利用5个0day的安卓恶意软件 Predator 内部工作原理曝光
利用5个0day的安卓恶意软件 Predator 内部工作原理曝光 DAN GOODIN 代码卫士 2023-05-29 17:50 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 思科 Talos 安全团队的研究人员发现,销往全球各国政府的智能手机恶意软件Predator可秘密记录语音通话和附近音频、从各种应用如 Signal 和 WhatsApp 中收集数据,并隐藏应用或阻止它们
继续阅读标签: 代码
雷神众测漏洞周报2023.05.22-2023.05.28
雷神众测漏洞周报2023.05.22-2023.05.28 原创 雷神众测 雷神众测 2023-05-29 15:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任
继续阅读OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26
OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26 启明星辰ADLab 关键基础设施安全应急响应中心 2023-05-29 14:37 作者 | 启明星辰ADLab 漏洞概述 OPC UA .NET Standard Stack是OPC Foundation(OPC基金会)官方维护的OPC UA协议栈的参考实现。该协议栈以.NET语言开发,包含了可移植的OPC UA
继续阅读原创 | OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26
原创 | OPC UA .NET Standard Stack 资源耗尽漏洞分析-05-26 原创 启明星辰ADLab 网络安全应急技术国家工程中心 2023-05-29 14:35 作者 | 启明星辰ADLab 漏洞概述 OPC UA .NET Standard Stack是OPC Foundation(OPC基金会)官方维护的OPC UA协议栈的参考实现。该协议栈以.NET语言开发,包含了可移
继续阅读三星漏洞正在被黑客利用
三星漏洞正在被黑客利用 walker 嘶吼专业版 2023-05-29 12:00 CISA 最近发布了一份警告,关于影响三星设备的安全问题,这个问题可以让攻击者绕过 Android 的地址空间布局随机化 (ASLR) 保护,在有针对性的攻击中绕过保护。 ASLR 是 Android 中的一项重要安全功能,它确保在设备内存中随机化加载应用程序和操作系统组件的重要内存地址。这样可以确保应用程序和操作
继续阅读【安全圈】Expo框架出现能劫持账号的OAuth重大漏洞
【安全圈】Expo框架出现能劫持账号的OAuth重大漏洞 安全圈 2023-05-28 19:01 关键词 漏洞 安全研究人员发现,用于数百线上服务的知名开发框架Expo出现可劫持账号的重大漏洞。 Expo框架主要是用于开发移动应用程序,提供一组工具、函数库及服务,让开发人员得以利用单一程序代码基础(codebase)开发iOS、Android及Web应用程序。它其中一项服务是OAuth,让开发人
继续阅读别急着修!GitLab满分漏洞(CVE-2023-2825)实际几乎无法利用
别急着修!GitLab满分漏洞(CVE-2023-2825)实际几乎无法利用 原创 微步情报局 微步在线研究响应中心 2023-05-26 18:41 01 漏洞概况**** GitLab是美国GitLab公司的一个开源的端到端软件开发平台,具有内置的版本控制、问题跟踪、代码审查、CI/CD(持续集成和持续交付)等功能。近日,微步在线漏洞团队监测到GitLab发布了安全更新,更新了一处任意文件读取
继续阅读合勤科技防火墙和VPN设备中存在多个严重漏洞
合勤科技防火墙和VPN设备中存在多个严重漏洞 Bill Toulas 代码卫士 2023-05-26 17:38 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 合勤科技公司提醒用户称,多款防火墙和VPN产品中存在两个严重漏洞,攻击者无需认证即可利用。 这两个漏洞都是缓冲区溢出漏洞,可导致拒绝服务和远程代码执行后果。合勤科技指出,“合勤科技已发布补丁,修复受多个缓冲区溢出漏洞影响的固
继续阅读泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析
泛微e-cology9 changeUserInfo信息泄漏及ofsLogin任意用户登录漏洞分析 原创 小透明 雷神众测 2023-05-26 16:25 STATEMENT 声明 由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,雷神众测及文章作者不为此承担任何责任。 雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的完整性,包括版
继续阅读CVE-2022-24521:Windows CLFS 本地提权漏洞
CVE-2022-24521:Windows CLFS 本地提权漏洞 网络安全应急技术国家工程中心 2023-05-26 14:54 CLFS是Microsoft在Windows Vista和Windows Server 2003 R2中为实现高性能而引入的日志框架,它为应用程序提供API函数来创建、存储和读取日志数据。利用此漏洞可以在计算机上执行任意代码,绕过安全限制并获得系统管理员权限。 Pa
继续阅读ChatGPT 和 Bing 的核心安全漏洞
ChatGPT 和 Bing 的核心安全漏洞 网络安全应急技术国家工程中心 2023-05-26 14:54 当微软关闭其 Bing 聊天机器人的混乱自我时, 黑暗Sydney个性的粉丝为它的损失而哀悼。但是一个网站复活了聊天机器人的一个版本以及随之而来的奇特行为。 Bring Sydney Back 由 Cristiano Giardina 创建,他是一位企业家,一直在尝试让生成式 AI 工具做
继续阅读GitLab呼吁:尽快修补高危漏洞CVE-2023-2825!
