亚马逊的 Log4j 热补丁易受提权漏洞影响
亚马逊的 Log4j 热补丁易受提权漏洞影响 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多
继续阅读标签: 漏洞
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控
开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供
继续阅读【火绒安全周报】7-Zip被曝出现零日漏洞/黑客捐给乌克兰25万美元
【火绒安全周报】7-Zip被曝出现零日漏洞/黑客捐给乌克兰25万美元 火绒安全实验室 火绒安全 2022-04-22 18:01 PART .01 7-Zip被曝出现零日漏洞 7-Zip 是一款开源的解压缩软件,主要应用在微软 Windows 操作系统上。近日,有研究人员披露了该软件中的一个零日漏洞(CVE-2022-29072), 成功利用该漏洞的攻击者可以本地提取并执行任意命令。此漏洞影响 7
继续阅读业务安全漏洞-登录认证实战总结(一)
业务安全漏洞-登录认证实战总结(一) 原创 萨满 火线Zone 2022-04-22 18:00 文章首发于: 火线Zone社区(https://zone.huoxian.cn/) 用户名枚举 漏洞描述 一般存在于系统登录或注册页面,利用登陆系统中的漏洞可以试验出是否存在的哪些用户名,返回不同的出错信息可枚举出系统中存在的用户名。 此处以注册页面为例,通过手工的方式输入账号查看回显信息。 在注册页
继续阅读高通和联发科芯片漏洞致数百万安卓设备可被远程监控
高通和联发科芯片漏洞致数百万安卓设备可被远程监控 安全内参 2022-04-22 17:03 关注我们 带你读懂网络安全 近日,高通和联发科芯片的音频解码器曝出三个远程代码执行漏洞(RCE),攻击者可利用这些漏洞远程监控受影响移动设备的媒体和音频对话。 根据以色列网络安全公司Check Point的报告,这些漏洞可“听懂命令”,攻击者只需发送特制的音频文件即可执行远程代码执行攻击。 研究人员在报告
继续阅读漏洞马拉松·京麒站 | TSRC 3重奖励叠加,挖到就是赚到!
漏洞马拉松·京麒站 | TSRC 3重奖励叠加,挖到就是赚到! 京东安全应急响应中心 2022-04-22 16:10 京麒 &漏洞盒子联袂呈现漏洞马拉松·京麒站 第三期活动来了! 本届马拉松,携手腾讯 SRC、美团 SRC、华为终端安全、OPPO SRC、微博安全、陌陌安全、贝壳 SRC、京东 SRC,呈现年度挖洞挑战大戏! 第三期!TSRC独家呈现三重奖励!大家看过来! 你努力,我给力
继续阅读CISA 发出警告,攻击者正在利用Windows 漏洞
CISA 发出警告,攻击者正在利用Windows 漏洞 关键基础设施安全应急响应中心 2022-04-22 14:30 Bleeping Computer 消息称,美国网络安全和基础设施安全局(CISA)在其积极利用漏洞列表中新增三个安全漏洞,其中包括 Windows Print Spooler 中的本地权限提升漏洞。 从微软发布的公告来看,此高严重性漏洞(被追踪为 CVE-2022-22718)
继续阅读重要通知 | 美团隐私漏洞处理标准1.0发布
重要通知 | 美团隐私漏洞处理标准1.0发布 美团安全应急响应中心 2022-04-22 13:59 面对前所未有的互联网 隐私安全问题挑战, 美团安全团队肩负使命与责任,始终将 保护用户隐私信息放在第一位。美团安全应急响应中心隐私漏洞处理标准1.0今日正式上线 , 内容包括美团SRC处理隐私漏洞报告时的具体流程、漏洞评级标准、奖励范围等。 筑造用户信息安全的城墙是一场持久战,在这场战役里离不开白
继续阅读使用打印机漏洞获取Active Directory特权
使用打印机漏洞获取Active Directory特权 Darkarmour Labs 默安玄甲实验室 2022-04-22 12:52 由于轻量级目录访问协议 (LDAP) 漏洞,黑客可以对具有弱或默认凭据的打印机发起回传攻击。这会暴露 Active Directory 用户的登录信息(包括具有管理权限的用户),并可用于进一步控制组织的网络。 “回传攻击”的研究首次出现在foofus.net 上
继续阅读【漏洞预警】Jira身份验证绕过漏洞
【漏洞预警】Jira身份验证绕过漏洞 夜影实验室 锦行科技 2022-04-22 11:15 漏洞名称: Jira 身份验证绕过漏洞 影响范围: Jira: Jira所有版本 < 8.13.18 Jira 8.14.x、8.15.x、8.16.x、8.17.x、8.18.x、8.19.x Jira 8.20.x < 8.20.6 Jira 8.21.x jira Service Man
继续阅读【漏洞预警】WSO2 API Manager安全漏洞
【漏洞预警】WSO2 API Manager安全漏洞 夜影实验室 锦行科技 2022-04-22 11:15 漏洞名称: WSO2 API Manager安全漏洞 影响范围: WSO2 API Manager 2.2.0 and above WSO2 Identity Server 5.2.0 and above WSO2 Identity Server Analytics 5.4.0, 5.4.
