#漏洞
Microsoft has awarded $13.7M to security researchers who reported vulnerabilities in the last 12 months through 15 bug bounty programs, up from $4.4M last year(www.bleepingcomputer.com)
2020-8-5 2:46
微软向安全技术研究人员奖励了1370万美元,这些研究人员在2019年7月1日至2020年6月30日期间,通过15个漏洞赏金计划,在过去12个月内报告了漏洞。
根据微软安全响应中心(Microsoft Security Response Center)博客上发布的年度微软漏洞赏金计划回顾,这是前一年奖励金额的三倍多,当......
2020-8-4 6:48
Twitter周一披露,在收到美国联邦贸易委员会(Federal Trade Commission)的起诉书草案后,预计7月15日比特币诈骗案的安全漏洞将造成高达2.5亿美元的损失。
文件显示,Twitter表示,此次入侵可能会损害其增长用户基础的能力,并可能影响其在广告商中的品牌和声誉。
Twitter周一披露,在......
2020-7-30 5:44
已在GRUB2引导加载程序中发现了几个漏洞;这些漏洞可绕过UEFI安全引导机制并持续安装恶意软件。不幸的是,解决这个问题不只是获得一个新的GRUB2安装。重要的是要注意,更新可利用的二进制文件实际上并不能减轻CVE,因为攻击者可以将旧的、可利用的、签名的GRUB二进制文件副本带到具有他们想要加载的任何内核的系统上。为......
GRUB2 UEFI SecureBoot Vulnerability: 'BootHole'(www.debian.org)
2020-7-30 3:31Debian和Linux社区其他地方的开发人员最近已经意识到GRUB2引导加载程序中存在一个严重问题,该问题允许不良行为者完全绕过UEFI安全引导。Debian Security Advisory4735中描述了该问题的全部细节。本文档的目的是解释此安全漏洞的后果,以及采取了哪些步骤来解决。
UEFI安全引导(SB)......
Zoom Security Exploit – Cracking private meeting passwords(www.tomanthony.co.uk)
2020-7-29 23:41缩放会议默认受6位数字密码保护,即最多100万个密码。我在Zoom web客户端中发现了一个漏洞,由于CSRF损坏且没有速率限制,该漏洞允许检查会议密码是否正确。
这使得攻击者可以在几分钟内尝试所有100万个密码,并获得访问其他人的私人(受密码保护的)Zoom会议的权限。
这也提出了一个令人不安的问题,即其他人是否已......
2020-7-28 10:12
周一发布的一份报告发现,全国各地的选举管理人员很容易受到来自恶意钓鱼电子邮件的网络攻击。
这份由网络安全组织Area 1 Security汇编的报告发现,超过50%的选举管理员拥有“仅有的基础或非标准技术”来防御来自网络犯罪分子的恶意电子邮件,只有不到30%的人使用基本安全控制来阻止钓鱼电子邮件。
研究还发现,约5%......
Hackers actively exploit high-severity networking vulnerabilities(arstechnica.com)
2020-7-26 0:32
黑客正在积极利用两个不相关的高度严重漏洞,这两个漏洞允许未经身份验证的访问,甚至完全接管财富500强公司和政府组织运营的网络。
最严重的攻击针对的是F5的Big-IP高级传递控制器中的一个严重漏洞,该设备通常放置在外围防火墙和Web应用程序之间,以处理负载平衡和其他任务。F5在三周前修补了该漏洞,使得未经验证的攻击者......
Security Breach Exposes More Than One Million DNA Profiles On Major Genealogy Database(www.buzzfeednews.com)
2020-7-23 4:57
约瑟夫·詹姆斯·迪安吉洛(中),被指控为金州杀手,于6月份出庭。刑事调查人员使用GEDMatch确认了DeAngelo的身份。
7月19日,使用GEDMatch网站上传自己的DNA信息并寻找亲人填写家谱的家谱爱好者得到了一个不愉快的惊喜。突然间,警方可以搜索100多万份隐藏起来的DNA图谱,这些DNA图谱是警方使用该......
Apple starts giving ‘hacker-friendly’ iPhones to top bug hunters (techcrunch.com)
2020-7-23 1:0
苹果公司曾经宣称其电脑没有感染病毒,但近年来开始以前所未有的方式拥抱安全研究人员和黑客。
在去年的黑帽安全大会上,苹果安全主管Ivan Krstic对一群安全研究人员表示,将给其最信任的研究人员一部“特殊的”iPhone,可以史无前例地接触到设备的腹部,从而更容易发现和报告苹果可以在所谓的iOS安全研究设备计划中修复......
South Korea fixes flaws in its COVID-19 quarantine app that could let attackers access sensitive user info, like location, and tamper with data(www.nytimes.com)
2020-7-22 2:22
韩国首尔-韩国因有效利用数字工具遏制冠状病毒而受到称赞,从紧急电话警报到基于各种数据的积极接触者追踪,不一而足。
但一名软件工程师发现,这一战略的一个支柱-一款帮助执行隔离的移动应用程序-存在严重的安全缺陷,使私人信息容易受到黑客的攻击。
《纽约时报》证实了这些缺陷,现在这些缺陷已经修复,攻击者可能会检索到被隔离人员......
