微软补丁星期二值得关注的漏洞
微软补丁星期二值得关注的漏洞 ZDI 代码卫士 2022-09-14 18:23 聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 微软在9月补丁星期二修复了79个漏洞,其中包括1个已遭利用的0day。在这79个漏洞中,15个位于微软Edge中,64个是新发布的。在这64个漏洞中,5个是“严重”级别,57个是“重要”级别,1个是“中危”级别,1个是“低危”级别。 值得重点关注的漏洞 (1)CV
继续阅读标签: 信息泄露
【风险提示】天融信关于微软9月安全更新中重要漏洞的风险提示
【风险提示】天融信关于微软9月安全更新中重要漏洞的风险提示 原创 天融信应急响应 天融信阿尔法实验室 2022-09-14 12:59 0x00背景介绍 9月14日,天融信阿尔法实验室监测到微软发布9月安全更新,共修复多个漏洞。其中3个被评为严重,53个被评为高危,还有7个被评为中危,涉及系统及组件包括Windows TCP/IP、Windows IKE Extension、Windows Ker
继续阅读微软2022年9月补丁日多产品安全漏洞风险通告
微软2022年9月补丁日多产品安全漏洞风险通告 原创 QAX CERT 奇安信 CERT 2022-09-14 10:49 奇安信CERT 致力于 第一时间为企业级用户提供安全风险 通告 和 有效 解决方案。 通告摘要 本月,微软共发布了63个漏洞的补丁程序,修复了Windows Server、Microsoft Office、.NET Framework、Microsoft SharePoint
继续阅读API NEWS | Bitbucket 服务器中的命令注入漏洞
API NEWS | Bitbucket 服务器中的命令注入漏洞 星阑科技 2022-09-08 10:43 欢迎大家围观小阑精心整理的API安全最新资讯,在这里你能看到最专业、最前沿的API安全技术和产业资讯,我们提供关于全球API安全资讯与信息安全深度观察。 本周,我们带来的分享如下: – 关于 Atlassian Bitbucket 服务器中的命令注入漏洞 关于每月发生的API安
继续阅读V8 Array.prototype.concat函数出现过的issues和他们的POC们
V8 Array.prototype.concat函数出现过的issues和他们的POC们 苏啊树 看雪学苑 2022-09-06 18:05 本文为看雪论坛精华文章 看雪论坛作者ID:苏啊树 1:写在前面: 最近老是做一些根据文档和代码构造POC的事情,经常想着怎么锻炼这一方面的能力。以v8为例,如果让别人直接指出某个地方有问题,然后让我去找出来,构造POC以至于EXP,以我现在对v8的熟练程度
继续阅读KCon 2022议题分享:自动化API漏洞挖掘
KCon 2022议题分享:自动化API漏洞挖掘 星阑科技 2022-09-02 11:47 演讲者介绍 周阳 星阑科技安全研发工程师。具有丰富的漏洞研究及红队武器化经验,历经主机漏洞扫描、应用漏洞扫描、开源软件供应链安全跟踪以及漏洞情报管理平台等多款产品建设,曾参与发现多个linux系统安全漏洞并收到工信部及其他部委致谢。目前专注于API安全研究以及自动化应用漏洞扫描方向。 吕竭 星阑科技安全服
继续阅读上周关注度较高的产品安全漏洞(20220815-20220821)
上周关注度较高的产品安全漏洞(20220815-20220821) 国家互联网应急中心CNCERT 2022-08-22 16:46 一、境外厂商产品漏洞 1、SAP BusinessObjects Business Intelligence Platform授权问题漏洞 SAP BusinessObjects Business Intelligence Platform是德国思爱普(SAP)公司
继续阅读亚马逊Ring安卓app漏洞可窃取个人信息
亚马逊Ring安卓app漏洞可窃取个人信息 ang010ela 嘶吼专业版 2022-08-22 12:00 亚马逊Ring安卓app漏洞可以访问摄像头记录。 Ring 是亚马逊运行的家用安全环境产品,包含户内外监控摄像头。其中Ring安卓APP下载次数超过1000万次。Checkmarx 安全研究人员在亚马逊Ring安卓APP中发现了一个安全漏洞,攻击者利用该漏洞可以截取受害者手机中的个人数据、
继续阅读英特尔新型CPU漏洞可致敏感数据泄露
英特尔新型CPU漏洞可致敏感数据泄露 网络安全应急技术国家工程中心 2022-08-19 14:49 研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞,该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏(CVE-2022-21233)是第一个架构上的CPU 错误,它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆP
继续阅读微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元
