标签: CVE

雷神众测漏洞周报2022.04.18-2022.04.24-4

发布于 作者:

雷神众测漏洞周报2022.04.18-2022.04.24-4 雷神众测 雷神众测 2022-04-25 15:38 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意

继续阅读

亚马逊的 Log4j 热补丁易受提权漏洞影响

发布于 作者:

亚马逊的 Log4j 热补丁易受提权漏洞影响 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供应链也越发复杂多

继续阅读

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控

发布于 作者:

开源组件11年未更新,严重漏洞使数百万安卓按设备易遭远程监控 Ravie Lakshmanan 代码卫士 2022-04-22 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士团队 专栏·供应链安全 数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。 随着软件产业的快速发展,软件供

继续阅读

【火绒安全周报】7-Zip被曝出现零日漏洞/黑客捐给乌克兰25万美元

发布于 作者:

【火绒安全周报】7-Zip被曝出现零日漏洞/黑客捐给乌克兰25万美元 火绒安全实验室 火绒安全 2022-04-22 18:01 PART .01 7-Zip被曝出现零日漏洞 7-Zip 是一款开源的解压缩软件,主要应用在微软 Windows 操作系统上。近日,有研究人员披露了该软件中的一个零日漏洞(CVE-2022-29072), 成功利用该漏洞的攻击者可以本地提取并执行任意命令。此漏洞影响 7

继续阅读

高通和联发科芯片漏洞致数百万安卓设备可被远程监控

发布于 作者:

高通和联发科芯片漏洞致数百万安卓设备可被远程监控 安全内参 2022-04-22 17:03 关注我们 带你读懂网络安全 近日,高通和联发科芯片的音频解码器曝出三个远程代码执行漏洞(RCE),攻击者可利用这些漏洞远程监控受影响移动设备的媒体和音频对话。 根据以色列网络安全公司Check Point的报告,这些漏洞可“听懂命令”,攻击者只需发送特制的音频文件即可执行远程代码执行攻击。 研究人员在报告

继续阅读

CISA 发出警告,攻击者正在利用Windows 漏洞

发布于 作者:

CISA 发出警告,攻击者正在利用Windows 漏洞 关键基础设施安全应急响应中心 2022-04-22 14:30 Bleeping Computer 消息称,美国网络安全和基础设施安全局(CISA)在其积极利用漏洞列表中新增三个安全漏洞,其中包括 Windows Print Spooler 中的本地权限提升漏洞。 从微软发布的公告来看,此高严重性漏洞(被追踪为 CVE-2022-22718)

继续阅读

开源的 Snort 入侵检测系统中存在高危漏洞

发布于 作者:

开源的 Snort 入侵检测系统中存在高危漏洞 Ravie Lakshmanan 代码卫士 2022-04-21 18:46 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 开源的思科 Snort 检测和预防系统中存在一个漏洞 (CVE-2022-20685),可触发拒绝服务条件并使其无法抵御恶意流量。 该漏洞的CVSS 评分为 7.5,位于 Snort 检测引擎的 Modbus 预处理器中

继续阅读

JLink固件漏洞

发布于 作者:

JLink固件漏洞 曾半仙 看雪学苑 2022-04-21 17:59 本文为看雪论坛精华 ‍‍‍文章看雪论坛作者ID:曾半仙 JlinkV10的固件验证缺陷我年前已发布刷机工具,但缺陷是利用就得刷机一次再刷回。 发布前在某移动设备开发群谈论时候,群友说v10会检查固件签名,你怎么搞。我就说签名区外面的空间我可以放代码,能放五百字节完全塞得下。 他表示以前的很老版本固件倒是有过任意写bug,可惜修

继续阅读

谷歌2021年0day威胁形势复盘:你知道越多,你越知道你不知道

发布于 作者:

谷歌2021年0day威胁形势复盘:你知道越多,你越知道你不知道 安全内参 2022-04-21 15:51 关注我们 带你读懂网络安全 编译:代码卫士 谷歌 Project Zero 团队回顾了2021年已遭在野利用的58个0day,发布继2019年和2020年以来的第三份年度报告,窥见未来趋势、总结经验教训。本文是对该文章的编译。 一、要点概览:让0day 难以遁形 我们分析58个已遭利用0d

