海外版本三星 Galaxy S23/24 手机曝内存越界写入漏洞
海外版本三星 Galaxy S23/24 手机曝内存越界写入漏洞 安世加 安世加 2025-01-15 19:02 1 月 14 日消息,谷歌 Project Zero 团队发文,披露了三星海外版本手机存在的一个高风险内存越界写入(OBW)漏洞 CVE-2024-49415,该漏洞位于 Monkey’s Audio(APE)音频解码器组件 libsaped.so 中。 参考报告获悉,
继续阅读标签: vx
文件包含漏洞从入门到精通
文件包含漏洞从入门到精通 船山信安 2025-01-15 17:00 文件包含漏洞 一、什么是文件包含漏洞 漏洞成因: 为了提高代码的复用性和模块化,开发人员通常会将可重复使用的函数或代码段写入到单个文件中。在需要使用这些函数或代码段时,直接调用此文件,而无需再次编写。这种调用文件的过程被称为“包含”。 开发人员没有对用户输入的参数进行正确的过滤和检查,导致攻击者可以在包含文件时控制参数的值,从而
继续阅读【相关分享】记一次小程序支付逻辑漏洞
【相关分享】记一次小程序支付逻辑漏洞 原创 隼目安全 隼目安全 2025-01-15 16:32 免责声明 ❝ 由于传播、利用本公众号”隼目安全”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号”隼目安全”及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉谢谢! 本文中所涉及的相关漏洞
继续阅读CTF赛前指导 — 文件上传漏洞&一句话木马
CTF赛前指导 — 文件上传漏洞&一句话木马 网络安全者 2025-01-15 16:00 本套课程在线学习(网盘地址,保存即可免费观看)地址: https://pan.quark.cn/s/6fd155e6de6b 该内容转载自网络,仅供学习交流,勿作他用,如有侵权请联系删除。 个人微信:ivu123ivu 各 类 学 习 教 程 下 载 合 集 https://pan.qu
继续阅读漏洞精讲之SQL注入
漏洞精讲之SQL注入 原创 Z1eaf 泷羽Sec-Z1eaf 2025-01-15 15:29 一.SQL 注入相关概念 1.什么是SQL 结构化查询语言,简称SQL(语法统一) SQL使我们有能力访问数据库 2.什么是SQL注入 攻击者通过在应用程序的输入中插入恶意SQL代码来执行未经授权的数据库操作。 3.SQL注入原理和简单绕过原理 SQL注入原理=在前端使用SQL语句传输到后端执行
继续阅读【漏洞预警】Fortinet FortiOS等身份验证缺陷漏洞
【漏洞预警】Fortinet FortiOS等身份验证缺陷漏洞 cexlife 飓风网络安全 2025-01-15 14:19 漏洞描述: Fortinet-Fortios组件存在身份验证漏洞的信息,FortiOS和FortiProxy存在一个使用替代路径或通道的身份验证绕过漏洞,未经授权的攻击者可以通过对Node.js websocket模块的伪造请求获取超级管理员权限,Fortinet已针对此
继续阅读华为通过BSI全球首批漏洞管理体系认证
华为通过BSI全球首批漏洞管理体系认证 华为安全 2025-01-15 13:51 [中国,北京,2024年1月12日] 近日,华为通过全球权威标准机构BSI漏洞管理体系认证,涵盖了ISO/IEC 27001信息安全管理、ISO/IEC 29147漏洞披露及ISO/IEC 30111漏洞处理流程三大国际标准。华为凭借其卓越的漏洞管理及实践获得BSI全球首批漏洞管理体系认证,BSI漏洞管理体系认证证
继续阅读Chrome 132 发布,修复了 16 个漏洞,包括远程代码执行
Chrome 132 发布,修复了 16 个漏洞,包括远程代码执行 网安百色 2025-01-15 11:43 点击上方 蓝字 关注我们吧~ Google 已正式将 Chrome 132 发布到稳定频道,为 Windows、macOS 和 Linux 用户带来重要的安全更新和功能增强。 该更新版本为 132.0.6834.83/84,将在未来几天和几周内逐步推出。此版本解决了 16 个安全漏洞,其