GitLab呼吁:尽快修补高危漏洞CVE-2023-2825! 安全客 2023-05-26 11:38 近日,GitLab 发布了紧急安全更新,版本 16.0.1,以解决最大严重性(CVSS v3.1 分数:10.0)路径遍历缺陷,跟踪为 CVE-2023-2825。 GitLab 是一个基于 Web 的 Git 存储库,面向需要远程管理其代码的开发团队,拥有大约 3000 万注册用户和 100
继续阅读【安全头条】网络安全厂商ESG遭遇0day漏洞攻击
【安全头条】网络安全厂商ESG遭遇0day漏洞攻击 安全客 2023-05-26 11:38 第513期 你好呀~欢迎来到“安全头条”!如果你是第一次光顾,可以先阅读站内公告了解我们哦。欢迎各位新老顾客前来拜访,在文章底部时常交流、疯狂讨论,都是小安欢迎哒~如果对本小站的内容还有更多建议,也欢迎底部提出建议哦! 1、Dark Frost 僵尸网络对游戏行业发起大规模DDoS 攻击 近日,安全专家发
继续阅读Gitlab任意文件读取漏洞CVE-2023-2825
Gitlab任意文件读取漏洞CVE-2023-2825 深瞳漏洞实验室 深信服千里目安全技术中心 2023-05-25 20:46 漏洞名称: Gitlab任意文件读取漏洞 组件名称: Gitlab 影响范围: GitLab CE 16.0.0 GitLab EE 16.0.0 漏洞类型: 任意文件读取 利用条件: 1、用户认证:是 2、前置条件:嵌套在至少五个组中的公共项目中存在附件 3、触发方
继续阅读Barracuda 邮件网关遭 0day 漏洞利用攻击
Barracuda 邮件网关遭 0day 漏洞利用攻击 Sergiu Gatlan 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯!**** 编译:代码卫士 邮件和网络安全解决方案公司 Barracuda 提醒客户称,一些邮件安全网关 (ESG) 设备上周遭攻击,目前用于攻击的 0day 漏洞已修复。 5月19日,邮件附件扫描模块中出现一个漏洞,Barracuda
继续阅读GitLab强烈建议尽快修复 CVSS 满分漏洞
GitLab强烈建议尽快修复 CVSS 满分漏洞 Bill Toulas 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 GitLab 发布紧急安全更新 16.0.1版本,修复CVSS评分为10分的路径遍历漏洞CVE-2023-2825。 GitlAB 是基于 web 的 Git 仓库,为需要远程管理代码的开发团队服务,目前已拥有约3000万名已注
继续阅读使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管
使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管 Eduard Kovacs 代码卫士 2023-05-25 17:44 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 API安全公司 Salt Security 指出,广为使用的应用开发框架 Expo 中存在多个与 OAuth 相关的漏洞,可被用于控制用户账户。 Expo 是一款开源平台,用于为移动设备和 web 开
继续阅读谷歌为其Android应用程序推出新的漏洞赏金计划
谷歌为其Android应用程序推出新的漏洞赏金计划 网络安全应急技术国家工程中心 2023-05-25 15:46 谷歌宣布了一项新的漏洞赏金计划,名为Mobile VRP(漏洞奖励计划),该计划涵盖其移动应用程序,用于报告谷歌开发或维护的第一方安卓应用程序的漏洞。 只有以下列表中的开发者发布的应用或一级列表中的应用(谷歌的Play服务、AGSA、Chrome、云、Gmail和Chrome远程桌面
继续阅读【已复现】GitLab 目录遍历漏洞(CVE-2023-2825)安全风险通告第二次更新
【已复现】GitLab 目录遍历漏洞(CVE-2023-2825)安全风险通告第二次更新 原创 QAX CERT 奇安信 CERT 2023-05-25 11:41 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 (注:奇安信CERT的漏洞深度分析报告包含此漏洞的POC及技术细节,订阅方式见文末。) 安全通告 Gitlab是目前被广泛使用的基于git的开源代
继续阅读上周关注度较高的产品安全漏洞(20230515-20230521)
上周关注度较高的产品安全漏洞(20230515-20230521) 原创 CNVD CNVD漏洞平台 2023-05-22 17:31 一、境外厂商产品漏洞 1、 Adobe Substance 3D Stager缓冲区溢出漏洞(CNVD-2023-37602) Adobe Substance 3D Stager 是美国奥多比( Adobe )公司的一个虚拟 3D 工作室。 Adobe Subst
继续阅读Apple WebKit 多个漏洞通告
