月度归档: 2023 年 2 月

Apple产品多个漏洞安全风险通告

发布于 作者:

Apple产品多个漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2023-02-14 12:26 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 WebKit 是一个开源的浏览器引擎,主要用于Safari,Dashboard,Mail和其他一些Mac OS X程序。 WebKit内核在手机上的应用十分广泛,例如Google的手机And

继续阅读

雷神众测漏洞周报2023.02.06-2023.02.12

发布于 作者:

雷神众测漏洞周报2023.02.06-2023.02.12 雷神众测 雷神众测 2023-02-13 15:11 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减

继续阅读

带你一路狂飙!快速掌握PHP的调试技巧及反序列化EXP编写

发布于 作者:

带你一路狂飙!快速掌握PHP的调试技巧及反序列化EXP编写 看雪课程 看雪学苑 2023-02-10 17:59 代码审计顾名思义就是对源代码进行检查,寻找代码中的bug和安全缺陷,检查PHP源代码中的缺点和错误信息,分析并找到这些问题引发的安全漏洞。 序列化就是把实体对象状态按照一定的格式写入到有序字节流,当要用到时就通过反序列化来重建对象,恢复对象状态,这样就可以很方便的存取数据和传输数据。

继续阅读

CVE-2022-34689:Windows CryptoAPI漏洞PoC公布

发布于 作者:

CVE-2022-34689:Windows CryptoAPI漏洞PoC公布 ang010ela 嘶吼专业版 2023-02-09 12:00 漏洞概述 CryptoAPI是Windows系统处理与加密相关事务的API。在证书处理方面,负责读取和分析证书来验证是否经过验证的CA。浏览器也会使用CryptoAPI用于TLS证书验证。 2022年,美国国家安全局(NSA)和国家网络安全中心(NCSC

继续阅读

遭活跃利用的GoAnyWhere MFT 0day 补丁发布

发布于 作者:

遭活跃利用的GoAnyWhere MFT 0day 补丁发布 Eduard Kovacs 代码卫士 2023-02-08 17:51 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 最近爆出的GoAnyWhere 管理文件传输 (MFT) 软件的0day 补丁已发布。大约一周前有新闻报道称该漏洞已遭活跃利用,不过目前的攻击细节尚未披露。 2月1日,Fortra(此前名称为HelpSystem

继续阅读

IBM WebSphere Application Server远程代码执行漏洞(CVE-2023-23477)安全风险通告

发布于 作者:

IBM WebSphere Application Server远程代码执行漏洞(CVE-2023-23477)安全风险通告 原创 QAX CERT 奇安信 CERT 2023-02-08 14:35 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 WebSphere 是 IBM 的软件平台。 它包含了编写、运行和监视全天候的工业强度的随需应变 W

继续阅读

[调研]错误配置和漏洞成云安全最大风险

发布于 作者:

[调研]错误配置和漏洞成云安全最大风险 nana 数世咨询 2023-02-06 23:30 Sysdig的报告指出,软件供应链持续引入的错误配置和漏洞仍是两个最大的云安全风险。  尽管零信任是当务之急,数据却显示,零信任架构的基础——最小访问权限,并未得到妥善执行。报告指出,几乎90%的授权未被使用,给盗取凭证的攻击者留下了很多机会。  以上数据出自对Sysdig客户日常运行的700多万个容器的

继续阅读

【安全圈】VMware已修复的堆溢出漏洞被勒索软件利用攻击ESXi服务器

发布于 作者:

【安全圈】VMware已修复的堆溢出漏洞被勒索软件利用攻击ESXi服务器 安全圈 2023-02-05 19:00 关键词 VMware   ESXi 最近的网络安全观察中,VMware ESXi 管理程序是新一波黑客攻击的目标,旨在在受感染的系统上部署勒索软件。这些攻击活动利用了VMware的 CVE-2021-21974 漏洞,该漏洞在VMware官方的公告描述为 OpenSLP 堆溢出漏洞,

继续阅读

热门开源Dompdf PHP 库中存在严重漏洞

发布于 作者:

热门开源Dompdf PHP 库中存在严重漏洞 DO SON 代码卫士 2023-02-03 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的Dompdf PHP库中存在一个高危漏洞 (CVE-2023-23924),如遭利用,可导致攻击者在目标服务器上远程执行代码。 开发人员 Bsweeney 在安全公告中指出,“攻击者如果能够向dompdf 提供SVG文件,则可能利用该

继续阅读

F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行

发布于 作者:

F5 BIG-IP 高危漏洞可导致拒绝服务和代码执行 Ionut Arghire 代码卫士 2023-02-03 18:13 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 F5 提醒称,BIG-IP 中存在一个高危格式化字符串漏洞 (CVE-2023-22374),可导致认证攻击者触发拒绝服务条件并可能执行任意代码。 该漏洞影响一个公开的API即 iControl SOAP,该API用于赋

继续阅读

ImageMagick:隐藏在网上图像背后的漏洞

发布于 作者:

ImageMagick:隐藏在网上图像背后的漏洞 布加迪 嘶吼专业版 2023-02-03 12:00 ImageMagick是一种免费开源软件套件,用于显示、转换和编辑图像文件。它可以对200多种格式的图像文件进行读写操作,因此它在全球网站上很常见,因为我们总是需要为用户的个人资料和目录等内容处理图片。 Ocelot团队在最近的一次高级持续性威胁(APT)模拟活动中发现,ImageMagick在

继续阅读

想要深入了解各类CVE漏洞,get独立挖掘和分析漏洞的能力吗?

发布于 作者:

想要深入了解各类CVE漏洞,get独立挖掘和分析漏洞的能力吗? 看学课程 看雪学苑 2023-02-02 17:59 世界上主流软件厂商开发的软件、程序,如果被发现存在漏洞,而且有一定的影响力,那么这些漏洞信息都会被保存在一个叫做CVE的数据库中进行统一的管理。 这样一来,只要我们有某条CVE漏洞的编号,就能从CVE的官网搜索到出现漏洞的操作系统、版本号和软件等信息,从而搭建一个相同的环境,对漏洞

继续阅读

27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞

发布于 作者:

27200美元赏金!安全研究员披露Facebook、Instagram双因素身份验证漏洞 看雪学苑 看雪学苑 2023-02-02 17:59 近日,一名来自尼泊尔的安全研究员Gtm Mänôz,披露了一个影响Instagram和Facebook的双因素身份验证漏洞。在向Meta报告此漏洞后,其将一笔27200美元的赏金收入了囊中。 双因素身份验证(2FA)是目前常见的一种保护用户账户安全的手段。

继续阅读

CVE-2022-42856:iOS 0day漏洞,影响iPhone 5s等老版本iPhone和iPad

发布于 作者:

CVE-2022-42856:iOS 0day漏洞,影响iPhone 5s等老版本iPhone和iPad ang010ela 嘶吼专业版 2023-02-01 12:00 iOS 0day漏洞影响老版本iPhone和iPad,苹果已发布安全补丁。 12月13日,苹果发布安全公告修复了一个0day漏洞——CVE-2022-42856。漏洞产生的原因是苹果WebKit web浏览器浏览引擎的类型混淆(

继续阅读