“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源
“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源 原创 腾讯科恩实验室 腾讯科恩实验室 2022-04-20 14:10 引言 为提升静态分析在二进制文件漏洞检测领域效率和可扩展性,科恩孵化并开源二进制文件静态漏洞分析工具BinAbsInspector项目。 代码仓库地址: https://github.com/KeenSecurityLab/BinAbsInspector (⬇
继续阅读月度归档: 2022 年 4 月
【安全风险通告】Oracle多个组件漏洞安全风险通告
【安全风险通告】Oracle多个组件漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-04-20 14:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Oracle 官方发布了 2022 年 4 月的关键安全补丁集合更新 CPU ( CriticalPatch Update ),修复了多个存在于 WebLogic 中的漏洞
继续阅读2021年零日漏洞在野利用状况:数量创纪录,传统漏洞为主
2021年零日漏洞在野利用状况:数量创纪录,传统漏洞为主 安全内参编译 安全内参 2022-04-20 12:06 关注我们 带你读懂网络安全 谷歌Project Zero披露,2021年共追踪到58起“在野”发生的零日漏洞利用案例; 从技术角度来看,其中仅有2个“非常新颖”的漏洞,其余56个基本属于“以往已公开漏洞的翻版”; Project Zero希望,2022年能有更多厂商通过安全公告披露漏
继续阅读【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘
【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘 原创 zsx 安全客 2022-04-20 10:02 今年的HITCON打完了,沉迷写前端搞Nextjs骚操作的我成功爆0(雾),不想写前端了.jpg。 先跑个题。 HITCON 2016上,orange 出了一道PHP反序列化。 HITCON 2017上,orange 出了一道Phar + PHP反序列化。 HIT
继续阅读开源工具 PrivateBin 修复XSS 漏洞
开源工具 PrivateBin 修复XSS 漏洞 Emma Woollacott 代码卫士 2022-04-19 18:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器“不知晓所粘贴数据”。这款开源工具中存在一个跨站点脚本 (XSS) 漏洞。
继续阅读NSO Group 被指利用零点击 iPhone 0day
NSO Group 被指利用零点击 iPhone 0day Sergiu Gatlan 代码卫士 2022-04-19 18:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 公民实验室的数字威胁研究员发现,一个新的零点击 iMessage exploit 被用于在加拿大政治家、记者和活动家的 iPhone 上安装 NSO Group 间谍软件。 这个iOS 0day 缺陷被命名为 “H
继续阅读【漏洞预警】7-zip命令执行
【漏洞预警】7-zip命令执行 夜影实验室 锦行科技 2022-04-19 14:27 漏洞名称:7-Zip 命令执行 影响范围:v21.07 漏洞编号:CVE-2022-29072 漏洞类型:命令执行或提升权限 利用条件:无 综合评价: <利用难度>:低 <威胁等级>: 高危 能获取服务器权限 #1 漏洞描述 Windows平台 7-Zip(v21.07) 允许将扩展名为
继续阅读由PolicyKit和DirtyPipe漏洞浅谈安全操作系统的意义
由PolicyKit和DirtyPipe漏洞浅谈安全操作系统的意义 关键基础设施安全应急响应中心 2022-04-19 14:19 作者 | 长扬科技信创研究院 1、前言 从去年爆出来的PolKit(CVE-2021-4034)漏洞和今年年初爆出来的DirtyPipe(CVE-2022-0847),能够对Linux操作系统带来十分严重的安全威胁。其中,PolKit漏洞是由于软件层的错误代码编写导致
继续阅读【技术分享】Visual Studio Code本地代码执行漏洞(CVE-2019-1414)
【技术分享】Visual Studio Code本地代码执行漏洞(CVE-2019-1414) 原创 Slash 安全客 2022-04-19 10:00 背景 微软在2015年推出的跨平台开源编辑器Visual Studio Code(VS Code),凭借其开箱即用的便捷以及丰富的插件社区,迅速吸引了大批用户。在最新的PYPL IDE 排行榜 中,VS Code已位列第六,并且仍处于上升趋势。
继续阅读VMware Cloud Director 严重漏洞可使整个云基础设施遭接管
VMware Cloud Director 严重漏洞可使整个云基础设施遭接管 Bill Toulas 代码卫士 2022-04-18 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周四,VMWare 公司发布更新,修复了位于 Cloud Director 产品中的一个严重漏洞 (CVE-2022-22966),它可被用于发动远程代码执行攻击。该漏洞评分为9.1,由研究员 Ja
继续阅读【安全热点周报】第241期:微软4月补丁日发布了120个漏洞的补丁程序
【安全热点周报】第241期:微软4月补丁日发布了120个漏洞的补丁程序 奇安信 CERT 2022-04-18 18:25
继续阅读上周关注度较高的产品安全漏洞(20220411-20220417)
上周关注度较高的产品安全漏洞(20220411-20220417) 原创 CNVD CNVD漏洞平台 2022-04-18 17:59 一、境外厂商产品漏洞 1、 Oracle MySQL存在逻辑缺陷漏洞 MySQL是一个关系型数据库管理系统。Oracle MySQL存在逻辑缺陷漏洞,攻击者可利用该漏洞获取明文密码。 参考链接: https://www.cnvd.org.cn/flaw/show/
继续阅读【技术干货】CVE-2022-1162 gitlab 硬编码漏洞
【技术干货】CVE-2022-1162 gitlab 硬编码漏洞 原创 PortalLab实验室 星阑科技 2022-04-18 13:19 arp @PortalLab实验室 漏洞描述 GitLab是一个用于仓库管理系统的开源项目,使用 Git 作为代码管理工具,可通过 Web 界面访问公开或私人项目。 在GitLab CE/EE版本14.7(14.7.7之前)、14.8(14.8.5之前)和1
继续阅读从Spring RCE 0day(CVE-2022-22965)看黑产利用速度
从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 原创 零壹实验室 网络安全研究宅基地 2022-04-18 13:00 点击蓝字关注我们**** 从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 by 零壹实验室- 01 前言 2022年3月29号晚8点左右,关于“Spring RCE漏洞”的相关舆情,在互联网微博、微信等朋友圈传播开来
继续阅读从Spring RCE 0day(CVE-2022-22965)看黑产利用速度
从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 原创 零壹实验室 网络安全研究宅基地 2022-04-18 13:00 点击蓝字关注我们**** 从Spring RCE 0day(CVE-2022-22965)看黑产利用速度 by 零壹实验室- 01 前言 2022年3月29号晚8点左右,关于“Spring RCE漏洞”的相关舆情,在互联网微博、微信等朋友圈传播开来
继续阅读