-
PyPI危机:下载超3万次的恶意软件包、平台曝GitHub Actions高危漏洞
近日,Python的官方第三方软件存储库PyPI中发现了新的恶意库——能够在受感染设备上提取信用卡号和建立后门。对此,8个下载次数超过3万次的Python软件包因含有恶意代码而从PyPI门户网站上被删除。根据分析发现,一个名为noblesse的软件包和五个变体会在Windows系统上搜寻...
-
福昕阅读器爆出多个任意代码执行漏洞
福昕软件(FoxitSoftware)本周发布了福昕PDF阅读器和PDF编辑器的安全更新,用于解决导致远程代码执行的多个漏洞。这些远程代码执行漏洞被跟踪为CVE-2021-21831、CVE-2021-21870和CVE-2021-21893,由CiscoTalos研究人员发现。其中CVS...
-
医疗气动管道(PTS)系统中的PwnedPiper漏洞使美国80%以上医院受到影响
网络安全部门Armis的研究人员披露了一组名为PwnedPiper的九个漏洞,这些漏洞可能会使医院的气动管道系统(PTS)遭受恶意攻击。瑞仕格医疗公司制造的气动管道(PTS系统能够通过气动管道实现医院内物资的自动化运输,北美百分之八十以上医院及全球范围内数千家医院均使用了该系统。而这些系统存在...
-
BMC固件漏洞:联想、技嘉、宏碁、AMAXa等服务器面临风险
本次披露的漏洞影响基板管理控制器(BMC,联想、技嘉及其他制造商生产的服务器均面临风险。研究人员在测试过程中发现联想ThinkServerRD340固件基板管理控制器存在两个严重漏洞。该公司在博客文章中警告道:该设备是搭载了英特尔第三代Corei系列处理器IvyBridge...
-
黑客利用固件漏洞的八种方式
新物联网产品源源不断涌向市场,但速度不应成为忽视安全的借口。今年的拉斯维加斯黑帽大会上,微软披露称,俄罗斯恶意黑客组织利用常见物联网设备对企业网络执行大规模攻击。消息一出,四野具惊。微软宣称,黑客通过入侵多种联网设备获得企业网络访问权限,被利用的设备包括VoIP电话、WiFi办公打印机...
-
家用监视器Mi-Cam被曝多处漏洞
黑客入侵婴儿监视器并不是什么新鲜事。最近,奥地利安全咨询公司(SECConsult)的研究人员发现了Mi-Cam婴儿监视器中一组关键漏洞,超过52,000个婴儿监视器和用户帐户易受到攻击。利用这些漏洞,攻击者可以任意访问这些设备,并在没有进行身份认证的情况下打开一个视频流监视儿童。Mi...
-
漏洞悬赏攀升至200万美元 谁在提供漏洞、谁在付钱?
苹果iOS的远程漏洞最高奖励已升至200万美元。应对软件安全的升级,这些向各国政府出售漏洞的公司不得不提高赏金以吸引更多的研究人员。随着网络安全情报公司Zerodium在本周提高漏洞赏金,零日软件漏洞对于愿意出售它们的安全研究人员变得更加有利可图。对于某些漏洞,奖金提高了一倍。Zerodium...
-
苹果确认:几乎所有iPhone都存在一个严重漏洞
威胁监控公司ZecOps本周发布了一个“大新闻”,指出:AppleiOSMail应用程序中存在三个严重漏洞,可被黑客利用进行零点击攻击(无需用户交互即可实施攻击,通常此类漏洞价格高昂,使用者大多是国家级黑客)。自2012年9月发布iOS6以来,这些漏洞一直存在于Mail应用程序中,这意味着...
-
2021年值得关注的五个漏洞赏金平台
GartnerPeerInsights列出了24家“应用众包测试服务”类供应商,其中有五家漏洞赏金平台。虽然Gartner没有专门为漏洞赏金或众包安全测试绘制魔力象限,但GartnerPeerInsights列出了24家“应用众包测试服务”类供应商。如果想增强公司现有软件测试武器库,...
-
工信部发布国家级移动互联网APP产品安全漏洞库,盛邦安全入选首批安全漏洞特设工作组成员单位
8月26日,由中国电子信息产业发展研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)共同主办,远江盛邦(北京)网络安全科技股份有限公司等承办,中国计算机行业协会协办的工业和信息化部移动互联网APP产品安全漏洞库发布会暨安全漏洞管理特设工作组成立仪式在京举办。盛邦安全入选首批安全漏洞特设...
