·埃斯特拉达，感谢他们对这首曲子的贡献。感谢r2c签约让我写这篇文章！本文在Jacobian.org上交叉发布。 当我在Heroku管理安全团队时，我做了一个反复出现的噩梦：我的PagerDuty闹钟响了，提醒我发生了某种安全事件。在我的梦里，我会看着我的手机，意识到......

哥伦比亚大学的一组学者开发了一种定制工具，可以动态分析Android应用程序，看看它们是否以不安全的方式使用密码。 该工具名为CRYLOGGER，在2019年9月和10月被用于测试1780个Android应用程序，这些应用程序代表了33个不同Play Store类别中最受欢迎的应用程序。 研究人员表示，该工具检查了2......

谢尔盖·格拉祖诺夫(Sergey Glazunov)最近在Project Zero BugTracker上披露了2046号问题。这个问题描述了当开发人员决定使用新的TORQUE语言重新实现两个CodeStubAssembler(CSA)函数时引入到V8中的一个错误。这两个函数用于在JavaScript中创建新的Fix......

下载PDF摘要：公共开发过程是开放源码项目的一个关键特征。然而，漏洞的修复通常是在一小群受信任的维护人员之间私下讨论的，并且在没有事先公开参与的情况下集成在一起。这被认为是为了防止过早披露，并应对禁运和保密协议(NDA)的规定。虽然常规的开发活动会留下公开可用的痕迹，但对绕过标准流程的漏洞的修复不会留下公开的痕迹。我......

WhatsApp表示，六个漏洞中有五个在同一天修复，而其余的漏洞需要几天时间才能修复。尽管一些漏洞可能是远程触发的，但该公司表示，没有发现黑客积极利用这些漏洞的证据。 大约三分之一的新漏洞是通过该公司的Bug Bounty计划报告的，而其他漏洞是在例行代码审查和使用自动化系统时发现的，这一点不出所料。 WhatsAp......

公司有21天的时间确认报告，90天的时间修补漏洞；否则，Facebook将公开漏洞细节。 新的WhatsApp网页将让用户和安全研究人员知道Facebook工程师何时修补了一个重大安全漏洞。 苹果再次试图兜售其隐私立场。它想让你笑。不过，仔细听一下卖家的话。 在过去的一周里，比利时、法国和荷兰的多家ISP报告了针对其......

在一篇宣布这一变化的博客文章中，Facebook表示，它“可能偶尔会发现”第三方代码和系统中的关键错误和漏洞。“当这种情况发生时，我们的首要任务是看到这些问题迅速得到解决，同时确保通知受影响的人，这样他们就可以通过部署补丁或更新系统来保护自己。” Facebook之前曾通知第三方开发者存在漏洞，但这一政策转变正式将该......

由数十个联邦文职机构编写，只有少数几个机构有与外部安全研究人员合作的官方程序，以发现和修复软件漏洞-这是一个在私营部门司空见惯的过程。 现在，为了结束拖延，国土安全部的网络安全和基础设施安全局给各机构六个月的时间来建立这些项目，即所谓的漏洞披露政策(VDP)。 中钢协周三发布指令，要求各机构建立VDPS，避免对真诚行......

距离上次ALG=NONE JWT漏洞已经33天了。 DP3T冠状病毒跟踪项目在其后端接受签名算法=NONE的未签名JWT令牌时存在漏洞。在这里写下来。

企业防火墙和虚拟专用网络设备是至关重要的看门人，其任务是保护企业网络免受黑客和网络攻击，同时在大流行期间仍允许在家中工作的员工进入。尽管大多数办公室都是空的，但黑客经常在关键网络设备中寻找漏洞，以便闯入公司网络窃取数据或植入恶意软件。 安全公司Pen Test Partners的研究员Vangelis Stykas在......

研究人员周二表示，黑客正在积极利用一个漏洞，该漏洞允许他们在运行文件管理器(File Manager)的网站上执行命令和恶意脚本。文件管理器是一个WordPress插件，有超过70万个活跃安装。袭击的消息是在修补安全漏洞几个小时后传来的。 攻击者正在利用该漏洞上载包含隐藏在图像中的WebShell的文件。在那里，他们......

电信和数据中心运营商请注意：该公司上周末警告称，攻击者正积极试图利用思科网络设备中一个高度严重的零日漏洞。 安全漏洞存在于思科的iOS XR软件中，该软件是电信和数据中心提供商使用的运营商级路由器和其他网络设备的操作系统。在周六发布的一份公告中，这家网络设备制造商表示，目前还没有补丁可用，也没有提供何时发布补丁的时间......

记者、技术人员和研发爱好者所依赖的通信工具上周五披露了一个关键漏洞--现在已经修复--该漏洞会让黑客在用户电脑上肆虐。Sack'；的内部安全团队甚至没有发现这个漏洞；相反，是第三方安全研究人员在1月份通过漏洞赏金平台HackerOne报告了这个漏洞。 特别值得一提的是，该漏洞允许远程代码执行，这和听起来一样糟糕......

应用安全初创公司OverSecure在谷歌广泛使用的Play Core库中发现了这个缺陷，该库允许开发者将应用内更新和新功能模块(如语言包或游戏关卡)推送到他们的Android应用程序中。 同一台Android设备上的恶意应用程序可以通过向依赖该库的其他应用程序注入恶意模块来利用该漏洞进行攻击，这些应用程序可以从应用......

肆无忌惮的替罪羊玩家一直在利用Steam的家庭共享功能中的一个漏洞来绕过作弊检测禁令。现在，Fall Guys的推特账号表示，它已经关闭了游戏的家庭共享，因为它继续在游戏的700万蒸汽购买者中寻找和阻止作弊者。 在漏洞被堵住之前，Steam玩家可以用主账户购买替罪羊，然后使用Steam的长期家庭共享计划，与新创建的免......