标签 > 标签文章:#漏洞# (共有290文章) 美国网络安全和基础设施安全局:域控制器不要安装微软 Windows 5 月“星期二补丁”更新 IT之家5月17日消息,据Neowin报道,微软使用其最新的“星期二补丁”更新修补了在CVE-2022-26925下跟踪的Windows本地安全机构(LSA)欺骗漏洞。高严重性漏洞使未经身份验证的攻击者能够匿名调用方法并强制域控制器(DC)通过NTLM对其进行身份验证。在最坏的情况下,这可能会导致特权提升和攻击者控制整个域。详细说明此漏洞很重要,因为美国网络安全和基础设施安全局(CISA)已要求联 2022年05月17日 17:25 525 0 研究人员发现苹果 Silicon 芯片漏洞“Augury”,影响 A14 和 M1 / Max / Pro IT之家5月3日消息,据9to5Mac报道,在深入研究AppleSilicon之后,研究人员发现了一个影响苹果最新M1和A14芯片的新漏洞。“Augury”AppleSilicon微架构缺陷已被证明会泄漏静态数据,但目前似乎还没有“那么糟糕”。伊利诺伊大学厄巴纳香槟分校的JoseRodrigoSanchezVicarte和华盛顿大学的MichaelFlanders领导的一组研究人员,他们公布了发现 2022年05月03日 08:35 536 0 微软扩大漏洞悬赏力度,2 万美元基础上额外再奖励 30% 赏金 IT之家4月15日消息,微软公司正计划扩大悬赏力度,针对客户安全影响严重的漏洞愿意支付更高的赏金。微软近日宣布了Dynamics365andPowerPlatformBountyProgram以及M365BountyProgram,在现有最高2万美元赏金基础上,根据漏洞级别最高额外增加30%赏金,也就是26000美元(约16.59万元人民币)。“通过这些新的基于场景的赏金奖励,我们鼓励研究人员将研 2022年04月15日 11:50 262 0 蚂蚁集团上报 Spring 框架「高危」漏洞,现已修复 IT之家4月2日消息,2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-23942)。并发布了关于Spring框架存在远程命令执行漏洞的安全公告,安全公告编号:CNTA-2022-0009。下面是公告内容:2022年3月30日,国家信息安全漏洞共享平台(CNVD)收录了Spring框架远程命令执行漏洞(CNVD-2022-2394 2022年04月02日 18:35 358 0 Facebook 因算法漏洞连推糟糕内容,一直持续半年 北京时间4月1日消息,Facebook动态消息(NewsFeed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处传播。工程师找不到根本原因,只能眼睁睁看着虚假信息持续发酵,几个星期后平息,然后复 2022年04月01日 06:53 353 0 谷歌 Chrome 和微软 Edge 浏览器发布紧急补丁,修复 Chromium 严重安全漏洞 IT之家3月27日消息,谷歌Chrome和微软Edge浏览器的主要更新一般为每四周发布一次,但是修复错误、性能问题和安全漏洞的小补丁也会偶尔另外发布。近日,Edge和Chrome浏览器都收到了一个紧急补丁,以修补Chromium中存在的安全漏洞。该漏洞被标记为CVE-2022-1096,到目前为止,关于该漏洞的公开披露很少。微软安全响应中心(MSRC)简单地将其描述为“V8中的类型混淆”。V8是C 2022年03月27日 21:33 475 0 亚马逊 Echo 智能音箱自己把自己黑了:随机购物拨号,还能自主开灯关门 去,把空调温度调到40℃。好的。这是来自同一个智能音箱的自问自答,只不过干的事儿,是自己攻击自己:随机拨号、自主开门、拿主人账户上亚马逊购物、把空调温度调至一个致死率爆炸的数字……这位“自黑者”是亚马逊家的智能音箱AmazonEcho,当然,并不是什么AI相关的智械危机,而是一个来自英国和意大利的研究团队的安全试验。他们远程黑入智能音箱,通过技术手段让智能音箱自发地给自己下达恶意指令。恶意指令中, 2022年03月16日 14:05 279 0 苹果新漏洞曝光,这款 1990 美元工具可暴力破解 T2 Mac 密码:M1 芯片版不受影响 IT之家2月18日消息,据AppleInsider报道,一家生产密码破解工具的公司表示,在MacT2芯片中发现的一个新的漏洞使其可以强行破解密码并解密设备。苹果的T2芯片,除其他功能外,允许Mac用户对其固态硬盘上的数据进行加密和解密。这种加密得到了其他安全功能的支持,如限制密码尝试的次数以减轻暴力攻击。由于Mac的密码并不存储在其固态硬盘上,绕过这种加密意味着攻击者需要用蛮力解密密钥,这可能需要 2022年02月18日 10:04 501 0 因发现以太坊关键漏洞,苹果 iOS 越狱之父获奖 200 万美元巨额奖金 感谢IT之家网友肖战割割的线索投递!IT之家2月13日消息,白帽黑客和iOS越狱软件Cydia开发者JayFreeman近日在推特称,因其发现了一个以太坊的关键漏洞,获得了高达200万美元的巨额奖金。以太坊第二层扩展项目Optimism的开发人员称,这个bug本月早些时候被发现,目前已经打补丁修复。这个bug可以让黑客在Optimism账户余额中随心所欲地创造出更多的以太币(ETH)。在一篇博文中 2022年02月13日 10:50 387 0 谷歌:在 2021 年花了 870 万美元,奖励找到漏洞的人 IT之家2月12日消息,为了提高产品和平台的安全性,谷歌为Android、GooglePlay、Chrome和Web服务推出漏洞奖励计划(VRP)。官方宣布,这一支出在2021年增加了200万美元,达到870万美元。谷歌表示,我们很高兴地报告,在2021年授予了创纪录的8,700,000美元的漏洞奖励,研究人员将超过300,000美元的奖励捐赠给了慈善机构。