以太坊基金会设立最高100万美元的短期漏洞奖励计划
以太坊基金会设立最高100万美元的短期漏洞奖励计划 Adam Bannister 代码卫士 2022-08-26 18:32 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 以太坊基金会宣布称,因以太坊网络的共识机制将从 “工作量证明 (proof-of-work)” 转向 ”权益证明 (proof-of-stake)”,从即日(当地时间8月24日)起至9月8日期间,如研究员能找到严重漏洞,
继续阅读标签: 代码
GitLab修复了CE、EE版本中一个远程代码执行漏洞
GitLab修复了CE、EE版本中一个远程代码执行漏洞 网络安全应急技术国家工程中心 2022-08-26 15:01 近期,Security Affairs 网站披露,DevOps 平台 GitLab 修复了其社区版(CE)和企业版(EE)中出现的一个关键远程代码执行漏洞,该漏洞被追踪为 CVE-2022-2884(CVSS 评分 9.9)。 据悉,攻击者经过“身份验证”后,可以通过 GitHu
继续阅读GitLab存在严重漏洞,允许通过Github导入实现远程命令执行
GitLab存在严重漏洞,允许通过Github导入实现远程命令执行 看雪学苑 看雪学苑 2022-08-25 18:02 本周一,GitLab发布了其社区版(CE)和企业版(EE)的15.3.1、15.2.3、15.1.5版本,其中包含重要的安全修复程序。 在公告中,GitLab强烈建议用户立即将其GitLab升级到这些版本之一,因GitLab CE/EE中存在一个高危漏洞。 GitLab是一个使
继续阅读推特前安全主管控诉存在“令人震惊”的安全漏洞
推特前安全主管控诉存在“令人震惊”的安全漏洞 关键基础设施安全应急响应中心 2022-08-25 15:43 据《华盛顿邮报》 8月23日报道,推特前安全主管Peiter Zatko向美国证券交易委员会(SEC)、联邦贸易委员会(FTC)和司法部提交了一封举报文件。在文件中,Zatko控诉推特在安全实践中存在“令人震惊的”漏洞,在安全、隐私和内容审核方面存在“严重缺陷”。他还认为,推特高管在联邦监
继续阅读超过8万台海康威视摄像头受漏洞影响
超过8万台海康威视摄像头受漏洞影响 网络安全应急技术国家工程中心 2022-08-25 15:43 概述 安全研究人员发现有超过8万台海康威视摄像头受到CVE-2021-36260漏洞的影响。CVE-2021-36260漏洞是一个命令注入漏洞,攻击者利用该漏洞可以发送伪造的消息给有漏洞的web服务器以实现命令注入。海康威视已于2021年9月通过固件更新修复了该漏洞。 但CYFIRMA研究人员发现分
继续阅读2022上半年XIoT安全态势-XIoT环境下信息物理系统的漏洞披露和补救措施
2022上半年XIoT安全态势-XIoT环境下信息物理系统的漏洞披露和补救措施 关键基础设施安全应急响应中心 2022-08-25 15:43 工业网络安全公司Claroty当地时间24日透露,物联网漏洞、供应商自我披露以及完全或部分修复的固件漏洞有所增加。该公司分析了今年前六个月影响扩展物联网(XIoT)环境的漏洞披露和补救措施。它指出,要评估这些关键部门的风险,决策者必须对脆弱性环境有一个完整
继续阅读微软公开披露关键 ChromeOS 漏洞的细节
微软公开披露关键 ChromeOS 漏洞的细节 网络安全应急技术国家工程中心 2022-08-25 15:43 微软分享了一个关键的 ChromeOS 漏洞的技术细节,该漏洞可被利用来触发 DoS 条件或远程代码执行。被跟踪为 CVE-2022-2587(CVSS 得分为 9.8)的关键 ChromeOS 漏洞的详细信息。该漏洞是 OS Audio Server 中的一个越界写入问题,可被利用来触
继续阅读【技术干货】CVE-2022-0540 Jira身份验证绕过漏洞分析
【技术干货】CVE-2022-0540 Jira身份验证绕过漏洞分析 星阑科技 2022-08-25 11:07 xxhzz @PortalLab实验室 前言 在上篇分析CVE-2022-26135Atlassian Jira Mobile Plugin SSRF漏洞 之后,发现在此之前,jira也曾爆出过身份验证绕过漏洞,CVE编号为cve-2022-0540。趁着环境还热乎,对其产生的原理和代
继续阅读GitLab远程代码执行漏洞 (CVE-2022-2884) 安全风险通告
GitLab远程代码执行漏洞 (CVE-2022-2884) 安全风险通告 安全内参 2022-08-24 19:07 近日,奇安信CERT监测到GitLab官方发布GitLab远程代码执行漏洞(CVE-2022-2884)通告,经过身份认证的远程攻击者可通过GitHub导入功能实现远程代码执行。鉴于此漏洞影响范围较大,建议客户尽快做好自查及防护。 漏洞名称 GitLab 远程代码执行漏洞 公开时
继续阅读SourceGuardian代码混淆的还原分析
SourceGuardian代码混淆的还原分析 原创 数据安全实验室 山石网科安全技术研究院 2022-08-24 10:09 1. 前 言 最近无意中拿了两套源码,刚想审计时发现控制器等主逻辑文件做了混淆,内容如: 图 1 混淆代码 简单尝试后发现我解混淆的能力不足以解开这串东西,于是简单搜索了一些关键字,如sg_load 这个函数,会发现这种混淆是一个名为 SourceGuardian 的
