深度解读 | 姜文《让子弹飞》

钱学森回国真相

你并不了解真实的台湾

戳破“钱学森学成回国”神话的意义所在

魏杰:中国经济今明两年深度研判

自由微信安卓APP发布,立即下载! | 提交文章网址

代码卫士

苹果紧急修复影响 Mac 和 Apple Watch 的 0day

设备。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读苹果决定不修复
5月17日 下午 6:46

新瓶装旧酒:微软修复3个月后,SharePoint RCE 漏洞重现

的站点创建特性上传恶意软件并在服务器上执行。很多编程语言使用序列化和反序列化方法,将复杂对象传递给服务器和进程之间。如果反序列化进程不安全,则可被攻击者用于发送恶意对象并在服务器上运行。研究员
5月17日 下午 6:46

黑客在被黑的MS Exchange Server 上部署 IceApple 利用框架

值得关注的地方在于,它是一个内存中的框架,说明威胁行动者试图在维护较低的取证指纹并逃避检测,而反过来它又具有长期情报收集任务的所有特征。虽然截至目前所观察到的入侵活动包括该恶意软件被加载到微软
5月13日 下午 7:43

Zyxel 悄悄修复防火墙产品中的严重RCE漏洞

公司证实了该报告以及缺陷的有效性,承诺在2022年6月发布修复安全更新,而实际上该公司在2022年4月28日就发布了补丁且并未提供安全公告、技术详情或缓解指南。可能很快会遭利用今天,Rapid
5月13日 下午 7:43

200多款惠普设备存在两个高危的固件覆写漏洞

BIOS。这意味着攻击者能够植入无法被反病毒工具删除的持久性恶意软件,甚至重装操作系统也无济于事。最后,值得强调的是,攻击者需要让绕过某些机型的缓解措施才能使exploit
5月12日 下午 5:34

思科修复严重的虚拟机逃逸漏洞,可使主机遭接管

虚拟机并逃逸,获得对底层主机的越权root访问权限。思科表示,“攻击者可从虚拟机发送API调用,利用该漏洞。成功利用可导致攻击者完全攻陷NFVIS主机。”补丁已发布思科已发布补丁。Sevco
5月9日 下午 6:00

谈谈现代软件供应链的发展及攻击应对方法

工具有助于提前且在整个软件开发进程中集成安全测试,从而缓解被拉取到应用中的开源程序包风险(包括间接依赖)。SCA工具还能检测开源软件许可证,帮助组织机构确保合规法律要求。静态应用安全测试
5月9日 下午 6:00

和GitHub 打官司?热门包 SheetJS出走npmjs.com转向自有CDN

做出如此大胆的决策可能只是和二者之间将要展开的官司有关,“我猜测,他们不想投入一分钱的开发人员时间来帮助和自己打官司的企业。”Reddit
5月7日 下午 5:10

美国商务部机构建议这样生成软件供应链 “身份证”

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
5月7日 下午 5:10

严重漏洞 TLStorm 2.0 影响大量 Aruba 和 Avaya 网络交换机

表示,“这些研究结果意义重大,因为它们说明网络基础设施本身面临风险且可遭攻击者利用,即网络分段本身作为安全措施而言是不够的。“强烈建议部署受影响
5月5日 下午 7:06

F5 BIG-IP 中存在严重的RCE漏洞

NGINX原文链接https://thehackernews.com/2022/05/critical-rce-bug-reported-in-dotcms.html题图:Pixabay
5月5日 下午 7:06

价值4万美元的微软Azure漏洞 ExtraReplica,没有CVE编号

区域创建受攻击者控制的数据库。6、在受攻击者控制的实例上利用漏洞#1进行提权并获得代码执行能力。7、扫描子网上上的目标实例并利用漏洞#2获得读取权限。微软指出,在修复方案退出之前,使用受影响
4月29日 下午 6:55

开源组件 Netatalk 存在多个严重漏洞,Synology 多款产品受影响

公司并未提供安全更新的预计发布日期,但去年该厂商表示一般而言会在发布安全公告后的90天内向受影响软件发布补丁。该公司还表示,这些
4月29日 下午 6:55

五眼联盟发布2021年最常遭利用的15个漏洞

协作发布2020年最常遭利用的漏洞。2021年11月,MITRE还共享了2021年影响硬件的最危险的编程、涉及和架构安全缺陷清单,以及过去两年中25个最常见和最危险的软件弱点。CISA
4月28日 下午 6:16

NPM逻辑缺陷可用于分发恶意包,触发供应链攻击

平台上发现了另外两个和双因素认证机制相关的缺陷,它们可被滥用于账户接管并发布恶意程序包,之后他们发现了本文提到的逻辑缺陷。研究人员指出,“主要问题在于,任何NPM
4月27日 下午 6:00

