2022年04月02日
剑桥大学的两名研究人员Nicholas Boucher与Ross Anderson,在本周揭露了一个藏匿在统一码(Unicode)安全漏洞,这个号码是CVE-2021-42574漏洞会影响所有支持Unicode目前已确定程式语言已被影响覆盖C、C 、C#、JavaScript、Java、Rust、Go与Python等等,推测可能还有其他受害者的语言。这个漏洞将允许黑客在开源码中注入人类程式码审查员看不见的安全漏洞,因此被研究人员称为木马源(Trojan Source)攻击。木马源和攻击模式
2022年04月02日
最近,美国网络安全和基础设施安全局(CISA)发布了306个积极使用的漏洞目录,并发布了一系列具有约束力的操作指令,命令美国联邦机构在特定时间内及时修复。这个目录包括 Adobe、Apple、Atlassian、Cisco、Google、IBM、Microsoft、Nagios、Netgear、Oracle、Pulse Secure 等多家公司的产品漏洞可追溯到2010年。CISA命令联邦机构在6个月内修复2021年前分配的分配CVE(公共漏洞和暴露弱点的总称)
2022年04月02日
11月2日-4日本,世界顶级黑客大赛Pwn2Own 2021年在德克萨斯州首府奥斯汀举行。比赛第二天,参赛者成功入侵三星手机Galaxy S21。Galaxy S21是三星今年年初发布的旗舰产品,上月底获得Android11月更新成为首次获得此更新Android系统手机。比赛第一天,多支队伍突破了佳能打印机、西部数据云存储等设备,三星Galaxy S21成为唯一一个全身而退的产品,但不败的神话在第二天就结束了。STARLabs团队利用Android 11零日漏洞成功Galaxy S21上面
2022年04月02日
研究人员发现恶意代码的漏洞可以隐藏在源代码中。滥用文本编码标准剑桥大学的研究人员Nicholas Boucher和Ross Anderson一种新的方法可以在源码中隐藏漏洞——Trojan Source。与传统的插入逻辑漏洞相比,研究人员发现漏洞可以通过攻击源代码文件的编码来注入。Trojan Source攻击对软件和供应链构成巨大威胁。研究人员发现了它C、C 、C#、JavaScript、Java、Rust、Go和Python所有的项目都可能成为攻击者的目标。具体
2022年04月02日
Google Damian Menscher 今日披露CVE-2021-22205 漏洞利用报告指出,一些攻击者正在使用 GitLab 托管服务器上的安全漏洞构建僵尸网络,并发起惊人的分布式拒绝服务攻击(DDoS)。一些攻击的峰值流量甚至超过 1 Tbps 。攻击盯上 GitLab 元数据删除功能The Record 报道称,这个漏洞是 William Bowling 通过漏洞赏金计划发现并提交给 GitLab 官方。具体受影响的部件称为 ExifTool,将图像上传到 Web 服务器,并清
2022年04月02日
关于VailynVailyn它是一种多阶段的漏洞分析和利用工具,可以帮助大多数研究人员分析、识别和使用包含漏洞的路径和文件。该工具的性能非常强,并实现了大量的过滤和避免技术。Vailyn操作分为两个阶段。首先,它可以尝试访问/etc/passwd或者用户指定的文件来检测漏洞是否存在。此时,我们可以自由选择使用什么Payload,我们选择的工具将在第二阶段使用Payload。第二阶段是漏洞利用阶段。现在,该工具将尝试使用文件和目录字典从目标服务器中提取所有可能的文件。参数可以调整搜索深度和目录排列
2022年04月02日
SentinelLab研究人员发现Linux Kernel TIPC(Transparent Inter Process Communication,透明进程间通信)模块中的一个安全漏洞,攻击者利用该漏洞可以在本地或远程区块下在kernel内部执行任何代码,并完全控制有漏洞的机器。Linux TIPC协议TIPC该协议允许集群中的节点在大量节点容错时通信。该协议在Linux kernel实现模块并包含在大多数模块中Linux发行版。用户加载时,TIPC可以用作socket并可以使用netli
2022年04月02日
SonarQube是一款基于Web该工具是一个开源代码质量管理系统,可以帮助开发人员生成无安全问题、错误、漏洞、异常和一般问题的代码。如果你在开发一个小项目,可能很容易仔细检查代码,发现任何问题。SonarQube属于SAST代码检测工具更注重质量检验,也有一些有针对性的安全检测,如SQL注入等,我用过商业版,试图用SAST我对发现和解决代码安全问题感到失望。规则库薄弱,自定义能力差。毕竟,它只是更注重质量检查。大背景最近,海外网站报道了中国许多机构和企业的代码泄露,即使用SonarQube的这
2022年04月02日
美国网络安全和基础设施安全局(CISA)发布了来自 的漏洞目录Apple、Cisco、Microsoft 和 Google 的漏洞目录已被恶意网络攻击者积极利用。此外,联邦机构还要优先考虑这些漏洞“激进”的时间范围内为这些安全漏洞应用补丁。这些漏洞在周三发布的绑定操作指令中造成了重大风险。(BOD)。为了保护联邦信息系统,减少网络事件,积极修复已知利用的漏洞至关重要。2017 2020年至 2020年发现的176个漏洞和 2021年以来的 100 个漏洞已进入初始列表
2022年04月02日
对于瑞典首都斯德哥尔摩的家长来说,使用官方应用程序来检查孩子在学校的趋势就像一场灾难。因此,家长们建立了开源替代品。Skolplattform它是斯德哥尔摩的一个小学校园平台,旨在让50万名儿童、教师和家长更容易学习和生活。家长可以通过这个平台检查孩子是否在课堂上,是否生病。但是,Skolplattform最初的目标还没有实现,这个成本1.171亿美元,由五家外包公司维护的平台使用起来太复杂了,这已经成为斯德哥尔摩数千名家长心中的一根刺,所以在安卓应用商店,Skolplattform平均分只有1