#漏洞

在对WWDC 2020进行了华丽的展示之后，苹果现在公布了有关其一些产品即将推出的一些新功能的更多细节。 虽然Safari在WWDC上没有得到太多的关注，但定于今年秋天晚些时候与iOS 14和MacOS11一起发布的Safari 14是一个功能丰富的版本。 最大也是最重要的新增功能是对WebExtensions的支持......

如果你一定要遭受数据丢失的痛苦，那么至少要确保你从这次经历中收集了一个好故事！最近，我一直喜欢通过玩复古的软件和硬件来保持我内在的工程师的敏锐。我对BBC Micro的软盘驱动器和老式软盘保护特别感兴趣。BBC Micro有两个不同的流行软驱控制器：较旧的Intel8271和较新的Western Digital 17......

研究人员说，设备固件的网络服务器中的一个未打补丁的漏洞为攻击者提供了root权限。 他们说，研究人员在Netkit路由器的固件中发现了一个未打补丁的零日漏洞，使79个设备型号面临完全接管的风险。 根据两份独立的报告，该漏洞是固件的httpd网络服务器中存在的一个内存安全问题，使得攻击者能够绕过受影响的Netkit路由......

路透旧金山8月23日电-Awake Security的研究人员告诉路透，一项新发现的间谍软件努力通过下载3,200万次谷歌市场领先的Chrome网络浏览器的扩展来攻击用户，突显出科技行业未能保护浏览器，因为浏览器更多地用于电子邮件、工资单和其他敏感功能。 Alphabet Inc的谷歌(GOOGL.O)表示，在上月接......

路透旧金山8月23日电-Awake Security的研究人员告诉路透，一项新发现的间谍软件努力通过下载3,200万次谷歌市场领先的Chrome网络浏览器的扩展来攻击用户，突显出科技行业未能保护浏览器，因为浏览器更多地用于电子邮件、工资单和其他敏感功能。 Alphabet Inc的谷歌(GOOGL.O)表示，在上月接......

Ripple20的故事始于2019年9月，当时我们决定开始对Treck TCP/IP库进行一些兼职研究。在几个月内，我们意识到有一些关于潜在漏洞的令人不安的数据，并联系了Treck分享我们的信息，并启动了协调的漏洞披露(CVD)过程。我们从一开始就知道，Treck与许多不同的供应商合作，有可能影响大量用户。然而，我们......

网络安全专家今天披露了一个90年代设计的小型库中的19个漏洞，在过去的20多年里，该库已被广泛使用并集成到无数的企业级和消费级产品中。 受影响的产品包括智能家居设备、电网设备、医疗保健系统、工业设备、运输系统、打印机、路由器、移动/卫星通信设备、数据中心设备、商用飞机设备、各种企业解决方案等。 专家们现在担心，由于复......

NETGEAR R7000经过一天的辛勤研究，放松、放松、轻松地做一些事情，这是一件很有趣的事情。虽然与10-15年前相比，现代软件开发流程极大地提高了商业软件的质量，但消费者网络设备在很大程度上被甩在了后面。因此，当需要一些快速乐趣和良好的信心提升时，我喜欢分析SOHO设备。本博客描述了一个这样的会话，即审核Net......

一位研究人员说，数百万路由器、打印机和其他设备可能会被利用通用即插即用网络协议中的安全漏洞的新攻击远程征用。 此漏洞攻击名为CallStranger，在强制大量设备参与分布式拒绝服务(或DDoS)攻击时最有用，这些攻击会用垃圾通信量使第三方目标不堪重负。CallStranger还可以用来渗透网络内部的数据，即使它们受......

最近，我发现自己希望有一份在线参考，提供近年来每个公开的iOS内核漏洞利用的高级利用流的简要摘要；由于没有这样的文档，我决定在这里创建它。 本文总结了针对IOS 10到IOS 13的本地应用程序上下文中的原始IOS内核攻击，重点介绍了从漏洞授予的初始原语到内核读/写的高级利用漏洞流。在这篇文章的最后，我们将简要介绍I......

