安全漏洞_Tag标签_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
当前位置:程序员俱乐部 >>Tag标签 >> 安全漏洞 >>列表
FastAdmin系统后台存在高危安全漏洞FastAdmin系统后台存在任意删除文件漏洞漏洞链接参见:国家信息安全中心漏洞共享平台其实,漏洞远远不只这一个。原因相当简单,因为此框架是基于thinkphp开发的,其版本是5.0,而从5.0到5.1的多个小版本均有各种高危安全漏洞。并且,可悲的是thinkphp官方并未提供无缝升级的补丁。我曾经用composerupdate升级,官方网站说的是可以无缝平滑升级,结果是,升级后,系统瘫痪了。我也试过只升级指定的组件,结果,一样出现大量的问题。并且... 查看全文
最新研究表明,热门约会交友应用Tinder目前仍缺乏必要的加密技术,确保用户照片、滑动操作和匹配信息的私密性。本周二,以色列移动应用信息安全公司Checkmarx的研究人员指出,Tinder仍缺乏基本的HTTPS加密技术。只要与Tinder用户处于相同的WiFi网络中,研究人员就可以查看该用户的任何照片,甚至将其他照片注入到用户的照片流中。此外,尽管Tinder的其他数据通过HTTPS技术进行了加密,但Checkmark发现,Tinder泄露了足够多的信息,从而让黑客可以识别出加密命令... 查看全文
熔断”和“幽灵”安全漏洞引起互联网公司的高度重视。近日,苹果官方发文,对这两大漏洞的原理和影响进行了说明。以下是全文:安全研究人员最近发现了名为“Meltdown”(熔断)和“Spectre”(幽灵)的安全问题。这些问题触及所有现代处理器,并且会影响几乎所有计算设备和操作系统。所有Mac系统和iOS设备都会受到影响,但目前还没有影响客户的已知漏洞利用... 查看全文
北京时间1月12日早间消息,Alphabet旗下谷歌部门周四称,该公司去年就已开发出用于修补Spectre和Meltdown芯片安全漏洞的软件补丁,其云服务速度并未因此变慢。这两个漏洞影响到了英特尔、AMD和ARM芯片,黑客可利用这些漏洞读取电脑存储和窃取密码,令智能手机、电脑和服务都面临风险。谷歌ProjectZero项目研究人员与来自多个国家的学术界和业界研究人士合作,在1月3日首次公开报告了上述漏洞,但大型科技公司称其在几个月前就已获悉相关信息... 查看全文
微软已经为Surface设备推送了CPU两项安全漏洞(代号分别是Meltdown和Spectre)的固件修复,近日WindowsUpdate应该就会自动更新。以下Surface设备都会有各自的修复补丁:SurfacePro3SurfacePro4SurfaceBookSurfaceStudioSurfaceProModel1796SurfaceLaptopSurfaceProwithLTEAdvancedSurfaceBook2微软称目前还未收到任何因为这个漏洞而被攻击的案例... 查看全文
本来以为只是一个服务器级别的安全漏洞,但更进一步的资料表明,Intel处理器这次捅的篓子波及到了过去20年的所有使用他们CPU的产品,无论你是手机还是电脑。Intel官方回应称,他们和相关科技公司已经完全了解到了安全漏洞的工作机制,如果被恶意理用,有可能会造成信息数据泄露,但是绝没有修改、删除和导致系统崩溃的可能。第二点,关于该漏洞仅仅是Intelx86-64处理器的一个设计BUG或者说缺点,Intel认为报道有误。他们指出AMD/ARM的服务器系统事实上也受到波及,大伙儿正紧密配合... 查看全文