Nimbuspwn:微软在Linux 操作系统中发现了多个提权缺陷

中,它是网络管理系统服务的守护进程程序,旨在发出网络状态变更。具体而言,它们和一个目录遍历(CVE-2022-29799)、符号连接(即系统连接)竞争以及TOCTOU
4月27日 下午 6:00

第三方XML解析器Expat有多个严重漏洞,IBM、Linux等纷纷打补丁

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
4月26日 下午 5:15

《软件供应商手册:SBOM的生成和提供》解读

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
4月26日 下午 5:15

美国政府为六个大学团队拨款1200万美元开发网络防御工具

宣布将为六个大学团队拨款1200万美元,开发防御和缓解工具,保护美国能源交付系统的网络安全。由这六家大学牵头的研究、开发和演示
4月25日 下午 6:15

哥斯达黎加共和国政府系统遭勒索攻击,引发混乱

指出,“某些边境已经出现延迟,因为他们在进行人工处理。我们已经要求政府采取多项措施如延长时间,使其处理进出口。”他表示,一般情况下哥斯达黎加日出口产品额平均为3800万美元。Recorded
4月25日 下午 6:15

SmartPTT、SmartICS 工业产品存在多个严重漏洞,影响全球90国

生产的产品因共享代码,也受某些漏洞影响。受影响产品遍布90个国家的2000多家组织机构,其中美国也在受影响范围之列,其网络安全和基础设施安全局
4月25日 下午 6:15

Atlassian 修复严重的 Jira 认证绕过漏洞

版本之一且使用易受攻击的配置,则这些应用也受影响。强烈建议用户更新至任一已修复版本以缓解潜在的利用尝试。如无法立即打补丁则建议将受影响应用更新至已修复版本或立即禁用。值得注意的是,Atlassian
4月24日 下午 5:46

Meta 推出完整性检查绕过漏洞奖励计划

表示,这次漏洞奖励计划扩展是为了吸引研究人员关注可被攻击者用于绕过特定完整性检查而限制滥用行为的安全问题。这类检查包括针对特定业务管理者账户的强制性双因素认证机制、Facebook
4月24日 下午 5:46

聊天记录曝光,T-Mobile 证实内部工具和源代码遭 Lapsus$ 访问

License本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士
4月24日 下午 5:46

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
4月22日 下午 6:26

Okta 结束Lapsus$ 供应链事件调查,称将加强第三方管控

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
4月21日 下午 6:42

开源的 Snort 入侵检测系统中存在高危漏洞

,CVSS评分10分原文链接https://thehackernews.com/2022/04/researchers-detail-bug-that-could.html题图:Pixabay
4月21日 下午 6:42

听,58个在野0day,在说什么?

的使用增加。另外分析发现,相比以往,攻击者的方法论在本质上并无区别。攻击者使用同样的漏洞模式和利用技术,并查找同样的攻击面。让0day更难以遁形的方法是让攻击者无法使用公开的方法和技术开发0day
4月20日 下午 6:15

NSO Group 被指利用零点击 iPhone 0day

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士公民实验室的数字威胁研究员发现,一个新的零点击
4月19日 下午 6:54

开源工具 PrivateBin 修复XSS 漏洞

在创建内容安全策略方面做得很好,从而缓解了该漏洞。如果用户使用的浏览器不遵守该内容安全策略或编辑默认内容安全策略的站点,则会触发该漏洞。”然而,Nethemba
4月19日 下午 6:54

GitHub 突然封禁受制裁俄罗斯实体的开发人员账户

GitHub,因此这些行为并非意外。然而,封禁并未托管任何和受制裁实体相关联内容的数十名开发人员的个人账户,令人惊讶。GitHub上被封禁的个人账户上的内容遭擦除,所有仓库立即不可访问,issue
4月18日 下午 6:28

微软提高 Microsoft 365 的漏洞奖励

将数据元素泄露给错误会话)20.00%“混淆”漏洞可用于实际攻击中,使攻击者绕过认证,访问资源(CWE-918
4月15日 下午 7:01

多个漏洞可使Palo Alto Networks 产品遭禁用

Agent。研究人员发现,具有管理权限的本地攻击者可修改注册密钥,使端点暴露到攻击中,从而禁用该代理。该产品的反篡改特性无法阻止该方法的使用。Mr.d0x
4月15日 下午 7:01

Git 存在多个漏洞,开发人员应及时更新

发布的安全公告可知,它和第一个缺陷一样,要发动潜在攻击,首先需要某种级别的受陷访问权限。攻击需要在目标系统上植入恶意
4月14日 下午 6:47

速修复!这个严重的 Apache Struts RCE 漏洞补丁不完整

数据泄露事件攻陷了1.43亿用户数据,黑客窃取了他们的姓名、社保号码、出生日期、地址以及在某些情况下某些人员的驾驶证。威胁行动者还访问了约20.9万名美国用户的信用卡号。Equifax
4月14日 下午 6:47