细节仍在公布中，但英特尔-SA-00320，也就是。串扰是最新的英特尔侧通道CPU漏洞。作为英特尔本月第二个星期二报告期的一部分，今天披露了这个最新的旁路漏洞以及其他几个安全问题。英特尔-SA-00320/串扰是一个特殊的寄存器缓冲区数据采样问题。这份白皮书似乎还没有由独立研究人员发布，英特尔-SA-00320深度潜......

思科披露了影响使用其IOS XE和IOS软件的路由器设备的四个重大安全缺陷。 这四个严重缺陷是思科6月3日针对iOS XE和iOS网络软件的半年度咨询捆绑包的一部分，其中包括描述25个漏洞的23份咨询捆绑包。 10分9.8的严重漏洞CVE-2020-3227涉及Cisco IOS XE软件中Cisco IOx应用托管......

超过一半的员工横跨四个亚太市场都在用他们的个人执行工作任务的设备在家办公时，即使他们相信这些设备是..。 网上请愿呼吁公众拒绝使用可穿戴设备的新冠肺炎的联系方式追踪已经获得一万七千五百多个签名，对于关心的新加坡居民来说..。 这些新工具意味着帮助开发商密码管理器和苹果希望这些工具能降低INS

4月29日星期三，Thread开始经历我们的主要后端服务的部分中断。我们将问题追溯到存在格式错误的memcached密钥，并在thread.com上更正了该问题。一直以来，我们怀疑这可能会在一些使用memcached的Djangosite上被利用，以导致私人数据泄露-无论是内部服务数据还是关于其他用户的数据。Thre......

Cisco Talos的一名成员发现了此漏洞。作者：Jon Munshaw。Cisco Talos最近在流行的Zoom视频聊天应用程序中发现了两个漏洞，可让恶意用户在受害者的机器上执行任意代码。在COVID-19大流行期间，视频会议软件的受欢迎程度飙升，因为全球各地的个人都被鼓励在家工作，避免与朋友和家人进行密切的面......

当苹果在2019年6月的全球开发者大会上宣布登录苹果时，它称这是一种更私密的方式，可以简单、快速地登录应用程序和网站。这个想法过去是，现在仍然是一个好主意：用一个安全的身份验证系统取代可以用来收集个人数据的社交登录帐户，该系统得到了苹果承诺不会分析用户或他们的应用程序活动的支持。 当时获得大量关注的一个优点是，用户可......

ST工程与国立大学新加坡的所有人都在寻找利用量子密码学构建网络加密的技术工具，所以这些将会是做好降低安全性的准备..。 臭名昭著的信息窃取特洛伊木马是目前最猖獗的恶意软件形式之一，并且再次演变。 起诉该公司的律师现在可以接触到这份报告，为潜在的审判做准备。 直到最近，印第安人才被迫下载的市民恐惧中的Aarogya S......

学者们说，他们在Linux、MacOS、Windows和FreeBSD等操作系统使用的USB驱动程序堆栈中发现了26个新漏洞。 由普渡大学(Purdue University)的惠鹏(音译)和瑞士洛桑联邦理工学院的马蒂亚斯·佩耶(Mathias Payer)组成的研究团队表示，所有的漏洞都是通过他们创建的一种名为US......

研究人员在iOS上发现了两个零日漏洞，影响了iPhone和iPad上的邮件应用程序。苹果公司的一位发言人告诉路透社，即将到来的软件更新中将包括一个修复程序。 ZecOps的研究人员在邮件应用程序中发现了两个零日漏洞，从而危及了iOS的安全。后者并不是微不足道的，因为自2018年以来，它们一直被一家APT运营商利用。此......

挪威一家信息安全公司发现了一个新的Android漏洞，他们将其命名为Strandhogg2.0。安全公司Promon表示，Strandhogg&34；是一种古老的北欧海岸线突袭和绑架战略，今天的漏洞是2019年发现的类似战略的邪恶孪生兄弟。 最初的Strandhogg使用名为taskAffity的Android功能劫......

