-
微软本周二修复了一个“震网”级别的资深漏洞
每月的“补丁星期二”,微软都会例行发布针对各种漏洞的补丁程序,但是本周二微软发布的一大堆补丁中,其中一些修复了一个“震网”级别的资深漏洞——一个易于利用的Windows打印机后台程序——WindowsPrintSpooler的漏洞(CVE-2020-1048),安全公司SafeBreach的研究...
-
FIRST更新多方漏洞披露指南
事件响应和安全团队论坛(FIRST)近日发布了更新的多方漏洞披露指南,在最佳实践手册中增加了明确的沟通、安全港条款和披露静默期等内容,以帮助简化多方协调漏洞披露流程。FIRST是事件响应团队的国际联盟,其任务是促进安全最佳实践并维护广泛使用的CVSS评分系统。FIRST先前发布的漏洞披露指南主...
-
过去五年“利用率”最高漏洞TOP10
美国网络安全和基础设施安全局(CISA)近日发布2016年至2019年之间十个最常被利用的漏洞列表中,其中七个Microsoft产品漏洞(Office、Windows、SharePoint、.NETFramework)、一个ApacheStruts漏洞、一个AdobeFlashPlayer漏...
-
可以劫持九成Android设备的漏洞:StrandHogg
挪威应用安全公司Promon的研究人员本周披露了一个严重的Android漏洞,恶意软件可利用该漏洞劫持受害者设备上的几乎所有应用程序。在2019年12月,Promon曾警告说,一个被称为StrandHogg的Android漏洞正被数十个恶意Android应用程序利用以提升特权。StrandHo...
-
远程命令执行漏洞!用友 NC 全版本受影响
用友NC是一款企业级管理软件,在大中型企业广泛使用。实现建模、开发、继承、运行、管理一体化的IT解决方案信息化平台。受影响的版本用友NC全版本解决方案官方暂时还未发布安全补丁,请用户保持关注。目前建议受影响企业加强用友NC访问权限的控制,严禁外部IP对于用友NC的访问请求。参考链接...
-
《2020高效漏洞管理现状与趋势报告》发布
导语:在“以人为本”的2020年RSAC安全大会上,漏洞管理依然是关注焦点。对于整个网络安全行业来说,未来几年面临的重大趋势和机遇如下:新冠疫情后的远程办公成为新常态;去中心化组织和新的劳动力分配方式兴起;数字化转型放大安全威胁;新基建的“安全设计”;威胁情报、SOAR、零信任架构与漏洞管理的融合发...
-
五角大楼的漏洞神器:Mayhem
在今年的RSAC2020创新沙盒大赛上,有一家公司虽然没有染指冠军,但是获得了到场的周鸿祎、赵粮等中国网络安全大佬的一致点赞。这家公司就是ForALLSecure。ForAllSecure是由来自卡耐基梅隆大学的ForAllSecure安全研究团队于2012年创立的公司,创始人DavidBru...
-
欧洲交通灯曝出严重安全漏洞,可导致道路混乱
近日,德国工业网络安全咨询公司ProtectEM在对德国某城市进行安全审核时发现:部署在欧洲道路上的交通信号灯控制器存在一个严重漏洞,可能导致“持续的交通混乱”。默认情况下,控制交叉路口交通信号灯的硬件(SwarcoCPULS4000)的调试端口为打开状态,从而使攻击者无需旁路访问控制即可获...
-
勒索软件通过VPN漏洞攻击用户
VPN是提高远程办公或远程访问安全性的重要技术,但是如果VPN成为勒索软件的“投放渠道”,其杀伤力也是巨大的。近日,波兰网络安全公司REDTEAM.PL的研究人员观察到“黑暗王国”(BlackKingdom)勒索软件利用去年修补的PulseSecureVPN漏洞发起攻击。该漏洞编号为CV...
-
物联网安全风暴:“ Ripple20”漏洞波及数亿联网设备
日前,以色列安全公司JSOF曝出的一“波”19个物联网软件漏洞(统称Ripple20,其中四个很严重)波及全球数亿个物联网(IoT)和工业控制设备。研究人员表示,他们将这19个漏洞命名为“Ripple20”并不是说发现了20个漏洞,而是因为这些漏洞将在2020年及以后的IoT市场中连锁引发安全风...