继续阅读CNNVD | 关于苹果多个安全漏洞情况的通报
CNNVD | 关于苹果多个安全漏洞情况的通报 中国信息安全 2022-08-23 19:48 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 近日,国家信息安全漏洞库(CNNVD)收到关于Apple macOS Monterey安全漏洞(CNNVD-202208-3348、 CVE-2022-32894 )和Apple macOS Monterey安全漏洞
继续阅读微软详述严重的 ChromeOS 漏洞
微软详述严重的 ChromeOS 漏洞 综合编译 代码卫士 2022-08-23 17:45 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 上周五,微软详述了ChromeOS 中严重漏洞 (CVE-2022-2587) 的详情。该漏洞可用于执行拒绝服务 (DoS) 攻击,并在一些情况下可导致远程代码执行后果。 CVE-2022-2587是一个界外写漏洞,CVSS评分为9.8,由微软 365
继续阅读苹果曝严重漏洞冲上热搜第一,黑客或可完全接管设备
苹果曝严重漏洞冲上热搜第一,黑客或可完全接管设备 看雪学苑 看雪学苑 2022-08-22 17:58 近日 ,一则关于“苹果曝出严重安全漏洞”的话题登上了微博热搜第一。 据悉,苹果公司发现其存在两个零日漏洞,影响范围涵盖几乎所有苹果产品,而黑客能够利用这些漏洞执行任意代码,从而获得设备的“完全管理权限”并运行其上的任何应用软件。 其中一个漏洞是内核错误(CVE-2022-32894),它同时存在
继续阅读上周关注度较高的产品安全漏洞(20220815-20220821)
上周关注度较高的产品安全漏洞(20220815-20220821) 国家互联网应急中心CNCERT 2022-08-22 16:46 一、境外厂商产品漏洞 1、SAP BusinessObjects Business Intelligence Platform授权问题漏洞 SAP BusinessObjects Business Intelligence Platform是德国思爱普(SAP)公司
继续阅读雷神众测漏洞周报2022.8.15-2022.8.21
雷神众测漏洞周报2022.8.15-2022.8.21 原创 雷神众测 雷神众测 2022-08-22 15:51 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修
继续阅读微软修复”DogWalk “0 day漏洞和其他的17个关键性的漏洞
微软修复”DogWalk “0 day漏洞和其他的17个关键性的漏洞 网络安全应急技术国家工程中心 2022-08-22 15:33 微软正在敦促用户修补一个名为Dogwalk的0 day漏洞,该漏洞目前在野外一直被大量攻击利用。该漏洞(CVE-2022-34713)与微软Windows支持诊断工具有关,它允许远程攻击者在有漏洞的系统上执行任意代码。 该警告是在8月大规模补
继续阅读亚马逊Ring安卓app漏洞可窃取个人信息
亚马逊Ring安卓app漏洞可窃取个人信息 ang010ela 嘶吼专业版 2022-08-22 12:00 亚马逊Ring安卓app漏洞可以访问摄像头记录。 Ring 是亚马逊运行的家用安全环境产品,包含户内外监控摄像头。其中Ring安卓APP下载次数超过1000万次。Checkmarx 安全研究人员在亚马逊Ring安卓APP中发现了一个安全漏洞,攻击者利用该漏洞可以截取受害者手机中的个人数据、
继续阅读对一个随身WIFI设备的漏洞挖掘尝试
对一个随身WIFI设备的漏洞挖掘尝试 okCryingFish 看雪学苑 2022-08-21 17:59 本文为看雪论坛精华文章 看雪论坛作者ID:okCryingFish 最近买了一个随时WIFI设备,正好自己在学习漏洞挖掘,于是拿这个练练手。 设备版本信息: software_version = V4565R03C01S61 hardware_version = M2V1 product_m
继续阅读精品新课!Windows内核漏洞分析与EXP编写技巧
精品新课!Windows内核漏洞分析与EXP编写技巧 看雪课程 看雪学苑 2022-08-21 17:59 内核,是一个操作系统的核心。 是基于硬件的第一层软件扩充,提供操作系统的最基本的功能,是操作系统工作的基础,它负责管理系统的进程、内存、设备驱动程序、文件和网络系统,决定着系统的性能和稳定性。 作为讲师,一直以来都想找寻一个比较简单、通俗易懂的方法将很难的东西传授给学员,但是“内核“这个知识
继续阅读关于Apple操作系统越界写入漏洞和Apple WebKit越界写入漏洞的安全公告
关于Apple操作系统越界写入漏洞和Apple WebKit越界写入漏洞的安全公告 原创 CNVD CNVD漏洞平台 2022-08-21 17:52 安全公告编号:CNTA-2022-0021 2022年8月21日,国家信息安全漏洞共享平台(CNVD)收录了Apple操作系统越界写入漏洞(CNVD-2022-58457,对应CVE-2022-32894)和Apple WebKit越界写入漏洞(C
继续阅读Apple 多个高危漏洞安全风险通告