继续阅读慢雾:Rikkei Finance 被黑复现分析
慢雾:Rikkei Finance 被黑复现分析 原创 慢雾安全团队 慢雾科技 2022-04-21 18:58 By:Dig2@慢 雾安全团队 2022 年 0 4 月 15 日,由于恶意攻击,Rikkei Finance 的五个资金池 (USDT, BTC, DAI, USDT, BUSD) 中近乎全部代币被盗。 慢雾安 全团队将复现分析结果分享如下: 相关信息 Rikkei Finance
继续阅读年度加密漏洞提前锁定:Java JDK 加密实现漏洞可用于伪造凭据
年度加密漏洞提前锁定:Java JDK 加密实现漏洞可用于伪造凭据 John Leyden 代码卫士 2022-04-21 18:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Java JDK 的某些加密操作实现中存在一个灾难性漏洞,可使攻击者轻易伪造虚假凭据。 该灾难性弱点影响 Java JDK 15及后续版本,已由 Oracle 在今天的关键补丁更新发布中修复。由于这些缺陷牵涉对
继续阅读开源的 Snort 入侵检测系统中存在高危漏洞
开源的 Snort 入侵检测系统中存在高危漏洞 Ravie Lakshmanan 代码卫士 2022-04-21 18:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的思科 Snort 检测和预防系统中存在一个漏洞 (CVE-2022-20685),可触发拒绝服务条件并使其无法抵御恶意流量。 该漏洞的CVSS 评分为 7.5,位于 Snort 检测引擎的 Modbus 预处理器中
继续阅读【漏洞预警】Asciidoctor-include-ext 命令注入漏洞
【漏洞预警】Asciidoctor-include-ext 命令注入漏洞 SecPulse安全脉搏 2022-04-21 17:05 1. 通告信息 近日, 安识科技 A-Team团队 监测到一则 Asciidoctor-include-ext 组件存在命令注入漏洞的信息,漏洞编号:CVE-2022-24803,漏洞威胁等级:严重,该漏洞是由于 Asciidoctor-include-ext 处理
继续阅读CVE-2022-0540:Jira 身份验证绕过漏洞风险通告
CVE-2022-0540:Jira 身份验证绕过漏洞风险通告 原创 360CERT 三六零CERT 2022-04-21 15:52 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-042101 报告来源:360CERT 报告作者:360CERT 更新日期:2022-04-21 1 漏洞简述 2022年04月21日,360CERT监测发现Atlassian官方 发布了Jira和Jira
继续阅读谷歌2021年0day威胁形势复盘:你知道越多,你越知道你不知道
谷歌2021年0day威胁形势复盘:你知道越多,你越知道你不知道 安全内参 2022-04-21 15:51 关注我们 带你读懂网络安全 编译:代码卫士 谷歌 Project Zero 团队回顾了2021年已遭在野利用的58个0day,发布继2019年和2020年以来的第三份年度报告,窥见未来趋势、总结经验教训。本文是对该文章的编译。 一、要点概览:让0day 难以遁形 我们分析58个已遭利用0d
继续阅读CVE-2022-0995分析(内核越界 watch_queue_set_filter)
CVE-2022-0995分析(内核越界 watch_queue_set_filter) inquisiter 看雪学苑 2022-04-20 18:11 本文为看雪论坛优秀 文章看雪论坛作者ID:inquisiter 漏洞成因 此漏洞与CVE-2021-22555( https://blog.csdn.net/bme314/article/details/123841867?spm=100
继续阅读联想UEFI漏洞影响数百万台笔记本电脑
联想UEFI漏洞影响数百万台笔记本电脑 看雪学苑 看雪学苑 2022-04-20 18:11 编辑:左右里 4月18日,联想发布了一份安全公告,公布了影响其100多种笔记本电脑型号的三个统一可扩展固件接口(UEFI)安全漏洞,这些漏洞使攻击者能够在受影响的设备上部署和执行固件植入。成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动,继而能够安装持久性恶意软件。 这三个漏洞由ESET研究
继续阅读2022-04 补丁日: Oracle多个产品漏洞安全风险通告
2022-04 补丁日: Oracle多个产品漏洞安全风险通告 原创 360CERT 三六零CERT 2022-04-20 17:03 赶紧点击上方话题进行订阅吧! 报告编号:B6-2022-042001 报告来源:360CERT 报告作者:360CERT 更新日期:2022-04-20 1 漏洞简述 2022年04月20日,360CERT监测发现Oracle发布了2022年04月份的风险通告,漏