英特尔CEO科再齐腾讯科技讯,据外电报道,英特尔芯片存在安全漏洞的事件正在不断发酵。该公司首席执行官科再齐(BrianKrzanich)周三对此表示,谷歌的研究人员“不久之前”告知公司的芯片存在安全漏洞,英特尔将从下周起着手修复这一漏洞。科再齐表示,他对黑客尚未利用这一漏洞“相对自信”,且整个产业携手处理这一问题已有几个月时间。“我们没有发现有黑客利用这一漏洞的事例,现在测试的修补程序是为了防止未来的黑客攻击,”他说... 查看全文
微软昨天开始向所有的附带WindowsDefender反病毒软件的操作系统发送紧急更新用于修复高危安全漏洞。作为微软自家反病毒软件的WindowsDefender被广泛默认安装在Windows8以及Windows10操作系统中。但万万没想到该软件存在着高危漏洞可以让攻击者远程执行任意代码,最终攻击者可以完全接管整个操作系统。幸亏这些漏洞是被英国国家网络安全中心发现的,由于此次影响的操作系统和产品实在是太多了,如果被其他攻击者发现估计这攻击和感染规模就不得了了。两个远程代码执行漏洞... 查看全文
全球最大PC制造商之一的戴尔公司宣布开始提供关闭英特尔ME的服务。戴尔的Latitude系列的多款笔记本系统中提供了一个关闭ME的配置选项“IntelvPro--MEInoperable,CustomOrder”,收费20.92到40美元。自2008年起,英特尔处理器平台内置了一个低功耗子系统ManagementEngine(ME),它有自己独立的操作系统,能访问系统主内存和网络,并能运行一些底层的程序。而且ME几乎无法被关掉,一旦启动(甚至关机状态)ME就会一直运行... 查看全文
在为Ubuntu16.04LTS(XenialXerus)修复内核补丁修复13处漏洞之后,Canonical宣布为Ubuntu17.10带来首个重磅内核更新,共计修复了所搭载的Linux4.13内核中20处漏洞,其中就包含树莓派2的漏洞。访问:https://wiki.ubuntu.com/Security/Upgrades根据安全日志本次修复的20处漏洞中,其中5处关于LinuxKernel的USB子系统,包含use-after-free漏洞,允许黑客通过物理接触方式使用拒绝服务(DoS攻击... 查看全文
如果你有在GitHub上托管含有依赖的项目,那么有个好消息要告诉你。该网站已经提供了一项全新的功能,可能告诉你其中是否涉及一些安全隐患,比如早段时间曝光的一些可能伤害网站或app的漏洞。对软件开发们来说,新功能还可以帮忙给出来自GitHub社区的修复建议。在轻松地修复之后,你的项目可以更加顺利地进行。需要指出的是,当前该功能仅支持JavaScript和Ruby,不过GitHub承诺将于明天加入对Python的支持。启用之前,还得现在设置中打开依赖图(公用存储库中是自动开启的)... 查看全文
不久前,亚马逊曾经推出一个颇为新颖的服务,送货的快递员能够利用消费者家中的联网摄像头,进行包裹扫描之后自动打开门锁,将商品放在消费者家中。不过据外媒最新消息,亚马逊这一服务近日曝出了安全漏洞,研究人员发现,快递员可以在出门之后再一次轻松进入消费者家中,带来盗窃等风险。亚马逊这一服务的官方名字是“亚马逊钥匙”,这一服务利用了用户家中的联网摄像头和智能门锁,对商品包裹的条码进行扫描之后,相关信息将和智能门锁匹配,家门将给快递员自动打开。据CNBC、连线等美国媒体报道... 查看全文
昨天最令人感到惊讶和担忧的就是,服役超过13年的WPA2加密协议已经被攻破,意味着在你家或办公室Wi-Fi物理覆盖范围内的攻击者,都可以向破解并发动入侵,监听你的网络活动、拦截不安全或未加密的数据流。针对本次严重的安全漏洞,包含DebianLinux在内的诸多系统厂商已经着手部署安全补丁,以便于提供更安全的上网环境。该补丁已经修复了CommonVulnerabilitiesandExposures(CVE)的如下漏洞CVE-2017-13077CVE-2017-13078CVE-2017... 查看全文