IT之家了解到,ChromeVRP再次以 2022年02月12日 20:40 426 0 美国宣布成立网络安全审查委员会,首要任务调查 Log4j 漏洞事件 IT之家2月5日消息,据TheVerge报道,美国国土安全部周四宣布成立一个新机构网络安全审查委员会(CSRB),以调查重大网络安全事件。这个15人的董事会将由来自NSA、FBI和CISA等机构以及包括国防部和司法部在内的政府部门的高级官员,以及来自谷歌、微软和Verizon等公司的私营部门高管组成。CSRB的任务是调查影响政府和行业的重大网络安全事件,并生成包含提高国家网络安全弹性建议的报告。I 2022年02月05日 22:03 402 0 英特尔称其 CPU Bug 更少,只有 AMD 的一半 IT之家2月4日消息,据Tom'sHardware报道,英特尔称其CPU在2021年报告了16个漏洞,而AMD处理器则有31个漏洞。▲图自英特尔IT之家了解到,这些数据来自英特尔最新的2021年产品安全报告,该报告提供了有关漏洞数量的统计数据,并提供了有关英特尔漏洞奖励计划的信息。英特尔称,其CPU在2021年报告了16个安全漏洞,其中6个是研究人员在漏洞奖励计划中发现的,另外10个是在公司内部发 2022年02月04日 09:57 504 0 Linux 爆发 pkexec 提权漏洞,麒麟软件发布修复方案 IT之家1月30日消息,近日,LinuxPolkit中pkexec权限提升漏洞爆发,麒麟软件迅速开展漏洞修复,已在麒麟软件官网发布了针对此漏洞的安全公告,为用户提供紧急修复方案。pkexec应用程序是一个setuid工具,旨在允许非特权用户根据预定义的策略以特权用户身份运行命令。当前版本的pkexec没有正确处理调用参数的个数,并最终试图将环境变量作为命令执行,从而诱导pkexec执行任意代码。此 2022年01月30日 21:51 568 0 中高端无线路由器 USB 共享组件被曝严重漏洞,厂商推出紧急固件更新 感谢IT之家网友dluter的线索投递!IT之家1月14日消息,根据外媒threatpost报道,近期安全机构 SentinelOne的研究人员发现,十分常用的NetUSBUSB共享组件中存在一个严重的远程代码执行漏洞(CVE-2021-45388),涉及的厂商包括Netgear网件、TP-Link、腾达、EDiMAX、DLink、西部数据等等,凡是带有USB接口并且能够接入网络的无线路 2022年01月14日 14:34 345 0 一朝被 Log4j 坑,十年怕开源:苹果等科技企业将举行会谈讨论相关安全风险问题 IT之家1月13日消息,据路透社报道,在2021年美国遭受数次重大网络攻击后,苹果、谷歌、亚马逊、Meta和IBM将出席白宫会议,一同讨论开源软件的安全问题。除了大型科技公司外,包括美国国土安全部、国防部和商务部在内的政府机构也将出席。据介绍,此次会议将由美国国家安全顾问杰克沙利文主持,并将重点讨论“对开源软件安全的担忧以及如何改进它”。此次会议根本在于对开源软件Log4j中发现的安全漏洞的担忧。 2022年01月13日 21:55 358 0 2021 网络攻击同比增长 50%,Log4j 漏洞“功不可没” IT之家1月12日消息,网络安全公司CheckPointResearch近日发布了2021年安全报告,2021年每周对企业网络的总体攻击增加了50%。报告称,在全世界互联网上最严重的漏洞之一(每小时有数百万次攻击试图利用Log4J漏洞)不到一个月后,2021年就网络安全而言是创纪录的一年。从2020年中期到2021年底,网络攻击的数量呈上升趋势。这一趋势在年底达到了历史最高水平,在全球范围内达到每 2022年01月12日 10:26 324 0 阿里云回应未及时上报 Log4j2 重大漏洞:早期未意识到严重性,将提升合规意识 感谢IT之家网友菜狗的线索投递!IT之家12月23日消息,近日,工信部发布通报,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。阿里云官方今日回应称,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息 2021年12月23日 17:32 572 0 未及时报告 Log4j2 严重漏洞,阿里云被暂停工信部网络安全威胁信息共享平台合作单位 IT之家12月22日消息,据21世纪经济报道,近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研 2021年12月22日 10:50 512 0 Apache Log4j 出现第四个漏洞,2.17.0 版本已修复 感谢IT之家网友肥猫丶的线索投递!IT之家12月20日消息,ApacheLog4j最近是屋漏偏逢连夜雨,已经连续曝光了三个漏洞,版本号也更新到了2.16.0。近日,ApacheLog4j的 2.0-alpha1到2.16.0 版本被发现存在新的漏洞 CVE-2021-45105,该漏洞评分7.5,官方已发布2.17.0修复了该漏洞。IT之家了解到,该漏洞是自引用查找的 2021年12月20日 14:40 515 0 微软 Azure Sentinel 工具已支持检测 Log4j 2 漏洞,推出新插件 IT之家12月19日消息,近期的 ApacheLog4j2漏洞引起全球范围的恐慌,一些大企业的软件受到了攻击,该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害。我国工信部网络安全管理局也发布了安全风险提示。根据外媒mspoweruser消息,微软AzureSentinel工具近期添加了新插件,支持运维人员检测业务中是否存在Log4j漏洞。AzureSentinel 2021年12月19日 07:57 365 0