-
应用安全调查:半数企业有意识发布有漏洞代码
根据Veracode最新发布的应用安全报告,尽管普遍使用了应用安全工具,但近一半的组织仍定期有意识地发布易受攻击的代码。推送易受攻击的代码的主要原因包括:迫于发布期限(54%)和在软件开发生命周期中发现漏洞太晚(45%)。受访者表示,开发人员缺乏缓解问题的知识以及应用安全工具之间缺乏集成是他们...
-
Emotet重出江湖:2020年十大恶意软件、漏洞榜单(7月)
“退隐江湖”近半年后,老牌恶意软件Emotet僵尸网络病毒重出江湖,并迅速夺回恶意软件TOP10头把交椅。近日,根据Checkpoint发布的2020年7月全球威胁指数,在缺席五个月之后,Emotet已升至该指数的榜首位置,短时间内袭击了全球5%的企业和组织,主要活动是传播钓鱼邮件窃取银行账户并...
-
美国陆军使用的CMS内容管理系统曝出重大安全漏洞
安全公司Edgescan今天发布的一项分析报告显示,内容管理系统Concrete5CMS包含一个重大漏洞,目前已通过更新版本解决。Edgescan的高级信息安全顾问GuramJavakhishvili透露,Concrete5存在一个RCE(远程代码执行)安全漏洞,被利用后可对Web应用程序以...
-
七成以上工控系统漏洞可远程利用
近日,Claroty最新发布的工控系统安全报告发现,2020年上半年披露的工业控制系统(ICS)漏洞中,70%以上可以远程利用。报告详细介绍了国家漏洞数据库(NVD)发布的365个ICS漏洞和工业控制系统网络应急小组(ICS-CERT)在2020年上半年发布的139个ICS通报的评估,共影响到...
-
CWE Top25漏洞榜单发布,跨站脚本跃居榜首
近日,在CWE(通用漏洞枚举最新发布的2020年25种最危险软件漏洞榜单中,跨站脚本(XSS)名列榜首(下图)。在最新公布的榜单中,跨站脚本(XSS)的威胁评分为46.82。在描述跨站点脚本(XSS)带来的危险时,CWE写道:“攻击者可以将受害人的机器上的私人信息(例如可能包含会话信息的Co...
-
TeamViewer高危漏洞可泄露用户密码
近日,安全人士在TeamViewer15.8.3之前的Windows桌面版本中发现了高危漏洞(CVE-2020-13699)。通过利用此漏洞,攻击者可以在受害者的系统上远程执行代码或破解其TeamViewer密码。TeamViewer是一种非常流行的远程办公应用程序,允许用户远程控制一系列智能...
-
API的五个常见漏洞
API让天下没有难做的生意,黑客也是这么认为的。在企业数字化转型如火如荼的今天,API已经远远超出了技术范畴,互联网商业创新和传统企业数字化转型都离不开API经济或者API战略。API连接的不仅仅是系统和数据,还包括企业职能部门、客户和合作伙伴,甚至整个商业生态。与此同时,日益严峻的安全威胁,使得A...
-
90亿信用卡曝出协议漏洞:黑客无需密码即可盗刷
每次我们使用信用卡/借记卡付款时,收款机都会使用EMV通信协议来处理付款。该协议由Europay,Mastercard和Visa等公司开发,目前在全球超过90亿张卡中使用。最近,来自苏黎世联邦理工学院计算机科学系的3名研究人员,即DavidBasin,RalfSasse和JorgeToro...
-
云计算的20大常见安全漏洞与配置错误
云安全是公有云厂商最着力宣传的卖点之一,但是对于企业用户而言,过于信任和盲从云服务的默认配置是一件非常危险的事情,企业的安全架构师及云安全审核人员需要对云计算初始环境的安全漏洞和配置错误进行全面评估和调优。以下,我们列举微软Azure云计算环境的TOP20常见账户和配置漏洞(初始默认配置),对企...
-
全军覆没:Android主流应用普遍存在加密漏洞
哥伦比亚大学的研究人员近日发布了Crylogger,这是一种开放源代码动态分析工具,可检测Android应用程序中存在的加密漏洞。研究者用Crylogger测试了GooglePlay商店中1780个流行的Android应用程序,涵盖了流行的信息流媒体、文件和密码管理器、身份验证应用程、个人通讯...
