2022年04月02日
最近,微软发现了苹果macOS有一个系统“Shrootless”漏洞(CVE-2021-30892),攻击者可以利用漏洞绕过操作系统的系统完整性保护(SIP),然后执行任何代码。例如绕过 SIP 防护措施后,攻击者可以安装 rootkit 和不可检测的恶意软件,甚至覆盖系统文件而不被 覆盖SIP 给阻止。苹果系统完整性保护macOS安全功能最早出现在系统中OS X El Capitan,它由许多核心强制执行的机制组成。其主要功能是保护系统文件和目录,以免修改这些文件和目
2022年04月02日
网络安全研究人员发现了勒索软件中的漏洞,无需向网络犯罪团伙支付赎金网络犯罪团伙支付赎金,打破了重大勒索软件攻击抢取数百万美元赎金的期望。Emsisoft网络安全研究人员详细描述了他们的挫折BlackMatter勒索软件为几家受害公司节省了赎金支出的全过程。此前,研究人员一直保持低调,以避免网络犯罪团伙的发现;现在,他们发表了一篇文章来揭示他们如何通过向受害者提供解密钥来挫败他们BlackMatter的。自今年7月以来,BlackMatter这种勒索软件一直以现状频繁攻击,但实际上存在的时间远早于
2022年04月02日
研究人员发现了新的Windows 0day权限增加漏洞,影响一切Windows 版本。8月,微软发布CVE-2021-34484 Windows安全补丁用户配置服务权限来增加漏洞。补丁发布后,安全研究人员Naceri 发现补丁没有完全修复漏洞,可以绕过新的漏洞利润。在之前的CVE-2021-34484在漏洞分析中,用户可以滥用用户配置服务来创建第二个junction(连接)ZDI在安全公告和微软补丁中,漏洞被视为任何目录删除目录。微软只修复了漏洞的外观,但没有解决本质问题。研究人员修改了以前的
2022年04月02日
Light Blue Touchpaper 今天分享了一篇题为《木马源代码:隐形漏洞的文章,其中提到了一些“酷炫”新技能充分利用人类代码审计人员难以当场抓住的目标漏洞。据报道,如果您想将漏洞引入软件,制作人可以尝试在模糊的代码片段中插入一个不显眼的代码片段“错误”。即使操作系统等关键开源项目制定了严格的人工审核流程,邪恶代码也很容易泄露。(来自:Light Blue Touchpaper | PDF)Ross Anderson写道:“
2022年04月02日
在最新排名中,访问控制失败(Broken Access Control)从第五名上升到第一名。非营利基金会开放Web应用安全项目(OWASP)发布了其2021年Top 10漏洞排名更新(初版),自2017年11月以来首次变更。新列表突出了明显的变化,包括访问控制失败的快速上升——从第五名升到第一名。该组织声称,94%的应用程序实施了某种形式的访问控制失效测试,“34个映射到访问控制失败CWE出现率高于其他类别。”加密失败与敏感数据暴露和系统损坏有关
2022年04月02日
在软件开发的早期阶段引入安全有助于防止缺陷,但过程并非没有问题。我们已经超越了将安全纳入开发工作流程,只是“推荐做法”阶段。在当今快速创新和发展周期中,成熟企业将安全放在每一项决策的首位。随着开发团队越来越有信心在项目中引入安全,随着安全人员学会在不影响创新的情况下履行职责,新的重点是安全左移。“安全左移”是指将安全程序(代码审查、分析、测试等)移动到软件开发的生命周期(SDLC)在早期阶段,以防止缺陷和尽快发现漏洞的过程。通过在早期阶段修复问题,
2022年04月02日
谷歌漏洞赏金团队 Eduardo Vela, 刚刚在 11 月初的安全博客上宣布 —— 从现在到2022年至少 1 月底,他们将寻找 Linux 核心漏洞的安全人员提供更高的报酬。如果您碰巧在接下来的三个月里提交了这个漏洞并得到了认可,科技巨头将支付3137 美元的特权提升漏洞奖励。如果是以前未修复的漏洞或新的漏洞使用技术,你也可以获得 5037 美元奖励。本次赏金算是翻倍,且 Google 承诺至少持续三个月。显然,Google 希望鼓励更多的安全研究人员探索核
2022年04月02日
物联网 (IoT) 的普及意味着世界各地的家庭、工厂和办公室都能找到“智能”设备。物联网技术的爆炸性崛起意味着物联网法刚刚开始发展,产品责任的基本问题仍然模糊不清。例如,如果黑客入侵并损坏智能工厂设备,并造成数千美元的损失,那么物联网设备的所有者或开发商——谁应该对此负责?案例研究、早期诉讼和法律分析让我们了解法院未来可能如何裁决这些问题,并帮助制造商和最终用户了解他们对设备安全的责任。如何划分物联网产品的责任即使不考虑物联网技术的具体因素,产品
2022年04月02日
今天,美国网络安全和基础设施安全局建立了一个公开的已知使用的漏洞目录,并发布了一个有约束力的操作指令,命令美国联邦机构在特定的时间框架和期限内修复受影响的系统。目录列出了306个漏洞,其中一些是2010年发现的,但仍在外部使用。包括思科,Google、微软,苹果,甲骨文,Adobe、Atlassian、IBM以及许多其他大小公司的产品漏洞。今年披露的漏洞(CVE代码为CVE-2021-*****),CISA在2021年11月17日之前,美国联邦机构已被命令申请补丁。各机构必须在2022年5月3日
2022年04月02日
近年来,随着开源技术的全面发展,各行各业开始选择拥抱开源,为产业发展升级带来了新的活力。但不可否认的是,开源技术的安全性仍然是一个难以解决的问题,甚至开始影响开源生态的健康发展。开源技术作为一种开放的形式,更注重技术的应用,而忽视了技术本身是否安全,因此不积极修复漏洞。据Rapid7根据发布的报告,半年多前披露的高风险漏洞仍有一半以上GitLab 服务器还没有修复。犯罪分子可以利用这个已知的漏洞进行网络攻击。先简单介绍一下漏洞的基本情况。20214月14日,安全研究人员发现了一个GitLab