-
福特汽车公司出现暴露客户和员工记录的漏洞
据BleepingComputer报道,8月15日,研究人员披露了在福特网站上发现的一个漏洞,该漏洞可以让浏览者窥视公司机密记录、数据库并且执行帐户接管。研究人员于今年2月向福特报送该漏洞,福特称该漏洞已修复。数据泄露的根源是福特汽车公司服务器上运行的PegaInfinity客户参与系统配...
-
苹果Mac固件中的0day漏洞可易装EFI rootkit
近期,网络安全专家PedroVilaca在苹果Mac系统中发现了一个低级0day漏洞,特权用户利用该漏洞可以轻易地安装EFIrootkit。Vilaca解释说,这次的攻击与安全专家TrammellHudson之前演示的攻击没有任何关联,当时Hudson发现的是一种名为“Thunderstri...
-
IBM公司Web安全测试工具发现远程代码执行漏洞
IBMSecurityAppScanStandard是美国IBM公司的一套Web应用的安全测试工具。该工具可在应用开发生命周期中进行自动化动态和静态安全漏洞扫描。该漏洞基于WindowsOLE自动化数组远程代码执行漏洞,远程攻击者可利用此漏洞执行任意代码。漏洞POC#!/usr/bin...
-
北京乘客“叫来”英国车 Uber否认网络安全漏洞
日前,北京一位Uber(优步)用户反映,其人在国内,却收到9笔来自英国的叫车行程,3笔成交,共花费了53.16英镑。这一特殊经历,引发了外界对“互联网+”出行平台网络安全漏洞的担忧。6月1日,Uber中国区企业传播负责人就上述离奇事件接受了记者的邮件采访。负责在给记者的回复邮件表示,上述个案主...
-
如何用一个漏洞root一千万台手机
第一届MOSEC移动安全技术峰会于2015年6月5日在中国上海举办。MOSEC邀请到国内外安全研究人员就有关移动设备安全的技术发表演讲。Keenteam方家弘在MOSEC分享了“如何用一个漏洞root一千万台手机”的议题,Androidrooting是一项具有挑战性的工作,特别是需要面对数千种设...
-
容灾漏洞致互联网企业事故频发
5月27日、28日,支付宝和携程双双出现用户无法正常使用的问题,尽管事故原因并不相同,却也为互联网企业的运行安全敲响了警钟。之前并不怎么被人提起的容灾能力建设,也重新回到人们的视野。连续两天两起事故“说起来也真是够寸的,平时很少发生的事故这回一下就是两起,而且连续两天发生,应该是很小概率的情况。...
-
全球95%的SAP企业管理系统存在安全漏洞
根据Onapsis的调查报告,全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响,可能导致严重的企业数据泄露。SAP是世界上最受欢迎的企业应用软件企业和解决方案提供商,为85%以上的全球500强企业和190个国家的282,000+家客户提供解决方案。漏洞原因最近在对SAP解决方案提...
-
Mozilla安全漏洞奖金上限提升至1万美元
漏洞赏金猎人一旦发现软件中的未曝光安全问题无疑能够大赚一笔。作为软件厂商也乐于根据危险等级支付不同的奖金以不断完善自身软件的安全性能。近日Mozilla公司为刺激更多的白客和安全专家加入到ClientBugBounty项目中来,帮助修复软件漏洞,选择最大漏洞奖金上限提升至1万美元,而此前最高奖励...
-
iOS最新漏洞可盗取用户iCloud密码
近日,安全研究人员发布了一份漏洞利用代码。这份代码表明,黑客可以通过IOS漏洞轻易窃取使用最新iOS版本(如iPhone·、iPad)的iCloud密码。这个概念验证性攻击利用了iOS系统中默认的电子邮件程序Mail.app的一个漏洞。自从4月初iOS8.3版本发布以来,该应用就未能从接收邮件消息...
-
荷兰黑客汇聚千名黑客搜罗企业漏洞
2011年,两个20岁出头的荷兰黑客列了100家他们打算黑掉的高科技公司。不久之后,他们就发现了Facebook、Google、苹果、微软、Twitter以及其他95家公司系统上的安全漏洞。他们把自己这个清单叫做Hack100。当他们就此警告这些公司的高管时,有三分之一的人选择了忽略警告,另有三分之...
搜索 "漏洞"
滇ICP备19002590号-1