2022年04月03日
Opera 管理漏洞赏金计划,研究人员可以在计划中报告 Opera 软件中的漏洞并获奖。这篇文章是我发现的漏洞——网页可以从用户那里搜索本地文件的屏幕截图。考虑到 Opera 是基于 Chromium 的,我做的第一件事就是下载新版本的 Opera 浏览器,查看它们添加的新功能。其中一个功能被称为Opera Pinboard,“Pinboard”该功能允许用户创建图钉并共享图钉。它基本上是一个笔记/书签保护程序,可以与其他用户共享。您可以添加文
2022年04月03日
苹果刚刚发布了旧版本的修复 iOS 和 macOS 零日漏洞被封堵 iPhone 和 Mac 设备安全隐患。早些时候,谷歌威胁分析团队 Erye Hernandez 和 Clément Lecigne、以及 Project Zero 团队的 Ian Beer,在 共同披露XNU 在操作系统内核中发现 CVE-2021-30869 漏洞。如果漏洞被攻击者成功使用,它将导致任何代码都可以在感染设备上使用核心权限。苹果表示,它已经收到了关于这个问题或在野外积极使用的报告。受影响的
2022年04月03日
微软 Exchange Autodiscover漏洞的设计和实现导致了严重的凭证泄露攻击,数十万Windows域凭证泄露。Autodiscover是Microsoft Exchange用于自动配置outlook这类Exchange客户端应用工具。研究人员发现 Exchange Autodiscover协议的设计漏洞会引起Autodiscover域的web请求泄露。用户需要配置邮件客户端: &nbs
2022年04月03日
斯洛伐克互联网安全公司ESET发现黑客组织FamousSparrow自2019年以来,政府、国际组织、律师事务所政府、国际组织、律师事务所和工程公司。9月23日,据Bleeping Computer该组织利用暴露在互联网应用程序中的各种攻击载体来入侵其目标网络,包括微软SharePoint中远程代码执行漏洞,Oracle Opera酒店管理软件,被称为ProxyLogon的微软Exchange安全漏洞。研究人员表示,黑客攻击世界各国政府的目标,FamousSparrow可从事间谍活动。漏洞修
2022年04月03日
苹果用户应立即更新其所有设备——iPhone、iPad、Mac和AppleWatch——以防止以色列公司安装紧急补丁NSO利用iMessage漏洞感染设备。苹果周一推出的安全更新包括适用于iPhone和iPad的iOS14.8,以及适用于Apple Watch和macOS紧急更新。这些补丁至少会修复一个“可能已经积极使用”的漏洞。Citizen Lab上个月,我第一次发现了前所未有的零点击漏洞,发现漏洞的目标是iMess
2022年04月03日
微软和Google都发布了新的稳定通道版本,修复了一个基于Chromium的Use-After-Free(UAF)成功使用后,攻击者可能会执行任何代码。Edge的版本是94.0.992.31,而Google浏览器的版本是94.0.4606.61。基于新的构建版本Chromium版本94.0.4606.54。该漏洞的ID为"CVE-2021-37973",该漏洞是由Google安全工程师Clément Lecigne在Sergei Glazunov和Mark B
2022年04月03日
在9月的Patch Tuesday微软发布了66个安全补丁CVE其中三个被列为微软四级划分系统的主要补丁(critical)等级,这三个之中一个名为Windows MSHTML的0day近两周来,漏洞一直受到积极攻击。另一个bug被列为公开已知但尚未使用。Immersive Labs网络威胁研究主管Kevin Breen只观察到一个CVE在野外受到积极攻击。这些漏洞存在于Microsoft Windows和Windows组件、Microsoft Edge(Chromium、iOS和And
2022年04月03日
最近,攻击者正在使用它CI/CD攻击开发工具中的漏洞,对开发架构的安全性有了新的要求。Codecov供应链攻击,尤其是每一个CI/CD在环境中存储机密信息的人发出警告——不管环境看起来有多安全。成千上万的开发人员使用破解一个Bash上传组件,Codecov攻击者可以从客户环境中窃取凭证、密钥和API token,它可以在两个月内不被发现。在此基础上,它还成功攻击了数百个客户的网络。类似的情况也针对图像Jenkins、GitHub Action对云原生容器环境等自动攻击
2022年04月03日
研究人员发现了三个iOS 0 day漏洞PoC代码。GitHub用户illusionofchaos在GitHub上发布了4个iOS 安全漏洞PoC代码包括3个0 day这四个漏洞分别是: Gamed 0-day Nehelper Enumerate Installed App
2022年04月03日
APPLE操作系统的最新版本iOS设备中,iCloud Private Relay(iCloud私人中继) 功能中存在未修复的新漏洞,可能会泄露用户的真实性IP地址。9月23日,iOS15测试版正式发布,其中iCloud Private Relay该功能是通过双跳架构有效屏蔽用户IP网站和网络服务提供商的地址、位置和地址DNS从而提高网络的隐蔽性。用户在Safari浏览器上的互联网流量可以通过两种方式代理,以掩盖浏览和数据的来源,这可以被视为简化版Tor(浏览器)。FingerprintJS