继续阅读

联想UEFI漏洞影响数百万台笔记本电脑

发布于 作者:

联想UEFI漏洞影响数百万台笔记本电脑 看雪学苑 看雪学苑 2022-04-20 18:11 编辑:左右里 4月18日,联想发布了一份安全公告,公布了影响其100多种笔记本电脑型号的三个统一可扩展固件接口(UEFI)安全漏洞,这些漏洞使攻击者能够在受影响的设备上部署和执行固件植入。成功利用这些漏洞可能允许攻击者禁用 SPI 闪存保护或安全启动,继而能够安装持久性恶意软件。 这三个漏洞由ESET研究

继续阅读

黑客组织利用ProxyShell漏洞攻击医疗保健提供商

发布于 作者:

黑客组织利用ProxyShell漏洞攻击医疗保健提供商 关键基础设施安全应急响应中心 2022-04-20 14:33 去年12月初,加拿大的一家医疗服务提供商先后遭到了两个不同黑客组织采用同一攻击策略的攻击。第一个勒索软件组织,被命名为“Karma”,他们窃取了数据,但没有加密目标的系统。 第二个攻击组织被确认为Conti,后来进入网络,但没有留下勒索信。在Karma组织发出勒索信后不到一天,C

继续阅读

【安全风险通告】Oracle多个组件漏洞安全风险通告

发布于 作者:

【安全风险通告】Oracle多个组件漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-04-20 14:01 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 Oracle 官方发布了 2022 年 4 月的关键安全补丁集合更新 CPU ( CriticalPatch Update ),修复了多个存在于 WebLogic 中的漏洞

继续阅读

【漏洞预警】7-zip命令执行

发布于 作者:

【漏洞预警】7-zip命令执行 夜影实验室 锦行科技 2022-04-19 14:27 漏洞名称:7-Zip 命令执行 影响范围:v21.07 漏洞编号:CVE-2022-29072 漏洞类型:命令执行或提升权限 利用条件:无 综合评价: <利用难度>:低 <威胁等级>: 高危 能获取服务器权限 #1 漏洞描述 Windows平台 7-Zip(v21.07) 允许将扩展名为

继续阅读

由PolicyKit和DirtyPipe漏洞浅谈安全操作系统的意义

发布于 作者:

由PolicyKit和DirtyPipe漏洞浅谈安全操作系统的意义 关键基础设施安全应急响应中心 2022-04-19 14:19 作者 | 长扬科技信创研究院 1、前言 从去年爆出来的PolKit(CVE-2021-4034)漏洞和今年年初爆出来的DirtyPipe(CVE-2022-0847),能够对Linux操作系统带来十分严重的安全威胁。其中,PolKit漏洞是由于软件层的错误代码编写导致

继续阅读

【技术分享】Visual Studio Code本地代码执行漏洞(CVE-2019-1414)

发布于 作者:

【技术分享】Visual Studio Code本地代码执行漏洞(CVE-2019-1414) 原创 Slash 安全客 2022-04-19 10:00 背景 微软在2015年推出的跨平台开源编辑器Visual Studio Code(VS Code),凭借其开箱即用的便捷以及丰富的插件社区,迅速吸引了大批用户。在最新的PYPL IDE 排行榜 中,VS Code已位列第六,并且仍处于上升趋势。

继续阅读

VMware Cloud Director 严重漏洞可使整个云基础设施遭接管

发布于 作者:

VMware Cloud Director 严重漏洞可使整个云基础设施遭接管 Bill Toulas 代码卫士 2022-04-18 18:28 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周四,VMWare 公司发布更新,修复了位于 Cloud Director 产品中的一个严重漏洞 (CVE-2022-22966),它可被用于发动远程代码执行攻击。该漏洞评分为9.1,由研究员 Ja

继续阅读