标签文章:#漏洞#
-
受多起数据泄露事件影响,微软被指“不注重网络安全”
IT之家8月4日消息,微软这段时期的安全记录令人遗憾,自在上个月微软旗下Azure服务遭到攻击之后,该公司正面临着越来越多的批评。微软在上月7月12日披露了旗下Azure平台的重大漏洞,微软同时承认一个名为Storm-0558的黑客组织对其进行了攻击。据悉,这次攻击影响了25个组织,大量企业高管、政府官员的电子邮件遭到窃取。据外媒CyberSecurityDive报道,美国参议员RonWyden上
阅读更多Echo 2023.08.04 14:15 129浏览 0回复
-
WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响
IT之家7月4日消息,UltimateMember是WordPess博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司Wordfence目前曝出该插件存在零日漏洞,黑客可将自己的账号提权为管理员,进而控制接管网站。▲图源Wordfence据悉,该插件存在编号为CVE-2023-3460的重大漏洞,风险评分为9.8,黑客可利用该漏洞,绕过此插件内置的各项安全措施,修改账号的wp_capabil
阅读更多 -
研究人员曝光 Linux 发行版 Gentoo 存在重大漏洞,黑客可进行 SQL 注入攻击
IT之家7月3日消息,网络安全公司SonarSource在日前研究中发现,GentooLinux发行版中存在漏洞CVE-2023-28424,黑客可以利用该漏洞进行SQL注入攻击。研究人员从GentooLinux的Soko搜索组件中找到了这个漏洞。该漏洞的CVSS风险评分为9.1,属于特别重大漏洞,GentooLinux开发团队已经于漏洞曝出24小时内进行了修复。▲图源SonarSource▲图源
阅读更多 -
兆勤紧急修复旗下 NAS 设备零日漏洞,避免被黑客利用攻击
IT之家6月28日消息,兆勤(Zyxel)是一家专门耕耘于网络设备的厂商,旗下许多设备都被用于各国家地区政务服务。安全分析公司6月20日曝光,兆勤旗下设备存在CVE-2023-27992漏洞(CVSS风险评分9.8),而当天就有传闻称黑客开始利用该漏洞进行攻击。▲图源CISA漏洞追踪网站IT之家注意到,该漏洞影响以下固件:兆勤NASV326.5(AAZF.21)C14之前的NAS0固件;V540.
阅读更多 -
深度图像识别方案供应商 Grafana 曝出重大漏洞,可挟持微软 Azure AD 账号
IT之家6月28日消息,深度图像识别方案供应商Grafana日前发布安全通告,表示旗下Grafana环境存在重大漏洞CVE-2023-3128,黑客可利用该漏洞接管挟持所登录的微软AzureAD账号。▲图源 Grafana官网据悉,这项漏洞起因是Grafana平台使用电子邮件信箱来验证AzureAD账号,一旦黑客对此加以利用,就能在采用AzureAD的OAuth身份验证的Grafana环
阅读更多 -
研究人员发现 GitHub 存在 RepoJacking 漏洞,用户库可遭挟持攻击
IT之家6月27日消息,安全公司AquaNautilus日前曝光了GitHub库中存在的RepoJacking漏洞,黑客可以利用该漏洞,入侵GitHub的私人或公开库,将这些组织内部环境或客户环境中的文件替换为带有恶意代码的版本,进行挟持攻击。据悉,当GitHub用户/组织更改其名称时,可能会发生RepoJacking,这是一种供应链攻击,允许攻击者接管GitHub项目的依赖项或整个项目,以对使用
阅读更多 -
2022 年累计发现 25096 个漏洞,同比增长 25%