只要苹果保持对iPhone的“围墙花园”策略，只允许它批准的应用程序和定制，黑客们就一直试图从他们所说的“监狱”中越狱，因此有了“越狱”的名字。黑客通过在iOS中发现一个以前未披露的漏洞来做到这一点，该漏洞突破了苹果为阻止访问底层软件而设置的许多限制中的一些。苹果公司表示，这么做是为了安全。但越狱者表示，突破这些限制......

我们在Check Point Research工作的每个研究项目的目标之一是深入了解软件是如何工作的：它们包含哪些组件？他们脆弱吗？攻击者如何利用这些漏洞？更重要的是，我们如何防范此类攻击？ 在我们最新的研究中，我们创建了一种名为“安全链接”的安全机制，以保护malloc()的单链表不被攻击者篡改。我们成功地向核心开......

哈钦森州长已将扩大阿肯色州的计算机科学教育作为其政府的首要任务。去年12月，他宣布成立一个计算机科学和网络安全特别工作组，以加强该州的网络安全教育。但据专家称，最近几天，州长本人与网络安全最佳实践脱节。 周五，我通知阿肯色州劳动力服务部(Arkansas Department Of Workforce Service......

到3月底，群组视频聊天应用Houseparty的情况看起来很好，因为被隔离的年轻人可能是因为Zoom无情的安全故障而望而却步，他们正在寻找一个看起来不那么企业化的平台，以便与朋友和家人保持联系。随着史诗运动会旗下的这款应用在苹果应用商店的日下载量接近15万次，Vogue滔滔不绝地说这是“你需要立即下载的隔离应用”。 ......

又一天，又发现了漏洞。刚刚发现了一种利用DNS递归解析器操作方式的新恶意攻击。 具体地说，当收到包含名称服务器但没有对应IP地址的NS引用响应时，该攻击会利用解析程序的工作方式。用外行的话说，这种被称为NXNSAttack的新攻击会影响递归DNS服务器和DNS委派过程。 首先，什么是递归DNS服务器？它是将DNS查询......

在怀特岛试行的冠状病毒接触追踪应用程序中已经发现了广泛的安全漏洞。 参与其中的安全研究人员警告说，这些问题会对用户的隐私构成风险，并可能被滥用来防止传染警报的发送。 GCHQ的国家网络安全中心(NCSC)告诉BBC，它已经意识到了大多数提出的问题，并正在解决这些问题。 具体地说，他们呼吁采取新的法律保护措施，以防止官......

基于蓝牙无线协议中的一个新的安全漏洞，最近披露了一种新型的恶意攻击。 该攻击被称为BIAS(偏向模仿攻击)，并被赋予CVE2020-10135标识符，它会影响蓝牙协议的经典版本。这意味着依赖蓝牙Classic的智能手机、平板电脑、笔记本电脑、智能物联网设备等设备都会受到攻击。 是谁发现了这个漏洞？洛桑联邦理工学院(E......

漏洞收购公司Zerodium本周宣布，由于过剩，它不再购买某些类型的iOS漏洞，该公司预计价格在不久的将来会下降。 Zerodium在Twitter上表示，在接下来的2-3个月内，它将不再获得iOS本地权限提升、Safari远程代码执行和沙盒逃逸漏洞，“因为与这些向量相关的提交数量很高”。 该公司表示，预计不提供持久......

Chrome Galvanizer是一款生成Chrome企业策略的工具，可帮助用户加强浏览器安全性。目前，主要支持生成策略，以限制来自明确标记为敏感的站点(例如，您的电子邮件、银行、加密权限和其他站点)的扩展访问。这允许您阻止扩展访问这些特定的站点，即使您在第一次安装它们时已经授予了访问它们的权限。 这可以防止通过反......

Crytic是我们的Github应用程序，用于发现智能合同缺陷，在某种程度上是一件大事：它可以在没有人工干预的情况下检测安全问题，在你工作的同时提供持续的保证，并在部署之前保护你的代码库。 Crytic发现了许多其他工具无法检测到的错误，包括一些不广为人知的错误。目前，Crytic有90多个探测器，我们正在不断增加新......