2020-7-17 22:24
Mozilla表示,他们正在努力修复安卓版Firefox中的一个漏洞,即使用户在后台移动浏览器或手机屏幕被锁定,该漏洞也能使智能手机摄像头保持活动状态。
Mozilla的一位发言人本周在一封电子邮件中告诉ZDNet,预计今年晚些时候将在10月份进行修复。
这个漏洞是一年前,也就是2019年7月,由视频交付平台Pres......
DHS's CISA issues its third ever emergency order, giving agencies 24 hours to patch or mitigate the “wormable” Windows DNS Server vulnerability(www.cyberscoop.com)
2020-7-17 6:37
周四,由国土安全部(Department Of Homeland Security)网络安全部门撰写的这份报告命令联邦民用机构为新曝光的微软Windows漏洞应用安全补丁,理由是该漏洞对各机构的安全构成了“不可接受的重大风险”。
这是国土安全部网络安全和基础设施安全局(CyberSecurity And Infras......
StackHawk, the Denver-based bug detecting service, hires developer of open source project Zed Attack Proxy (techcrunch.com)
2020-7-16 4:57
在StackHawk,Bennet将继续专注于开源项目的开发,该公司表示,该项目是世界上使用最频繁的安全扫描工具之一。
StackHawk已经将开源项目用于其底层扫描技术,并通过分层安全测试自动化、与开发工具的集成以及用于新开发范例的功能来建立业务。
“自从创立ZAP以来,我们的愿景一直是为开发者提供应用程序安全,”......
SIGRed: Exploiting a 17 Year-Old Bug in Windows DNS Servers(research.checkpoint.com)
2020-7-15 6:18
DNS通常被描述为“互联网的电话簿”,它是一种用于将人类友好的计算机主机名翻译成IP地址的网络协议。因为它是互联网的核心组件,所以有很多DNS服务器的解决方案和实现,但被广泛使用的只有几个。
“Windows DNS服务器”是Microsoft的实施,是Windows域环境的重要组成部分和要求。
SIGRed(CVE......
2020-7-15 5:58
微软正在紧急建议Windows服务器客户修补一个漏洞,该漏洞允许攻击者在没有用户交互的情况下控制整个网络,并从那里迅速从一台计算机传播到另一台计算机。
这个漏洞,被发现它的研究人员称为SigRed,驻留在Windows DNS中,这是一个自动响应将域名转换为计算机在互联网上定位它所需的IP地址的请求的组件。通过发送恶......
SIGRed: A 17 Year-Old Bug in Windows DNS Servers(research.checkpoint.com)
2020-7-15 5:6DNS通常被描述为“互联网的电话簿”,它是一种用于将人类友好的计算机主机名翻译成IP地址的网络协议。因为它是互联网的核心组件,所以有很多DNS服务器的解决方案和实现,但被广泛使用的只有几个。
“Windows DNS服务器”是Microsoft的实施,是Windows域环境的重要组成部分和要求。
SIGRed(CVE......
Microsoft Warns of a 17-Year-Old 'Wormable' Bug(www.wired.com)
2020-7-15 4:42
自从WannaCry和NotPetya三年多前进入互联网以来,安全行业仔细审查了每一个新的Windows漏洞,这些漏洞可能被用来制造类似的震撼世界的蠕虫。现在,微软在域名系统协议的实现中出现了一个潜在的易受攻击的漏洞--这意味着攻击可以从一台机器传播到另一台机器,而无需人工交互。域名系统协议是互联网的基本组成部分之一......
CVE-2020-1350 Vulnerability in Windows Domain Name System (DNS) Server(msrc-blog.microsoft.com)
2020-7-15 2:27今天,我们发布了CVE-2020-1350的更新,这是Windows和DNS服务器中的一个严重的远程安全代码和执行工具(RCE)漏洞,被归类为“可攻击的”漏洞,CVSS的基本分数为410.0。此问题源于微软DNS服务器角色实现中的缺陷,影响所有Windows Server版本,非微软DNS服务器不受影响。
易受蠕虫攻......
Business giant SAP patches RECON bug, which impacted most of its customers and let hackers create admin accounts on SAP servers(www.zdnet.com)
2020-7-14 20:50
商业巨头SAP今天发布了针对影响其绝大多数客户的重大漏洞的补丁。据云安全公司Onapsis称,这个代号为Recon的漏洞让公司很容易受到黑客的攻击。Onapsis今年早些时候在5月份发现了这个漏洞,并将其报告给SAP进行修补。
Onapsis表示,Recon允许恶意威胁行为者创建SAP用户账户,对暴露在互联网上的SA......
Google says it will ban stalkerware ads from August 11, but leaves a loophole for stalkerware vendors to get around the ban by posing as “family safety” apps(www.grahamcluley.com)
2020-7-10 22:34
谷歌宣布,从2020年8月起,将禁止暗杀软件产品和服务的广告。
正是这个特定的肮脏软件家族,让对你有不健康兴趣的人能够远程监视你的手机,追踪你的位置,阅读你发送和接收的消息-所有这些都是在你不知道和没有你许可的情况下进行的。
简而言之,这是一种间谍软件,受到了令人毛骨悚然的人、嫉妒的前伴侣以及那些无忧无虑地侵犯某人隐......
