-
OpenCV 曝出两个严重漏洞
CiscoTalos的研究人员在OpenCV4.1.0版中发现了两个缓冲区溢出漏洞,分别为CVE-2019-5063(CVSS评分8.8和CVE-2019-5064(CVSS评分8.8)。OpenCV(开源计算机视觉库)是由英特尔研究院于1999年开发的一个开放源代码库,...
-
Google Project Zero修改漏洞披露政策:90天强制披露
GoogleProjectZero近日在官方博客宣布对漏洞披露政策做出重大调整,新政策将不再“姑息”那些漏洞修复迟钝的企业。从2020年1月1日起,除非与企业提前达成协议,否则在漏洞提交90天后,无论企业是否修复漏洞,都会进行披露。GoogleProjectZero...
-
高效漏洞管理的七项基本原则
漏洞管理(VM似乎无处不在,你随便抓住一个企业IT人士询问是否实施了漏洞管理,绝大多数人都会给你肯定的答复。听上去是似乎大家的IT系统都已经千针万线,严丝合缝,连一只苍蝇都飞不进去,但实际上呢?一下雨就是锅碗瓢盆交响乐。事实上,所谓的漏洞管理存在着各种各样的实现方式,从定期的渗透测...
-
超级WiFi漏洞影响10亿设备,小米华为全中招
近日ESET研究人员发现了一个影响超过10亿WiFi设备的“超级WiFi漏洞”——Kr00k(CVE-2019-15126),该漏洞存在于客户端设备、Wi-Fi接入点和路由器中使用的Wi-Fi芯片中。Kr00k漏洞可导致使用全零加密密钥对受影响设备的网络通信进行加密,这意味着攻击者可以解密无线网络...
-
只换不修?英特尔CPU漏洞可能导致大批CPU需要更换
在铺天盖地的新冠肺炎新闻中,没有什么比确诊患者治愈后复发更可怕的事了。近日安全人员曝出英特尔一个“已经修复”的CPU漏洞比想象中更严重,而且最可怕的是,彻底根治的办法可能是更换CPU!据ZDnet报道,PositiveTechnology的安全研究人员发现,英特尔去年修补的一个CPU漏洞(CV...
-
微软被曝高危漏洞被称为“永恒之黑”,或波及全球10万服务器
北京时间3月12日晚,微软发布安全公告披露了一个最新的SMB远程代码执行漏洞(CVE-2020-0796),攻击者利用该漏洞无须权限即可实现远程代码执行,一旦被成功利用,其危害不亚于永恒之蓝,全球10万台服务器或成首轮攻击目标。SMB(ServerMessageBlock)协议作为一种局域网文...
-
2019年开放源代码漏洞激增50%
WhiteSource最新发布的漏洞报告称,2019年公开的开源软件漏洞数量达到了6,000多个,而2018年仅为4,000多个,数量激增50%!“这可以归因于开源组件的广泛采用以及过去几年开源社区的大规模增长,以及媒体对最近数据泄露的关注和企业对开源安全的意识增强。”报告指出。C语言依然是“漏...
-
Windows 10再曝严重漏洞,攻击进行中,无补丁可用
本周二微软发出警告,称攻击者正在利用一个尚无补丁程序的严重漏洞进行针对Windows10用户的攻击。微软发出警告称发现针对Windows用户的“有限的定向攻击”,攻击者可以利用AdobeTypeManager库中未修补的漏洞,远程执行包括恶意软件在内的代码。该漏洞利用不仅影响Window...
-
Checkmarx研究:智能吸尘器的安全漏洞可能导致用户信息泄露
毫无疑问,今天的消费者的选择倾向于方便而不是安全。当一款可以让我们的生活变得更便捷的新玩意进入消费者市场时,我们通常想要抓住科技潮流下单购买。不幸的是,每一个新的物联网设备都会让用户面临一系列可能的安全问题和隐私问题。作为Checkmarx安全研究团队正在进行的研究的一部分,他们最近正在调查几个物...
-
八成Exchange服务器仍易受到严重漏洞攻击
近日,Rapid7公布的一项安全调查显示,2月份Exchange曝出的严重漏洞(CVE-2020-0688)至今依然有巨大的杀伤力,超过80%的公开Exchange服务器(已检测到超过35万台Exchange服务器)仍然容易受到该严重漏洞的攻击,研究人员警告说多个威胁组正在利用该漏洞。有问题的漏...