BI中文站10月2日报道甲骨文周日在旧金山召开了年度用户大会OracleOpenWorld大会,公司联合创始人兼执行董事长拉里-埃里森(LarryEllison)在大会上发布了一套面向网络安全的新产品。这是埃里森首次在用户大会上发表主题演讲,他宣布了一款新的自动化数据库,该产品可以在不离线的情况下自行修复网络安全漏洞。这款自动化数据库名为Oracle18c,它可以在运行过程中自行修复安全漏洞。埃里森说,现在的数据库必须停机下线才能修复网络安全漏洞,相比之下,新数据库显然要先进一些。埃里森说... 查看全文
这苹果全新的macOSHighSierra操作系统才发布没多久,已经有安全专家发现了它的致命漏洞,苹果也是醉了。Synack首席安全研究员PatrickWardle公布了一段新视频,主要展示了自己是如何利用密码泄露漏洞对macOSHighSierra发起攻击的,整个过程非常轻松。PatrickWardle表示,密码存放在Mac计算机的Keychain内,但是在新Mac系统上,用户只要从网络下载一个无签名App,就能轻松攻破这道防线... 查看全文
据外媒报道称,物联网安全研究公司Armis在蓝牙协议中发现了8个零日漏洞,这些漏洞将影响超过53亿设备——从Android、iOS、Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备,利用这些蓝牙协议漏洞,Armis构建了一组攻击向量(attackvector)“BlueBorne”,演示中攻击者完全接管支持蓝牙的设备,传播恶意软件,甚至建立一个“中间人”(MITM)连接。演示中建立一个&ldquo... 查看全文
根据一份新的研究报告,Facebook安全漏洞允许其至少100万个帐户产生超过1亿个“点赞”和评论,作为所谓的“串通网络”。据CBSNews报道,爱荷华大学和巴基斯坦拉合尔管理科学大学的研究人员发现了一个“利用串通原则的大规模信誉操纵服务的蓬勃发展的生态系统”。这项研究成果于将于11月1日在国际计算机学会InternetMeasurementConference研讨会上公布。研究小组发现,超过50个网站为用户的帖子提供免费... 查看全文
FDA(美国食品和药品管理局)周二发布通知称,健康公司Abbott有46.5万个心脏起搏器存在安全漏洞,可能会遭到黑客攻击,因此需要召回进行软件升级。心脏起搏器通常被植入病人的胸腔内,并用电线接入心脏,让心脏正常跳动。黑客攻击心脏起搏器的情节在热播剧《国土安全》(Homeland)中出现过。在这部剧中,一名恐怖分子利用无线通讯技术黑入了副总统的心脏起搏器中,其结果你可能都猜到了。很多人可能对这种虚构的情节嗤之以鼻,但是美国副总统迪克-切尼(DickCheney)曾在2013年表示... 查看全文
近日,位于莫斯科的安全研究机构PositiveTechnologies报告指出,IntelManagementEngine11存在死亡按钮,可以被黑客窃取。ManagementEngine(管理引擎)是Intel的一个固件接口,用于处理器和周围的芯片进行通讯,进行热管理等。安全专家将威胁视为后门一样的存在,然而官方尚未进行修复。民间有称之为MECleaner的工具,但无法彻底实现芯片级别的禁用,印尼为ME有着完整的网络和存储访问权。周一,PT表示... 查看全文
中国的漏洞报告网站乌云已经关闭(aka升级)了一整年,网站高管至今下落不明。在乌云关闭前,曾发生了一起引发广泛关注的事件:一位白帽子黑客向乌云报告了世纪佳缘的漏洞,但随后他因为世纪佳缘的举报而遭到警方的逮捕。同样的事情也在国外发生了:匈牙利逮捕了一名18的少年黑客。他发现了公交管理局BudapestiKözlekedésiKözpon在线售票系统的漏洞,该漏洞允许任何人打开浏览器的开发者工具,然后修改源代码,改变定价。他将漏洞报告给了BKK... 查看全文