继续阅读Windows 远程桌面网关漏洞使系统面临 DoS 攻击
Windows 远程桌面网关漏洞使系统面临 DoS 攻击 网安百色 2025-01-15 11:43 点击上方 蓝字 关注我们吧~ Microsoft 在其 Windows 远程桌面网关 (RD Gateway) 中披露了一个重大漏洞,该漏洞可能允许攻击者利用争用条件,从而导致拒绝服务 (DoS) 攻击。 该漏洞被确定为 CVE-2025-21225,已在该公司 2025 年 1 月的周二补丁更新
继续阅读一款java漏洞集合工具 – Hyacinth
一款java漏洞集合工具 – Hyacinth GSDK GSDK安全团队 2025-01-15 11:30 01 项目地址 https://github.com/pureqh/Hyacinth 02 项目介绍 一款java漏洞集合工具。之前攻防的时候,总是需要打开多个jar包,觉得很麻烦,就做了一款集合工具。其中包含Struts2、Fastjson、Weblogic(xml)、Shi
继续阅读【安全圈】Windows 远程桌面网关漏洞导致系统遭受 DoS 攻击
【安全圈】Windows 远程桌面网关漏洞导致系统遭受 DoS 攻击 安全圈 2025-01-15 11:00 关键词 安全漏洞 微软披露了其 Windows 远程桌面网关 (RD 网关) 中的一个严重漏洞,该漏洞可能允许攻击者利用竞争条件,从而导致拒绝服务 (DoS) 攻击。 该漏洞被编号为 CVE-2025-21225,已在该公司 2025 年 1 月的补丁星期二更新 中得到解决。 当系统的行
继续阅读【风险通告】FortiOS and FortiProxy存在身份验证绕过漏洞(CVE-2024-55591)
【风险通告】FortiOS and FortiProxy存在身份验证绕过漏洞(CVE-2024-55591) 安恒研究院 安恒信息CERT 2025-01-15 11:00 漏洞概述 漏洞名称 FortiOS and FortiProxy存在身份验证绕过漏洞(CVE-2024-55591) 安恒CERT评级 1级 CVSS3.1评分 9.8(安恒自评) CVE编号 CVE-2024-55591 C
继续阅读【风险通告】Ivanti Endpoint Manager存在路径穿越敏感信息泄露漏洞
【风险通告】Ivanti Endpoint Manager存在路径穿越敏感信息泄露漏洞 安恒研究院 安恒信息CERT 2025-01-15 11:00 漏洞概述 漏洞名称 Ivanti Endpoint Manager存在路径穿越敏感信息泄露漏洞 安恒CERT评级 1级 CVSS3.1评分 9.8 CVE编号 CVE-2024-10811 CVE-2024-13161 CVE-2024-13160
继续阅读【风险通告】微软1月安全更新补丁和多个高危漏洞风险提示
【风险通告】微软1月安全更新补丁和多个高危漏洞风险提示 安恒研究院 安恒信息CERT 2025-01-15 11:00 漏洞公告 微软官方发布了1月安全更新公告,包含了Windows Hyper-V NT Kernel Integration VSP、MapUrlToZone、Windows HTML Platforms、Windows OLE、Microsoft Excel、Microsoft
继续阅读Windows远程桌面网关出现重大漏洞
Windows远程桌面网关出现重大漏洞 跳舞的花栗鼠 FreeBuf 2025-01-15 10:57 微软披露了其Windows远程桌面网关(RD Gateway)中的一个重大漏洞,该漏洞可能允许攻击者利用竞争条件,导致拒绝服务(DoS)攻击。该漏洞被标识为CVE-2025-21225,已在2025年1月的补丁星期二更新中得到修复。 竞争条件漏洞是指系统行为依赖于并发操作的时序或事件序列,攻击者
继续阅读Microsoft 1 月 CVE 漏洞预警