How to unc0ver a 0-day in 4 hours or less(googleprojectzero.blogspot.com)
2020-7-10 2:10
美国太平洋标准时间2020年5月23日下午3点,针对iOS 13.5(发布时的最新签名版本)发布了un0ver越狱,该版本使用零日漏洞和严重混淆。到了晚上7点,我发现了漏洞,并通知了苹果公司。到凌晨1点,我给苹果发了一份POC和我的分析报告。这篇文章将带你踏上这段旅程。
我想找出un0ver中使用的漏洞,并迅速将其报......
2020-7-10 0:44
在ARM披露CPUSLS漏洞和LLVM编译器初始缓解后花了一个月的时间,但GNU编译器集合(GCC)现在也针对此直线推测漏洞进行了缓解。(注:Gnu Compiler Collection(Gnu Compiler Collection,GNU Compiler Collection)(GCC))现在也针对此直线推测......
Fixing critical vulnerabilities in Apache's remote desktop(blog.checkpoint.com)
2020-7-4 7:33
就在短短几个月前,对于我们中的大多数人来说,日常工作包括去办公室操作公司的计算机,或者直接将笔记本电脑插入公司网络。有时,我们在远程工作时需要特殊的网络访问权限,无论是通过VPN还是使用众多远程连接工具中的一种。
但众所周知,我们现在正处于后新冠肺炎时代的“新常态”,许多人的大部分工作都是在家里完成的。Check P......
Hole-y Guacamole! Fixing critical vulnerabilities in Apache's remote desktop(blog.checkpoint.com)
2020-7-3 1:59就在短短几个月前,对于我们中的大多数人来说,日常工作包括去办公室操作公司的计算机,或者直接将笔记本电脑插入公司网络。有时,我们在远程工作时需要特殊的网络访问权限,无论是通过VPN还是使用众多远程连接工具中的一种。
但众所周知,我们现在正处于后新冠肺炎时代的“新常态”,许多人的大部分工作都是在家里完成的。Check P......
A vulnerability in some bitcoin wallets leads to double spend attacks and inflated balance (techcrunch.com)
2020-7-2 14:4
名为BigSpender的漏洞可能会导致您钱包上的余额不正确,因为您的总余额中会计入未经确认的交易。攻击者可能会在确认事务之前撤销该事务,这可能会导致一些混乱。
即使您不熟悉加密货币,这种类型的攻击在点对点市场上也很流行,比如Craigslist。比方说你想卖一部手机。有人可能会告诉你,他们想买你的设备,然后给你发一......
2020-7-1 23:16
安全研究人员Anurag Sen发现了一个属于该公司的暴露数据库,其中包含数千名LogBox用户的账户访问令牌,如果使用该令牌,将授予对用户账户的完全访问权限,而不需要他们的密码,Sen说。
森向公司报告了暴露的数据库,但没有得到回复。TechCrunch联系后,数据库被拉离线。
当我们联系到LogBox董事尼尔·戈......
2020-7-1 4:37
美国联邦政府官员周二警告称,在一个资源充足的政府的支持下,外国黑客可能会利用Palo Alto Networks销售的一台主机以及VPN和防火墙产品中的一个关键漏洞进行攻击。
这家安全供应商在一篇帖子中表示,在最糟糕的情况下,该漏洞允许未经授权的人以管理员身份登录网络。有了这些特权,攻击者就可以安装他们选择的软件或执......
US government agency warns of fresh Palo Alto VPN security flaw (techcrunch.com)
2020-6-30 23:22
这是来自美国网络司令部的警告,美国网络司令部是国防部的一个部门。国防部和美国国家安全局的前姊妹机构,美国国家安全局表示,企业应该尽快修补他们易受攻击的设备。
请立即修补所有受CVE-2020-2021影响的设备,特别是在使用SAML的情况下。外国APT可能很快就会尝试利用。我们感谢@PaloAltoNtwks对此漏洞......
2020-6-25 17:50
德国支付公司Wirecard表示,在披露其账户中丢失的20多亿美元后,将启动破产程序。该公司股票交易暂停。
德国金融科技公司Wirecard周四宣布,由于本周早些时候导致其前首席执行官被捕的会计丑闻,该公司将申请破产。
该公司表示,由于迫在眉睫的破产和债务,它正在提交申请。它将在慕尼黑的一家地区法院提交申请。
马库斯......
Sony will now pay researchers $50,000+ for critical PS4 bugs (techcrunch.com)
2020-6-25 13:12
今天早上,索尼宣布将向公众开放漏洞赏金计划,并将为新发现的影响PlayStation4或其在线PlayStation网络的漏洞和漏洞付费。
索尼非常明确地说明了他们正在寻找的是哪种漏洞:任何攻击当前和/或测试版的“PlayStation4系统、操作系统、附件”的漏洞,或者影响少数几个PlayStation网络域/AP......