漏洞 - 安全内参 | 决策者的网络安全知识库

“零日漏洞”数量显著增加，研究人员建议优先修补高危漏洞

漏洞天地和兴 2020-06-04

研究发现，零日漏洞的利用数量显著增加，大多数野外漏洞利用都发生在补丁发布之前或补丁可用后的几天内，对此...

用友NC企业管理软件远程命令执行0day漏洞提示

漏洞网络安全应急技术国家工程实验室 2020-06-04

VMware Cloud Director严重漏洞可导致黑客接管企业服务器

漏洞代码卫士 2020-06-02

该漏洞的 CVSS v3 评分为8.8 分，可导致攻击者获得对敏感信息的访问权限并控制整个基础设施中的私有云。

GNU libc内存损坏漏洞影响智能汽车：可实现“远程控制”攻击

漏洞 E安全 2020-06-02

GNU libc内存损坏漏洞使得Linux ARMv7系统容易被利用，使得智能车辆容易受到黑客攻击。

3起利用特定国家软件0day漏洞的APT案例研究

APT 嘶吼专业版 2020-06-01

在本文中，我们描述了利用三个不同的0-day漏洞针对日本组织的针对性攻击。

苹果10万美元奖励漏洞：可绕过Apple ID控制用户账号

漏洞雷锋网 2020-06-01

此漏洞的影响非常严重，因为它可能会导致整个帐户被接管。

fastjson<1.2.69反序列化远程代码执行漏洞提示

漏洞阿里云先知 2020-06-01

利用漏洞可绕过autoType限制，直接远程执行任意命令攻击服务器，风险极大。

CNCERT：关于ISC BIND存在拒绝服务漏洞的安全公告

漏洞 CNVD漏洞平台 2020-05-29

攻击者利用该漏洞，可使BIND域名解析服务崩溃。目前，该漏洞的利用代码已公开，厂商已发布新版本完成修复。

研究员从主流操作系统上发现26个USB驱动漏洞

漏洞代码卫士 2020-05-28

研究员使用自己开发的Fuzz工具，从Linux、macOS、Windows等主流操作系统发现了26个USB协议栈漏洞。

安卓APP劫持漏洞升级版曝光：仅Android 10不受影响

漏洞代码卫士 2020-05-27

去年发现安卓APP劫持漏洞Strandhogg的团队，近期又披露了升级版漏洞Strandhogg 2.0，影响范围更大，仅最新版...

70%的Chrome漏洞与内存管理相关，谷歌计划使用安全编程语言

漏洞代码卫士 2020-05-25

内存管理和安全问题是谷歌和微软面临的棘手问题，谷歌表示计划探索适时使用“安全的”编程语言，比如 Rust、Swi...

经典蓝牙协议爆身份伪造攻击：影响几乎所有蓝牙设备

漏洞 E安全 2020-05-21

该漏洞可能使攻击者欺骗先前配对或绑定的设备身份，并在成功进行身份验证后连接到另一个设备，进行访问或控制...

苹果蓝牙保护框架MagicPairing被披露10个0day漏洞

漏洞代码卫士 2020-05-19

研究人员分析 MagicPairing 协议后发现，它在 iOS、macOS 和 PTKit 中的三个实现之间存在10个未披露缺陷且尚...

库存充足，Zerodium暂停收购iOS零日漏洞利用

漏洞 cnBeta 2020-05-15

Zerodium宣布，由于短期内提交的 iOS 漏洞利用程序太多，其计划在未来 2~3 个月内不再购买此类内容。

微软Windows打印服务爆本地提权漏洞：影响几乎所有版本

漏洞代码卫士 2020-05-14

PrintDemon 漏洞影响自1996年起发布的所有 Windows 版本，如系统未修复，则可导致安装的后门在打补丁后也无法...

美国FBI和CISA披露十大常被利用漏洞

漏洞 FreeBuf 2020-05-13

在前10个漏洞中，来自伊朗、朝鲜和俄罗斯的国家黑客中最常利用的三个漏洞是CVE-2017-11882、CVE-2017-0199和C...

雷电接口漏洞威胁数百万台电脑：物理接触就能偷数据，无法修复

漏洞安全牛 2020-05-12

开源论坛软件vBulletin爆严重漏洞 (CVE-2020-12720)

漏洞代码卫士 2020-05-12

如果你正在运行基于 vBulletin 软件的在线论坛，那么应确保已安装旨在修复严重漏洞的新补丁。

FireEye：近两年n-day漏洞修复窗口期遭利用情况分析

网络攻击嘶吼专业版 2020-05-10

大量攻击者利用漏洞披露与补丁安装之间的空窗期进行攻击。

“震网”病毒或回归？施耐德电气软件被曝类似漏洞

漏洞代码卫士 2020-05-08

研究人员又从施耐德电气软件中发现了一个漏洞，它类似于臭名昭著的“震网”病毒 (Stuxnet) 恶意软件曾利用的漏...