Microsoft 1 月 CVE 漏洞预警 网新安服 2025-01-15 10:30 点击上方蓝字关注我们,获取最新消息 1 基本情况 1 月份,Microsoft 发布了 159 个漏洞补丁,解决了 Windows 和 Windows 组件、Office 和 Office 组件、 Hyper-V、SharePoint Server、.NET 和 Visual Studio、Azure、Bit
继续阅读内推 | 上海奇安信渗透测试岗火热招聘中
内推 | 上海奇安信渗透测试岗火热招聘中 助力行业的 Timeline Sec 2025-01-15 10:11 当下,我们所处的行业正面临着不少挑战与变数。经济的不景气、市场的波动,让许多岗位显得摇摇欲坠,人心惶惶。然而,即便是在这个寒冬来袭的时刻,我们并非孤军奋战。 TimelineSec会多发一些内推岗位,帮助 更多的粉丝朋友们更快找到适合自己的岗位!共同度过难关!(如需发布岗位,可联系作者
继续阅读【安全更新】微软1月安全更新多个产品高危漏洞通告
【安全更新】微软1月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2025-01-15 10:11 通告编号:NS-2025-0002 2025-01-15 TAG: 安全更新、Windows、Microsoft Office、Microsoft Visual Studio、Azure、Microsoft Dynamics、Microsoft Edge 漏洞危害: 攻击者利
继续阅读【漏洞通告】Fortinet FortiOS&FortiProxy身份验证绕过漏洞(CVE-2024-55591)通告
【漏洞通告】Fortinet FortiOS&FortiProxy身份验证绕过漏洞(CVE-2024-55591)通告 原创 NS-CERT 绿盟科技CERT 2025-01-15 10:11 通告编号:NS-2025-0003 2025-01-15 TAG: FortiOS&FortiProxy、身份验证绕过、CVE-2024-55591 漏洞危害: 攻击者利用此漏洞,可实现身份
继续阅读涉及161个漏洞!微软发布2025年1月补丁日安全通告
涉及161个漏洞!微软发布2025年1月补丁日安全通告 你信任的 亚信安全 2025-01-15 10:07 近日,亚信安全CERT监测 到微软2025年1月补丁日发布了针对161个漏洞的修复补丁。其中,11个漏洞被评为紧急,150个漏洞被评为重要,其中共包括38个特权提升漏洞,58个远程代码执行漏洞,19个拒绝服务漏洞,25个信息泄漏漏洞,5个欺骗漏洞,16个安全功能绕过漏洞。本月11个漏
继续阅读Fortinet:注意这个认证绕过0day漏洞可用于劫持防火墙
Fortinet:注意这个认证绕过0day漏洞可用于劫持防火墙 Sergiu Gatlan 代码卫士 2025-01-15 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 攻击者正在利用位于 FortiOS和FortiProxy 中的一个认证绕过0day漏洞,劫持Fortinet 防火墙并攻陷企业网络。 该漏洞的编号是CVE-2024-55591,影响 FortiOS 7.0.0
继续阅读微软2025年1月补丁星期二值得关注的漏洞
微软2025年1月补丁星期二值得关注的漏洞 综合编译 代码卫士 2025-01-15 10:02 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在2025年1月补丁星期二中共修复了159个漏洞,其中8个是0day漏洞。 这些漏洞的分类如下: 40个提权漏洞 14个安全特性绕过漏洞 58个远程代码执行漏洞 24个信息泄露漏洞 20个拒绝服务漏洞 5个欺骗漏洞 已遭利用的0day 本次微软
继续阅读2025-01微软漏洞通告
2025-01微软漏洞通告 火绒安全 火绒安全 2025-01-15 10:00 微软官方发布了 2025年01月的安全更新。本月更新公布了210个漏洞,包含 58个远程执行代码漏洞、40个特权提升漏洞、24个信息泄露漏洞、20个拒绝服务漏洞、14个安全功能绕过漏洞、5个身份假冒漏洞,其中12个漏洞级别为“Critical”(高危),149个为“Important”(严重)。建议用户及时使用火绒安