-
漏洞赏金平台Bugcrowd融资3000万美元
近日,漏洞赏金平台Bugcrowd在由RallyVentures牵头的D轮融资中募集了3000万美元。宣布这一消息之际,网络安全行业正面临着越来越大的技能鸿沟,报告显示,越来越多的网络犯罪和网络攻击在2021年将给全球造成高达6万亿美元损失,而随着新冠疫情的爆发,全球远程办公的常态化将使这一...
-
最高悬赏1.5万美元,腾讯与HackerOne合作提供漏洞赏金计划
近日据安全周刊报道,腾讯与Hackone达成合作,超过60万在HackerOne上注册的安全测试人员可以加入腾讯的漏洞赏金计划,寻找该公司产品中的漏洞。另一方面,腾讯将利用HackerOne的网络进行赏金支付。HackerOne社区可以访问由腾讯安全响应中心(TSRC)在外部托管的腾讯的公共和...
-
FPGA爆出严重漏洞,唯一解决方法是更换芯片
现场可编程门阵列,简称FPGA,是一种灵活可编程的计算机芯片,在计算终端中广泛应用,被认为是非常安全的组件。Starbleed漏洞在一项联合研究项目中,科学家发现FPGA芯片中隐藏着一个严重漏洞——Starbleed。攻击者可以通过该漏洞完全控制芯片及其功能。由于漏洞已集成到硬件中,因此只能...
-
福昕软件曝出大量高危漏洞
近日,福昕软件(FoxitReader)旗下的FoxitReader和PhantomPDF等流行PDF工具先后曝出高危的远程代码执行漏洞。据悉,福昕软件已经发布了补丁,修补了Windows版FoxitReader和FoxitPhantomPDF(版本9.7.1.29511及更早版本)中与...
-
尽快更新!微软MS Office,Paint 3D修复RCE漏洞
在2020年4月补丁星期二之后的一周,微软又“增发”了其Office套件的安全更新,以修复几个远程代码执行漏洞。值得注意的是,微软Windows操作系统中用于创建3D模型的免费应用程序Paint3D也发布了安全更新,因为Paint3D和Office“共享”了存在漏洞的AutodeskFBX库...
-
Sophos紧急修复防火墙零日漏洞
昨日Sophos紧急发布了XG防火墙的一个SQL注入零日漏洞补丁程序,并向所有启用了自动更新的设备推送补丁更新。除了修复漏洞之外,此补丁程序还检测防火墙是否被攻击者侵入,如果防火墙漏洞已被利用,则会阻止其访问任何攻击者的基础结构,并清除攻击残留,并通知管理员,以便他们可以执行其他缓解措施。关于...
-
最重要的漏洞披露渠道:社交媒体
一提到漏洞披露,人们首先想到的是漏洞赏金平台或者国家漏洞库之类,但事实上,最重要的、最“及时”的漏洞披露渠道,往往是社交媒体。据美国能源部太平洋西北国家实验室(PNNL)的计算机科学家称,在政府官方漏洞网站披露软件漏洞之前,漏洞信息往往已经在社交媒体上展开讨论,这种做法可能构成国家安全威胁,但也...
-
无法修复,雷电接口漏洞威胁数百万台电脑
最新研究表明,除了少数最新型号的电脑外,几乎所有配备了英特尔雷电接口的设备都容易受到“邪恶女仆”攻击,而且无法软件修复。euong只要是2019年之前生产的配备雷电接口的Windows或Linux电脑,可以用Thunderspy技术绕过休眠或锁定的电脑登录屏幕(甚至包括硬盘加密),以获得对计算机...
-
CVSS是靠谱的漏洞优先级标准吗?
2019年超过55%的开源漏洞被评为高或严重,但不要被这个数字吓到,要真正了解漏洞及其对企业或产品的威胁等级,我们需要信息的绝不只是一个冷冰冰的CVSS评分。根据WhiteSource的《开源安全漏洞现状报告》,软件开发行业对开源组件越来越依赖,对开放源代码安全漏洞的关注度也不断提升,导致发现的...
-
漏洞管理的漏洞:“端点麻木”
新冠疫情给企业漏洞管理带来哪些挑战和压力?近日,PonemonInstitute和Automox发布的两个漏洞报告给出了令人不安的数据。根据Ponemon针对全球3000家企业的调查,60%的数据泄露与尚未修复的安全漏洞有关,与2018年相比,今年企业修补漏洞的延迟导致企业在停机时间上的损失增加...
搜索 "漏洞"
滇ICP备19002590号-1