Apple WebKit 多个漏洞通告 原创 360CERT 三六零CERT 2023-05-22 16:06 赶紧点击上方话题进行订阅吧! 报告编号:CERT-R-2023-170 报告来源:360CERT 报告作者:360CERT 更新日期:2023-05-19 1 漏洞简述 2023年05月19日,360CERT监测发现Apple发布了Safari的风险通告,漏洞编号为CVE-2023-32
继续阅读LayerZero发起最高1500万美元漏洞奖励计划
LayerZero发起最高1500万美元漏洞奖励计划 ang010ela 嘶吼专业版 2023-05-22 12:00 LayerZero发起1500万美元漏洞奖励计划,破加密货币领域漏洞奖励金额历史记录。 LayerZero Labs是LayerZero区块链消息协议的创建者,区块链消息协议可以在30个不同的区块链平台上进行跨链安全通信。自2022年3月项目启动以来,LayerZero已成功发起
继续阅读CVE-2023-28252在野提权漏洞样本分析
CVE-2023-28252在野提权漏洞样本分析 原创 红雨滴团队 奇安信威胁情报中心 2023-05-22 09:53 综述 卡巴斯基披露[1]该在野0day提权漏洞是一个越界写入(增量)漏洞,当目标系统试图扩展元数据块时被利用来获取system权限———Windows中最高的用户权限级别。该漏洞允许改变基础日志文件,作为回报,迫使系统将基础日志文件中的假元素视为真实元素。其通过改变指向内存中一
继续阅读【安全圈】注意!苹果又曝 0Day漏洞,iPhoneiPadMac等全部受影响
【安全圈】注意!苹果又曝 0Day漏洞,iPhoneiPadMac等全部受影响 安全圈 2023-05-20 19:00 关键词 漏洞 Bleeping Computer 网站披露,安全研究人员在 WebKit 浏览器引擎中发现了三个零日漏洞,分别被跟踪为 CVE-2023-32409、CVE-2023-28204 和 CVE-2023-3 2373,网络攻击者可以利用这些漏洞,针对 iPhone
继续阅读Linux内核漏洞分析系列——CVE-2023-0386
Linux内核漏洞分析系列——CVE-2023-0386 bwner 看雪学苑 2023-05-20 17:59 CVE ID: CVE-2023-0386 [overlay]Influence Version: (Linux 5.11 ~ 5.19 besides 5.15)Vulnerability: LPE Patch:fs/overlayfs/copy_up.c( https://git.
继续阅读【安全圈】快更新!iOS 出现严重安全漏洞:黑客可直接盗取你的通讯录
【安全圈】快更新!iOS 出现严重安全漏洞:黑客可直接盗取你的通讯录 安全圈 2023-05-19 19:01 关键词 数据安全 苹果近日发布了iOS 16 /iPad OS 15的更新,主要是为了修复一系列漏洞,提高设备的安全性。这些漏洞如果不及时修复,可能会被黑客利用,造成用户的隐私泄露或数据损失。 iOS/iPadOS 15.7.6 系统修复了两个已被证明被黑客利用的 WebKit 安全漏洞
继续阅读赋能企业安全!系统0day安全-二进制漏洞攻防(限时75折)
赋能企业安全!系统0day安全-二进制漏洞攻防(限时75折) 看雪课程 看雪学苑 2023-05-19 17:59 二进制漏洞是可执行文件(PE、ELF文件等)因编码时考虑不周,造成软件执行了非预期的功能。由于二进制漏洞大都涉及到系统层面,所以危害程度比较高。 因此,二进制漏洞的挖掘和分析就显得尤为重要,不仅能帮助安全从业者强化解决实际问题能力,掌握高效防御技能,还能及时发现业务系统内潜在的问题,
继续阅读Apple WebKit 多个高危漏洞安全风险通告
Apple WebKit 多个高危漏洞安全风险通告 奇安信 CERT 2023-05-19 16:52 奇安信CERT 致力于 第一时间 为企业级用户提供 权威 漏洞情报和 有效 解决方案。 安全通告 Apple WebKit 是由苹果公司开发的一款开源浏览器引擎,它是 Safari 浏览器的核心组件,也被 Google、Adobe 等公司使用在其产品中。 WebKit 引擎采用 C++ 语言编写
继续阅读史上最高:LayerZero 漏洞奖励计划最高赏金1500万美元
史上最高:LayerZero 漏洞奖励计划最高赏金1500万美元 Bill Toulas 代码卫士 2023-05-19 15:50 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 LayerZero Labs 在 Immunefi 平台上发布漏洞奖励计划。为严重的智能合约以及区块链漏洞开出最高为1500万美元的赏金,刷新了加密领域赏金的记录。 漏洞奖励计划是由企业和软件开发者发布的计划,用
继续阅读破纪录!LayerZero 推出价值 1500 万美金的加密漏洞赏金计划
破纪录!LayerZero 推出价值 1500 万美金的加密漏洞赏金计划 安全客 2023-05-19 11:33 LayerZero Labs 在 Immunefi 平台上推出了漏洞赏金计划,为关键的智能合约和区块链漏洞提供最高 1500 万美元的奖励,这一数字在加密领域创下了新纪录。 LayerZero Labs 是 LayerZero 区块链消息传递协议的创建者,该协议可实现跨 30 个不同
继续阅读