继续阅读更新4节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期)
更新4节!系统0day 安全-企业级网络设备固件漏洞挖掘(第7期) 看雪课程 看雪学苑 2025-01-15 09:59 本周更新: 2.1 固件/镜像环境获取方法(1)https://www.kanxue.com/book-140-4936.htm 2.2 固件/镜像环境获取方法(2)https://www.kanxue.com/book-140-4947.htm 2.3 固件/镜像环境处理(1
继续阅读又一BeyondTrust漏洞遭黑客利用;Fortinet修复已被在野利用零日漏洞,可攻破FortiGate防火墙 | 牛览
又一BeyondTrust漏洞遭黑客利用;Fortinet修复已被在野利用零日漏洞,可攻破FortiGate防火墙 | 牛览 安全牛 2025-01-15 09:28 点击蓝字·关注我们 / aqniu 新闻速览 •英国拟禁止赎金支付,剑指勒索软件攻击 •又一BeyondTrust漏洞遭黑客利用 •OWASP发布十大”非人类身份安全风险”清单 •警惕网络犯罪新手法:伪造
继续阅读强制报告与禁止支付,英国拟立法打击勒索软件
强制报告与禁止支付,英国拟立法打击勒索软件 安全客 2025-01-15 09:21 英国政府正在考虑立法,要求所有组织强制报告向勒索软件团伙支付的赎金,并且完全禁止公共部门实体支付勒索要求,尤其是关键基础设施领域的支付。 内政部咨询与提案 勒索软件攻击持续给私人企业和公共部门带来严重干扰,这些攻击通常通过加密锁定恶意软件导致系统瘫痪、数据被盗,并附带勒索要求,犯罪分子承诺提供解密工具或删除被盗数
继续阅读【漏洞通告】FortiOS和FortiProxy身份验证绕过漏洞(CVE-2024-55591)
【漏洞通告】FortiOS和FortiProxy身份验证绕过漏洞(CVE-2024-55591) 深瞳漏洞实验室 深信服千里目安全技术中心 2025-01-15 09:15 漏洞名称: FortiOS和FortiProxy身份验证绕过漏洞(CVE-2024-55591) 组件名称: Fortinet-Fortios 影响范围: 7.0.0 ≤ FortiOS < 7.0.17 7.2.0 ≤
继续阅读2025年1月微软补丁日多个高危漏洞安全风险通告
2025年1月微软补丁日多个高危漏洞安全风险通告 嘉诚安全 2025-01-15 08:58 漏洞背景 近日,嘉诚安全监测到Microsoft官方发布了1月份的安全更新公告,共修复了159个漏洞,修复了Windows远程桌面服务、Windows Hyper-V、Windows OLE等产品中的漏洞。 鉴于漏洞危害较大,嘉诚安全提醒广大Microsoft用户尽快下载补丁更新,避免引发漏洞相关的网络安
继续阅读Ivanti VPN 零日漏洞遭攻击,敏感信息面临风险!
Ivanti VPN 零日漏洞遭攻击,敏感信息面临风险! Hankzheng 技术修道场 2025-01-15 08:14 各位朋友们,速速关注!Ivanti Connect Secure VPN 设备爆出严重零日漏洞 (CVE-2025-0282),黑客已开始利用该漏洞进行攻击,并部署名为 “Dryhook” 和 “Phasejam” 的新型恶意软
继续阅读微步情报局发现Apache Linkis漏洞,再获Apache官方致谢
微步情报局发现Apache Linkis漏洞,再获Apache官方致谢 原创 微步情报局 微步在线研究响应中心 2025-01-15 08:10 漏洞概况 Apache Linkis 是一个用于大数据平台的计算中间件,旨在简化大数据任务的管理和执行。它提供了一个统一的接口,支持多种计算引擎(如 Spark、Hive、Flink 等),并帮助用户更高效地管理和调度大数据任务。 近日,Apache 官
继续阅读