Apple 多个高危漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-08-21 17:00 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到 Apple WebKit 代码执行漏洞(CVE-2022-32893)、Apple Kernel 权限提升漏洞(CVE-2022-32894)。 Apple W
继续阅读英特尔新型CPU漏洞可致敏感数据泄露
英特尔新型CPU漏洞可致敏感数据泄露 网络安全应急技术国家工程中心 2022-08-19 14:49 研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆP
继续阅读微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元
微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元 安全内参编译 安全内参 2022-08-18 20:39 关注我们 带你读懂网络安全 335名白帽子,近一年共提交1091个有效漏洞报告,斩获近亿元奖金,平均每人可领取超27万元。 前情回顾·科技巨头的安全战略 – 千亿营收、万人团队:微软安全已成为网络安全霸主 制造问题,收保护费?微软网络安全霸主地位的“阴暗面” 企业打补丁不再
继续阅读苹果紧急修复两个0day
苹果紧急修复两个0day Lawrence Abrams 代码卫士 2022-08-18 19:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 苹果修复了其旗舰平台macOS 和 iOS 上的两个已遭利用0day(CVE-2022-32983和CVE-2022-32984)。 CVE-2022-32894可导致应用程序或能够以内核权限执行任意代码。CVE-2022-32893位于Web
继续阅读谷歌修复今年第五个Chrome 0day
谷歌修复今年第五个Chrome 0day Eduard Kovacs 代码卫士 2022-08-18 19:01 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 谷歌发布Chrome 104更新,修复了11个漏洞,其中包含一个已遭利用的0day。 该漏洞编号为CVE-2022-2856,是和在Intents 组件中不受信任输入的验证不充分有关的一个高危漏洞。 虽然谷歌并未共享关于该攻击的任何
继续阅读Realtek爆出关键漏洞,影响多款网络设备
Realtek爆出关键漏洞,影响多款网络设备 关键基础设施安全应急响应中心 2022-08-18 14:39 Bleeping Computer 网站披露,Realtek 爆出严重漏洞,该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片(SoC)的网络设备。 该漏洞被追踪为 CVE-2022-27255,远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。
继续阅读Google Chrome 代码执行漏洞安全风险通告
Google Chrome 代码执行漏洞安全风险通告 原创 QAX CERT 奇安信 CERT 2022-08-17 20:33 奇安信CERT 致力于 第一时间 为企业级用户提供安全风险 通告 和 有效 解决方案。 安全通告 近日,奇安信CERT监测到Google Chrome官方发布安全通告,其中包括Google Chrome 代码执行漏洞(CVE-2022-2856),由于Intents对不
继续阅读专题·漏洞治理 | 面向实战的漏洞运营实践
专题·漏洞治理 | 面向实战的漏洞运营实践 原创 徐春蕾 隋刚 中国信息安全 2022-08-17 19:05 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 文│知道创宇 徐春蕾 隋刚 漏洞是引发网络安全问题的重要根源之一,具有数量逐年递增、漏洞信息分散、漏洞公布迟缓、实战性漏洞占比小等特点,导致漏洞管理难以在实战中发挥应有的价值。 在漏洞层出不穷、有效信
继续阅读CNNVD通报微软多个安全漏洞,涉高危及以上等级漏洞56个
CNNVD通报微软多个安全漏洞,涉高危及以上等级漏洞56个 安全牛 2022-08-16 11:55 8月15日,国家信息安全漏洞库(CNNVD)发布关于微软多个安全漏洞的通告,其中微软产品本身漏洞123个,影响到微软产品的其他厂商漏洞0个。CNNVD对其危害等级进行了评价,其中超危漏洞2个,高危漏洞54个,中危漏洞67个,微软多个产品和系统版本均受到影响,成功利用这些漏洞的攻击者可以在目标系统上
继续阅读Django SQL注入漏洞分析|CVE-2022-34265
Django SQL注入漏洞分析|CVE-2022-34265 原创 应用安全实验室 山石网科安全技术研究院 2022-08-16 10:47 影响范围 Django 3.2.x prior to 3.2.14 Django 4.0.x prior to 4.0.6 漏洞复现 环境搭建 安装Django python -m pip install Django==4.0.2 创建app start
继续阅读