-
Netgear数十款路由器产品曝出高危零日漏洞
近日,安全研究人员发现了大量Netgear路由器固件中未修补的高危零日漏洞,该漏洞使79种Netgear设备型号有被完全接管root权限的风险,更糟糕的是该漏洞至今尚无补丁程序。根据两份单独的安全报告,该漏洞是路由器固件中httpdWeb服务器存在的内存安全问题,它使攻击者可以绕过Netgea...
-
腾讯安全玄武实验室提交Apache Dubbo高危漏洞,官方已发布修复版本
6月23号,开源框架ApacheDubbo披露了一项默认反序列化远程代码执行漏洞(CVE-2020-1948)和相应的修复方案。该漏洞由腾讯安全玄武实验室研究员于去年11月首次提交。ApacheDubbo擅长处理分布式和微服务系统远程调用。据Apache官方信息显示,包括阿里巴巴、网易云音...
-
主流ATM和POS机驱动程序曝出大量严重漏洞
在过去的几年中,ATM和销售点(POS)系统已成为许多网络犯罪分子的目标,这导致了一些历史上规模最大的信用卡盗用和盗窃案。尽管攻击者可以通过多种方式侵入这些计算机,但研究人员现在警告说,这些设备的驱动程序中的漏洞可能导致更持久的破坏性攻击。设备安全公司Eclypsium的研究人员近日评估了主流A...
-
2020年十大漏洞赏金项目
近日,Hackone公布了2020年十大漏洞赏金项目TOP10榜单,该列表基于HackerOne项目目录中的公共信息,排名依据每家企业在2020年4月(包括之前)向黑客支付的累计赏金总额。榜单排名具体如下(红色字体为单项最高或最低数值):第一名:VerizonMedia行业:数字媒体总...
-
2020漏洞报告:CVE数量将创新高
根据SkyboxSecurity最新发布的2020年漏洞和威胁趋势报告,2020年漏洞数量有可能突破新的记录——超过20,000个,其中移动漏洞数量在2020年大幅增加。报告指出,漏洞的激增表明企业在大规模远程工作时难以管理网络风险。2020年上半年业界共提交了9000个漏洞,报告预测202...
-
网络安全最大盲区:“人的漏洞”
在现代企业的网络安全防御体系中,人员是最薄弱的环节,同时也是最不受重视的环节。换而言之,人员是黑客最容易突破和利用的“漏洞”,同时也是企业安全投入最少,提升最慢的短板。GoSecurity公司2020年全球企业安全调查结果直观地反映了这个问题:长期以来,那些手套上镶着半打零日漏洞宝石,头上顶...
-
推荐一款免费漏洞扫描产品,赶快测测你的网站还安全么?
漏洞很多人都听过,但是多数有网站的个人或者企业可能都觉得漏洞离自己很远,网站没有出问题就是没有漏洞。其实这是不对的,漏洞在制作网站的时候就已经产生了,并且随着时间的不断推移,每天都会有几千条漏洞出现,网站没有因为漏洞出现问题,是因为黑客没有利用漏洞攻击网站,而不是网站没有漏洞。近些年网站因为漏...
-
解决第三方物联网漏洞需要转变网络安全范式
唯一有能力保护物联网设备的实体,就是物联网设备制造商本身。Ripple20漏洞影响数以亿计的物联网(IoT)设备,为联网设备再次敲响第三方漏洞风险警钟。全球约有310亿台物联网设备执行大量关键功能(驱动拯救生命的医疗设备、促进高效交通运输和转变关键业务流程),但这些设备极易受到攻击。在很大程...
-
谷歌零日漏洞分析发现“检测偏差”
7月底,谷歌网络安全项目ProjectZero发布报告,描述2019年网络攻击中的漏洞利用,得出了关于零日漏洞检测的一些有趣结论。2014年以来,谷歌ProjectZero一直在追踪野生(非受控环境下)漏洞利用。去年,该项目发布电子表格,展示所追踪到的漏洞。这首份“年度回顾”(Yeari...