IT之家6月7日消息,根据安全公司Skybox公布的最新统计数据,2022年累计发现了25096个漏洞,相比较2021年发现的20196个,同比增长了25%,是自2017年以来最大增幅。2022年报告的漏洞中,有80%危险程度是“中等”和“高等”,还有16%是“关键”漏洞。该机构威胁情报分析师RanAbramson表示:“2022年是漏洞创纪录的一年,攻击者瞄准最敏感的资产,并试图扩大破坏力,其攻
阅读更多 -
微软警告 MOVEit Transfer 文件共享系统存在零日漏洞,黑客可任意修改数据库 SQL 语句
IT之家6月6日消息,MOVEitTransfer是美国Progress公司所开发的MFT档案共享系统,可以让企业安全地传输文件。日前微软发布推文,警告用户须留意MOVEitTransfer中存在的零日漏洞CVE-2023-34362。▲ 图源MicrosoftThreatIntelligenceCVE-2023-34362漏洞允许未经验证的攻击者,读取MOVEitTransfer资料库
阅读更多 -
2019 年款 Wemo 智能插头被曝远程执行漏洞,贝尔金称没有计划修复
IT之家5月17日消息,根据Sternum安全研究人员发布的博文,贝尔金于2019年推出的WemoMiniSmartPlugV2(型号F7C063)智能插头存在缓冲区溢出漏洞,黑客可以利用该漏洞远程执行命令。WemoMiniSmartPlugV2设置了30个字符的名称限制,不过可以通过覆盖的方式实现内存缓冲区错误。不过贝尔金并没有计划修复这个漏洞,表示WemoMiniSmartPlugV2上市已将
阅读更多 -
英特尔突然发布 CPU 微码更新,最早可追溯到 Coffee Lake 八代处理器
IT之家5月14日消息,英特尔基于14nm的第8代处理器“CoffeeLake”于2020年6月1日停产,包括酷睿i3-8100到i7-8700K以及奔腾G5500到5600和赛扬G4900系列。本周五,英特尔在Github库中上传了一份新的CPU微码,从CoffeeLake、WhiskeyLakeMobile到最新的XeonScalableGen4、XeonMax、RaptorLake、Alde
阅读更多 -
降级系统应用会带来风险,安卓 5 月安全补丁堵住漏洞
感谢IT之家网友软媒新友1933769的线索投递!IT之家5月2日消息,如果你的手机上有一些预装的安卓应用,可能会遇到过这样的情况:当应用出现问题时,你可以通过降级到旧版本的方法来恢复正常。这种方法虽然方便,但也存在一定的安全隐患。因为旧版本的应用可能存在已经被修复的漏洞,如果被黑客利用,就可能导致手机被入侵或者数据被泄露。为了解决这个问题,谷歌为安卓系统最新发布了5月份的安全补丁,修复了一个编号
阅读更多 -
报告称 86% 的开发者对代码漏洞知情
IT之家4月26日消息,根据最新问卷调查结果,86%的软件开发人员和AppSec经理对代码中存在漏洞知情。88%的受访AppSec经理表示,在过去1年里因代码漏洞遭到攻击。市场调查机构Checkmarx对1500多名首席信息安全官(CISO)、AppSec经理和软件开发人员展开调查,发现60%的漏洞可以在代码构建或者测试阶段检测发现的。IT之家援引报告内容,发现34%的受访者表示AppSec扫描已
阅读更多 -
研究人员发现 ChatGPT 生成的代码大部分不安全,但它不会主动告诉你
感谢IT之家网友Coje_He的线索投递!IT之家4月23日消息,ChatGPT聊天机器人可以根据用户的输入生成各种各样的文本,包括代码。但是,加拿大魁北克大学的四位研究人员发现,ChatGPT生成的代码往往存在严重的安全问题,而且它不会主动提醒用户这些问题,只有在用户询问时才会承认自己的错误。研究人员在一篇论文中介绍了他们的发现,IT之家查看该论文发现,他们让ChatGPT生成了21个程序和脚本
阅读更多 -
谷歌紧急发布安全补丁,建议 30 亿 Chrome 用户尽快安装