-
2020年勒索软件攻击最多的四大漏洞
无论是各大网络安全公司此前发布的威胁报告,还是Coalition这样的网络安全保险服务商公布的索赔数据,都明白无误地表明,勒索软件是2020年最猖獗的,同时也是给企业造成损失最大的攻击手段。而软件漏洞,尤其是高龄漏洞和Windows远程访问工具漏洞,则是勒索软件渗透企业防御体系的重要突破口。根据...
-
三秒提权:微软Windows“满级漏洞”被利用
近日,安全公司Secura针对一个刚修补不久的Windows漏洞(CVE-2020-1472)开发了一个概念验证利用程序——Zerologon,可以“三秒内”接管企业内网的司令部——ActiveDirectory域控制器,“呵护”所有联网计算机。CVE-2020-1472是Netlogon远程...
-
蓝牙欺骗漏洞影响数十亿物联网设备
近日,普渡大学的一个研究团队发现了一个蓝牙低功耗(BLE)漏洞——BLESA,可用于发起欺骗攻击,影响人类和机器执行任务的方式。研究人员说,该漏洞可能影响数十亿物联网(IoT)设备,并且在Android设备中仍然未修补。BLE欺骗攻击(BLESA)缺陷源于设备掉线后重新连接过程中发生的身份验证问...
-
360 AI安全研究院披露谷歌Tensorflow 24个漏洞,影响千万开发者
近日,360AI安全研究院向谷歌Tensorflow进行了安全测试,并提交了24个漏洞,目前均已被谷歌确认,影响上千万开发人员。据悉,谷歌Tensorflow官网显示共有35个漏洞,其中360集团挖掘发现24个,是提交漏洞最多的公司,在数量上名列全球首位。360提交漏洞后,谷歌对所有漏洞划分危...
-
微软启动针对Chromium的零日漏洞计划
在2020年1月份宣布使用开源代码库重建Edge浏览器之后,微软近日宣布启动了针对Chromium的类似GoogleProjectZero风格的零日漏洞安全研究计划。一组浏览器安全专家将对Google的浏览器开发库进行深入研究。微软的工程主管,首席安全官JohnathanNorman在一篇...
-
FDA批准新的医疗器械漏洞评分工具
通用漏洞评分系统(CVSS)被用于标定IT系统漏洞的严重程度,但是在某些领域(如工业控制系统或医疗设备)可能不那么重要。这就是为什么FDA与MITRE公司签约开发专用规则/工具,来评估医疗设备漏洞CVSS分数的原因。MITRE去年完成了开发工作,本周FDA宣布该工具已获得医疗器械开发工具(MDD...
-
黑客攻击的下一个热点:路由器和NAS漏洞
随着全球远程办公的常态化,BYOD大行其道,路由器和NAS等家庭数码设备正在成为黑客重点关注的突破口。在近日举行的Pwn2Own东京2020黑客大赛上,参赛的漏洞赏金猎人们在第一天就成功入侵了NETGEAR路由器和西部数据的NAS存储设备(编者:这也是NAS设备首次参加Pwn2Own大赛)。图片...
-
全军覆没:亚马逊11款智能门铃全都存在安全漏洞
通过对在线电商平台(如亚马逊和eBay)出售的近十种廉价视频门铃的安全审查发现,每台设备都存在多个安全漏洞。其中最严重的是某些设备的做法,没有明显的理由将Wi-Fi名称、密码、位置信息、照片、视频、电子邮件和其他数据发送回制造商。近日,NCC集团安全咨询公司与英国消费者组织Which合作进行了一...
-
以太坊2.0版本发布前漏洞赏金翻了五倍
近日,以太坊2.0版本漏洞赏金计划将最高奖金提高到了5万美元(是之前的五倍),以激励黑客在以太坊2.0版本重大升级(转向权益证明模型)前,挖掘尽可能多的高价值漏洞。据悉,以太坊基金会的漏洞赏金小组将依据OWASP风险模型对漏洞进行评分。漏洞被粗略地分为低、中、高三个严重等级,最危险的漏洞可为研究...
-
iPhone修复了一个“灭霸级”漏洞
近日,著名的GoogleProjectZero研究人员IanBeer披露了一个令人震惊的iPhone漏洞的详细信息。苹果今年5月份“悄悄”修补了这个漏洞,但是直到现在,该漏洞的细节鲜为人知。该漏洞的恐怖程度堪称“灭霸级”,攻击者可以完全控制附近的所有iPhone。只要受害者的iPhon...
搜索 "漏洞"
滇ICP备19002590号-1