微软近一年发放了1亿元漏洞赏金:平均每个漏洞8.5万元 安全内参编译 安全内参 2022-08-18 20:39 关注我们 带你读懂网络安全 335名白帽子,近一年共提交1091个有效漏洞报告,斩获近亿元奖金,平均每人可领取超27万元。 前情回顾·科技巨头的安全战略 – 千亿营收、万人团队:微软安全已成为网络安全霸主 制造问题,收保护费?微软网络安全霸主地位的“阴暗面” 企业打补丁不再
继续阅读2022医疗卫生行业网络安全报告:恶意程序和漏洞利用是主要风险
2022医疗卫生行业网络安全报告:恶意程序和漏洞利用是主要风险 安全内参 2022-08-18 20:39 关注我们 带你读懂网络安全 8月18日,在2022北京网络安全大会(BCS2022)“医疗卫生行业网络安全论坛”上,由奇安信行业安全研究中心联合补天漏洞响应平台、奇安信安全托管团队、奇安信安服团队、安全内参共同撰写的《2022医疗卫生行业网络安全分析报告》(以下简称《报告》)正式发布。 会上
继续阅读Android APP 漏洞之战——WebView 漏洞详解
Android APP 漏洞之战——WebView 漏洞详解 随风而行aa 看雪学苑 2022-08-15 17:59 本文为看雪论坛精华文章 看雪论坛作者ID:随风而行aa 今天我们进入Android APP漏洞之战系列文章中的一个重要篇幅——WebView漏洞,我们都知道在当下App漏洞中,WebView漏洞的占比是十分巨大的,各种类型的漏洞问题层出不穷,这篇文章就带着大家一起揭开WebVie
继续阅读【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析
【技术干货】CVE-2022-26135 Atlassian Jira Mobile Plugin SSRF漏洞分析 星阑科技 2022-08-15 16:47 xxhzz @PortalLab实验室 漏洞描述 6月29日,Atlassian官方发布安全公告,在Atlassian Jira 多款产品中存在服务端请求伪造漏洞(SSRF),经过身份验证的远程攻击者可通过向Jira Core REST
继续阅读雷神众测漏洞周报2022.8.8-2022.8.14
雷神众测漏洞周报2022.8.8-2022.8.14 原创 雷神众测 雷神众测 2022-08-15 15:00 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改
继续阅读VMware vRealize Operations多个漏洞安全风险通告
VMware vRealize Operations多个漏洞安全风险通告 安全内参 2022-08-11 19:42 近日,奇安信CERT监测到VMware官方发布VMware vRealize Operations多个漏洞安全通告,其中包括: VMware vRealize Operations身份验证绕过漏洞(CVE-2022-31675); VMware vRealize Operation
继续阅读【安全更新】微软8月安全更新多个产品高危漏洞通告
【安全更新】微软8月安全更新多个产品高危漏洞通告 原创 NS-CERT 绿盟科技CERT 2022-08-10 19:23 通告编号:NS-2022-0023 2022-08-10 TAG: 安全更新、Windows、Azure、Active Directory、Exchange Server、Hyper-V 漏洞危害: 攻击者利用本次安全更新中的漏洞,可造成权限提升、远程代码执行、敏感信息泄露等
继续阅读2022-08微软漏洞通告
2022-08微软漏洞通告 火绒安全 2022-08-10 15:23 点击蓝字 关注我们 微软官方发布了2022年08月的安全更新。本月更新公布了141个漏洞,包含65个特权提升漏洞、32个远程执行代码漏洞、12个信息泄露漏洞、7个拒绝服务漏洞、7个安全功能绕过漏洞以及1个身份假冒漏洞,其中17个漏洞级别为“Critical”(高危),105个为“Important”(严重)。建议用户及时使用火
继续阅读上周关注度较高的产品安全漏洞(20220801-20220807)
上周关注度较高的产品安全漏洞(20220801-20220807) 国家互联网应急中心CNCERT 2022-08-09 17:24 一、境外厂商产品漏洞 1、 Pexip Infinity输入验证错误漏洞(CNVD-2022-54746) Pexip Infinity (派视普视频会议云协作平台)是挪威派世( Pexip )公司的一款视频会议云协作平台。该产品可提供高质量安全的云会议功能。 Pe
继续阅读Twitter 证实,零日漏洞致540万账户数据泄露
Twitter 证实,零日漏洞致540万账户数据泄露 网络安全应急技术国家工程中心 2022-08-09 14:56 Twitter 证实,最近泄露 540 万个账户数据的数据泄露事件是由利用零日漏洞造成的。7月底,一名威胁参与者泄露了 540 万个 Twitter 账户的数据,这些账户是通过利用Twitter 平台中现已修复的漏洞获得的。 威胁行为者在流行的黑客论坛 Breached Forum
继续阅读推特零日漏洞遭利用, 540万个账户数据泄露
推特零日漏洞遭利用, 540万个账户数据泄露 看雪学苑 看雪学苑 2022-08-08 17:59 上个月,有黑客以30000美元出售最大社交媒体平台之一推特Twitter的540万个账户的数据。推特在对此事进行调查后,于8月5日发布公告证实,这些账户信息是利用其一个现已修复的漏洞获取的。 这个漏洞于2022年1月由zhirinovskiy通过漏洞赏金平台HackerOne提交,推特获悉后立即进行