感谢IT之家网友华南吴彦祖的线索投递!IT之家4月17日消息,近日,谷歌发现Chrome浏览器存在一个严重的安全漏洞,该漏洞已经被黑客利用,可能导致用户的数据和电脑受到损害。为了解决这个问题,谷歌紧急推出了一个安全更新,并建议所有的Chrome用户尽快安装。这个漏洞被命名为CVE-2023-2033,是一个类型混淆漏洞,出现在Chrome浏览器使用的V8JavaScript引擎中。简单来说,类型混
阅读更多 -
报告:2022 年微软有 18 个零日漏洞被黑客组织利用
IT之家3月21日消息,安全公司Mandiant发布的最新报告显示,2022年黑客组织利用了大量软件中的零日漏洞进行攻击。该报告称,该公司在过去一年追踪到了55个被黑客活跃利用的零日漏洞。这个数字虽然比2021年的88个有所下降,但仍然远高于以往多数年份。图源Pexels不出所料,微软、谷歌和苹果制造的软件产品在2022年被发现具有最多的零日漏洞。根据该报告,微软在2022年共有18个零日漏洞,其
阅读更多 -
谷歌 Pixel 手机截图编辑工具被曝出安全漏洞,打码的信息能被还原
IT之家3月20日消息,谷歌Pixel手机自带的截图编辑工具Markup被曝存在一个安全漏洞,可能导致用户编辑过的截图被部分还原,从而暴露用户想要隐藏的隐私信息。这一漏洞最早由反向工程师SimonAaarons和DavidBuchanan揭露,谷歌已经在3月份的安全更新中修复了这一漏洞,但是在此次更新之前用户分享到网上的截图仍然有风险。根据Aaarons在Twitter上发布的一个帖子,这个被称为
阅读更多 -
三星回应旗下调制解调器存在 18 个漏洞:已提供修复补丁,问题现已解决
IT之家3月17日消息,IT之家今天早些时候曾报道,谷歌ProjectZero安全团队近日称此前在三星调制解调器中发现了18个漏洞,包括Pixel6系列、Pixel7系列、三星GalaxyS22系列和GalaxyA53等机型均使用该调制解调器。对此,三星向IT之家回应称:去年年底,我们收到了谷歌projectzero的安全问题通知,三星已针对此漏洞给所有客户提供了修复的补丁版本,相关问题现已解决。
阅读更多 -
2022 年漏洞统计:谷歌以 1372 个位居榜首、苹果以 456 个排在第六,Fedora 发行版漏洞最多
IT之家3月16日消息,根据安全公司Atlas公布的最新报告,谷歌、Fedora、微软产品存在的漏洞数量最多。苹果公司以456个漏洞位居第六、华为以303个漏洞位居第十。IT之家附报告主要内容如下:在2022年根据厂商划分,排名前十的名单如下:谷歌:1372个Fedora项目:945个微软:939个Debian:887个甲骨文:529个苹果:456个Netapp:415个Jenkins:381个L
阅读更多 -
苹果披露多个新安全漏洞,已在 iOS 16.3 中修复
IT之家2月21日消息,在上周的iOS16.3.1中,苹果为iPhone和iPad用户带来了多个安全补丁。苹果公司现在已经更新了其安全网页,揭示了在最新的iOS更新中哪些漏洞被修复。IT之家查看苹果官网获知,苹果为iOS16.3.1增加了一个新的“通用漏洞披露”(CVE),为1月份发布的iOS16.3增加了三个新的CVE。苹果列出的iOS16.3.1修补的新漏洞与“恶意制作的证书”有关,可能导致拒
阅读更多 -
英特尔修补大量 SGX 安全漏洞,请尽快更新补丁
IT之家2月17日消息,英特尔已经解决了在其 SoftwareGuardExtensions(SGX)中发现的多个漏洞,并敦促用户尽快更新应用补丁。据介绍,这些缺陷涉及了“广泛的英特尔产品”,包括至强处理器、网络适配器和软件。今天,英特尔安全中心共增加了31条警告,其中包括5条CVE风险。在这五个风险漏洞中,有两个可以用来给非法应用提权,从而导致敏感数据遭窃。第三个漏洞CVE-2022-
阅读更多