惠普Teradici PCoIP 受OpenSSL 漏洞影响,波及1500万个端点

产品部署在1500万个端点中,为政府机构、军队、游戏开发企业、广播企业、新闻组织机构等提供支持。严重的整数溢出漏洞惠普发布安全公告,披露了10个漏洞,其中3个是严重等级(CVSS
4月13日 下午 6:00

微软4月补丁星期二修复119个漏洞,含2个0day

漏洞修复2个0day,其中1个已遭活跃利用本月星期二共修复了2个0day漏洞,其中一个已遭公开,另外一个已遭活跃利用。微软将已遭公开或活跃利用但上不存在官方修复方案的漏洞定义为0day
4月13日 下午 6:00

NPM流行包再起波澜:维护人员对俄罗斯用户发特定消息,谁来保证开源可信?

版本发布却招来开发人员的强烈批评,有人认为它是对整个开源社区可信性的“巨大损害”。而“event-source-polyfill”则可能引发不同的反应。一名HackerNews
4月12日 下午 6:43

热门Ruby 库中存在严重的命令注入漏洞

Ruby库中存在一个命令注入漏洞。命令注入漏洞可使攻击者在运行应用程序的服务器上执行任意操作系统命令,一般可导致该应用程序及其所有数据遭完全攻陷。这个Ruby
4月11日 下午 6:35

Spring4Shell 漏洞已遭Mirai 僵尸网络利用

僵尸网络中。很可能僵尸网络操纵人员现在开始实验可产生巨大影响的其它缺陷了,如Spring4Shell,以吸纳新的设备。鉴于这些攻击类型可能导致勒索软件部署和数据泄露事件,因此,Mirai
4月11日 下午 6:35

谷歌和GitHub 联手提出新方法,提振软件供应链安全

级别,确保客户的工件是可信且真实的。SLSA(软件工件的供应链级别)框架旨在通过赋能用户将软件最终版本追溯到源代码的方式,改进项目的完整性。而这一新方法的目标是实现SLSA
4月8日 下午 6:00

谷歌 Nest 和 Fitbit 漏洞奖励翻番

5。只有尚未被谷歌其它漏洞奖励计划覆盖的漏洞才适用于该漏洞奖励计划。这份新的漏洞奖励计划将持续6个月的时间。另外,谷歌将为在2021年提交的Nest
4月7日 下午 6:58

微软将本地版Exchange、SharePoint和Skype 纳入漏洞奖励计划

移动应用纳入漏洞奖励计划,最高奖金3万美元去年微软颁发1360万美元奖励,中国提交的漏洞报告数量位列前三强微软WIP漏洞奖励计划新增基于攻击场景的奖励类别,最高$10万微软推出
4月7日 下午 6:58

苹果决定不修复 Big Sur 和 Catalina 中的这两个0day

Sur,使其易受攻击。另外也不清楚之后是否会最终推出补丁(苹果公司或许已计划如此做或迫于公众压力)。”和往常一样,苹果公司并未在安全公告中提供任何相关详情或妥协指标。Intego
4月7日 下午 6:58

FIN7 正在转向密码重置和软件供应链攻击

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
4月6日 下午 5:56

横河电机修复多个工控产品漏洞,可用于破坏和操纵物理进程

条件使其不可用。他指出,“攻击者可利用这些问题影响控制和视图丢失。根据配置的不同,攻击者可操纵物理进程控制。”横河电机已为受影响产品发布补丁和缓解措施。然而,CENTUM
4月6日 下午 5:56

PHP包管理器PEAR 中爆多个缺陷可发动供应链攻击,已潜伏15年

指出,这些缺陷由安全研究员而非攻击者发现是“幸运逃脱”,因为“PEAR仓库遭攻陷,可导致攻击者劫持托管在平台上的任意包”并公开恶意发布。需最少的技术专业知识自PHP包管理器
4月6日 下午 5:56

GitLab 严重漏洞可用于接管用户账户

版本是早于14,7,7的14,7版本、早于14.8.5的14.8版本以及早于14.9.2的14.9版本。该漏洞可用于接管用户账户。GitLab
4月2日 下午 6:33

多个Wyze 摄像头漏洞可导致攻击者接管设备并访问视频

和SD卡内容未认证访问(无CVE)有关。成功利用第一个漏洞可导致外部攻击者完全控制设备,包括禁用SD卡录音、开启/关闭摄像头等,还可以结合利用第二个漏洞查看视频和视频内容。罗马尼亚网络安全公司
4月2日 下午 6:33

堪比“震网”:罗克韦尔PLC严重漏洞可导致攻击者在系统中植入恶意代码

解释称,“利用这两个漏洞的结果是一样的:工程师认为非恶意代码运行在PLC上;同时,与之完全不同的且可能是恶意性质的代码在PLC上执行。”CISA
4月2日 下午 6:33