继续阅读黑客组织利用ProxyShell漏洞攻击医疗保健提供商
黑客组织利用ProxyShell漏洞攻击医疗保健提供商 关键基础设施安全应急响应中心 2022-04-20 14:33 去年12月初,加拿大的一家医疗服务提供商先后遭到了两个不同黑客组织采用同一攻击策略的攻击。第一个勒索软件组织,被命名为“Karma”,他们窃取了数据,但没有加密目标的系统。 第二个攻击组织被确认为Conti,后来进入网络,但没有留下勒索信。在Karma组织发出勒索信后不到一天,C
继续阅读“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源
“精”准把握静态分析|科恩二进制文件自动化静态漏洞检测工具正式开源 原创 腾讯科恩实验室 腾讯科恩实验室 2022-04-20 14:10 引言 为提升静态分析在二进制文件漏洞检测领域效率和可扩展性,科恩孵化并开源二进制文件静态漏洞分析工具BinAbsInspector项目。 代码仓库地址: https://github.com/KeenSecurityLab/BinAbsInspector (⬇
继续阅读【安全风险通告】Oracle多个组件漏洞安全风险通告
【安全风险通告】Oracle多个组件漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-04-20 14:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Oracle 官方发布了 2022 年 4 月的关键安全补丁集合更新 CPU ( CriticalPatch Update ),修复了多个存在于 WebLogic 中的漏洞
继续阅读2021年零日漏洞在野利用状况:数量创纪录,传统漏洞为主
2021年零日漏洞在野利用状况:数量创纪录,传统漏洞为主 安全内参编译 安全内参 2022-04-20 12:06 关注我们 带你读懂网络安全 谷歌Project Zero披露,2021年共追踪到58起“在野”发生的零日漏洞利用案例; 从技术角度来看,其中仅有2个“非常新颖”的漏洞,其余56个基本属于“以往已公开漏洞的翻版”; Project Zero希望,2022年能有更多厂商通过安全公告披露漏
继续阅读【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘
【技术分享】Phar与Stream Wrapper造成PHP RCE的深入挖掘 原创 zsx 安全客 2022-04-20 10:02 今年的HITCON打完了,沉迷写前端搞Nextjs骚操作的我成功爆0(雾),不想写前端了.jpg。 先跑个题。 HITCON 2016上,orange 出了一道PHP反序列化。 HITCON 2017上,orange 出了一道Phar + PHP反序列化。 HIT
继续阅读NSO Group 被指利用零点击 iPhone 0day
NSO Group 被指利用零点击 iPhone 0day Sergiu Gatlan 代码卫士 2022-04-19 18:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 公民实验室的数字威胁研究员发现,一个新的零点击 iMessage exploit 被用于在加拿大政治家、记者和活动家的 iPhone 上安装 NSO Group 间谍软件。 这个iOS 0day 缺陷被命名为 “H
继续阅读开源工具 PrivateBin 修复XSS 漏洞
开源工具 PrivateBin 修复XSS 漏洞 Emma Woollacott 代码卫士 2022-04-19 18:57 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 PrivateBin 是热门 ZeroBin 的一个分叉,它是一款在线工具,用于存储信息并通过 256位 AES 在浏览器中加密/解密,即服务器“不知晓所粘贴数据”。这款开源工具中存在一个跨站点脚本 (XSS) 漏洞。
继续阅读【漏洞预警】7-zip命令执行
【漏洞预警】7-zip命令执行 夜影实验室 锦行科技 2022-04-19 14:27 漏洞名称:7-Zip 命令执行 影响范围:v21.07 漏洞编号:CVE-2022-29072 漏洞类型:命令执行或提升权限 利用条件:无 综合评价: <利用难度>:低 <威胁等级>: 高危 能获取服务器权限 #1 漏洞描述 Windows平台 7-Zip(v21.07) 允许将扩展名为
继续阅读由PolicyKit和DirtyPipe漏洞浅谈安全操作系统的意义
由PolicyKit和DirtyPipe漏洞浅谈安全操作系统的意义 关键基础设施安全应急响应中心 2022-04-19 14:19 作者 | 长扬科技信创研究院 1、前言 从去年爆出来的PolKit(CVE-2021-4034)漏洞和今年年初爆出来的DirtyPipe(CVE-2022-0847),能够对Linux操作系统带来十分严重的安全威胁。其中,PolKit漏洞是由于软件层的错误代码编写导致
继续阅读