继续阅读Android APP漏洞之战——SQL注入漏洞初探
Android APP漏洞之战——SQL注入漏洞初探 随风而行aa 看雪学苑 2022-08-03 17:58 本文为看雪论坛优秀文章 看雪论坛作者ID:随风而行aa 本文主要讲述Android中存在的常见的SQL注入漏洞的方式,以及如何快速的挖掘SQL注入漏洞。 本文结构如下: 第二节讲述SQL注入的基本原理 第三节讲述常见的SQL注入漏洞并复现 第四节讲述Content Provider上的s
继续阅读从漏洞管理到攻击面管理
从漏洞管理到攻击面管理 关键基础设施安全应急响应中心 2022-08-02 15:10 近年来,随着攻防演练常态化,以及《网络安全法》《关键信息基础设施安全保护条例》等法律法规的相继颁布,网络安全建设从“合规驱动”阶段逐步过渡到 “实战驱动”阶段。传统的安全事件响应也由被动“亡羊补牢”的方式,向“先发现、先预防、先处理”的主动持续检测响应的方式转变。 当前,数字化转型加快了我国信息技术基础设施向数
继续阅读专题·漏洞治理 | 从漏洞管理到攻击面管理
专题·漏洞治理 | 从漏洞管理到攻击面管理 原创 沈传宝 中国信息安全 2022-08-01 20:18 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 文│北京华云安信息技术有限公司创始人&CEO 沈传宝 近年来,随着攻防演练常态化,以及《网络安全法》《关键信息基础设施安全保护条例》等法律法规的相继颁布,网络安全建设从“合规驱动”阶段逐步过渡到 “
继续阅读上周关注度较高的产品安全漏洞(20220725-20220731)
上周关注度较高的产品安全漏洞(20220725-20220731) 原创 CNVD CNVD漏洞平台 2022-08-01 17:04 一、境外厂商产品漏洞 1、Cybozu Garoon授权问题漏洞(CNVD-2022-54300) Cybozu Garoon是日本才望子(Cybozu)公司的一套门户型OA办公系统。该系统提供门户、E-mail、书签、日程安排、公告栏、文件管理等功能。Cyboz
继续阅读IO_FILE 与高版本 glibc 中的漏洞利用技巧
IO_FILE 与高版本 glibc 中的漏洞利用技巧 原创 evilpan 有价值炮灰 2022-07-31 20:10 Hacking glibc for fun and profit! 前言 在日常的二进制漏洞利用过程中,最终在获取到任意地址读写之都会面临一个问题: 要从哪里读,写到哪里去。对于信息泄露有很多方法,比如寻找一些数据结构在内存中残留的地址,可以是内部结构,也可以是用户定义的结构
继续阅读国家漏洞库CNNVD:关于Oracle 316个安全漏洞的通报
国家漏洞库CNNVD:关于Oracle 316个安全漏洞的通报 安全内参 2022-07-21 20:01 关注我们 带你读懂网络安全 近日, Oracle官方发布了多个安全漏洞的公告,其中 Oracle产品本身漏洞 85个,影响到 Oracle产品的其他厂商漏洞 231个。包括 Oracle PeopleSoft Enterprise PeopleTools 输入验证错误漏洞( CNNVD-20
继续阅读CNNVD | 关于Oracle多个安全漏洞的通报
CNNVD | 关于Oracle多个安全漏洞的通报 中国信息安全 2022-07-21 18:12 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 近日,Oracle官方发布了多个安全漏洞的公告,其中Oracle产品本身漏洞85个,影响到Oracle产品的其他厂商漏洞231个。包括Oracle PeopleSoft Enterprise PeopleTool
继续阅读上周关注度较高的产品安全漏洞(20220711-20220717)
上周关注度较高的产品安全漏洞(20220711-20220717) 国家互联网应急中心CNCERT 2022-07-19 17:54 一、境外厂商产品漏洞 1、 WordPress Coming soon and Maintenance mode跨站请求伪造漏洞 WordPress是Wordpress基金会的一套使用PHP语言开发的博客平台。该平台支持在PHP和MySQL的服务器上架设个人博客网站
继续阅读雷神众测漏洞周报2022.7.11-2022.7.17
雷神众测漏洞周报2022.7.11-2022.7.17 雷神众测 雷神众测 2022-07-18 15:06 声明 以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增
继续阅读CNNVD | 关于微软多个安全漏洞的通报
CNNVD | 关于微软多个安全漏洞的通报 中国信息安全 2022-07-16 18:58 扫码订阅《中国信息安全》杂志 邮发代号 2-786 征订热线:010-82341063 近日,微软官方发布了多个安全漏洞的公告,其中微软产品本身漏洞86个,影响到微软产品的其他厂商漏洞3个。包括Microsoft Windows 权限许可和访问控制问题漏洞(CNNVD-202207-1061、CVE-202
继续阅读