漏洞_Tag标签_程序员俱乐部

· Dnsmasq发现三个远程代码执行漏洞发布时间：2017-10-04

被运行Linux、FreeBSD、OpenBSD、NetBSD和macOS的设备广泛使用的软件包Dnsmasq发现了7个新漏洞，其中三个允许黑客远程代码执行漏洞，编号为CVE-2017-14493的漏洞允许攻击者绕过防御在设备上执行任意代码。Dnsmasq提供了代码简化了联网设备使用DNS和动态主机配置协议通信，它包含在Android和大多数Linux发行版中，以及其它操作系统和路由器固件中。Dnsmasq开发者已经释出了v2.78修复了这些漏洞... 查看全文

· 甲骨文发布自动化数据库可自行修复网络安全漏洞发布时间：2017-10-03

BI中文站10月2日报道甲骨文周日在旧金山召开了年度用户大会OracleOpenWorld大会，公司联合创始人兼执行董事长拉里-埃里森（LarryEllison）在大会上发布了一套面向网络安全的新产品。这是埃里森首次在用户大会上发表主题演讲，他宣布了一款新的自动化数据库，该产品可以在不离线的情况下自行修复网络安全漏洞。这款自动化数据库名为Oracle18c，它可以在运行过程中自行修复安全漏洞。埃里森说，现在的数据库必须停机下线才能修复网络安全漏洞，相比之下，新数据库显然要先进一些。埃里森说... 查看全文

· 苹果公开感谢腾讯发现iOS漏洞：曝出不为人知的秘密发布时间：2017-10-02

10月1日，腾讯安全旗下的微信公众号“腾讯安全联合实验室”发文称，苹果再次公开致谢，腾讯安全玄武实验室再现漏洞“收割”技能。文章称，北京时间9月20日凌晨，苹果正式发布iOS11操作系统，这一系统相较iOS10迎来多项重大更新，且可以支持自iPhone5S以后的所有机型。在系统升级的同时，苹果公司在官网同步发布了iOS11以及Safari11的安全更新，其中特别强调，苹果已修复了腾讯安全玄武实验室提交的两大安全漏洞，并为此表示感谢... 查看全文

· 今天刚刚发布，新Mac OS就被发现有重大安全漏洞发布时间：2017-09-26

这苹果全新的macOSHighSierra操作系统才发布没多久，已经有安全专家发现了它的致命漏洞，苹果也是醉了。Synack首席安全研究员PatrickWardle公布了一段新视频，主要展示了自己是如何利用密码泄露漏洞对macOSHighSierra发起攻击的，整个过程非常轻松。PatrickWardle表示，密码存放在Mac计算机的Keychain内，但是在新Mac系统上，用户只要从网络下载一个无签名App，就能轻松攻破这道防线... 查看全文

· 蓝牙协议爆安全漏洞影响53亿设备研究人员演示攻击发布时间：2017-09-14

据外媒报道称，物联网安全研究公司Armis在蓝牙协议中发现了8个零日漏洞，这些漏洞将影响超过53亿设备——从Android、iOS、Windows以及Linux系统设备到使用短距离无线通信技术的物联网设备，利用这些蓝牙协议漏洞，Armis构建了一组攻击向量(attackvector)“BlueBorne”，演示中攻击者完全接管支持蓝牙的设备，传播恶意软件，甚至建立一个“中间人”（MITM）连接。演示中建立一个&ldquo... 查看全文

· 税制存漏洞谷歌Facebook在欧盟“逃过”64亿美元税负发布时间：2017-09-14

欧洲各国一直批评美国的科技公司在欧洲进行避税，导致本国损失了大量税收，美国公司在当地的收入和税金严重不成比例。据欧盟最新一份调查报告指出，从2013年到2015年，Facebook和谷歌这两大网络巨头在欧盟避免了54亿欧元的税负，相当于64亿美元。据路透社报道，这份报告将在当地时间周四被公开，而一些内容首先被媒体公开。本周末，欧盟多国财政部长将举行两天的会议，一项重要内容是改革欧盟的税收制度，避免美国科技公司在欧盟避税。美国科技公司在欧盟避税已经不是新闻，苹果、谷歌、Facebook... 查看全文

· 研究人员发现FB安全漏洞允许近百万个帐户产生超过1亿个点赞和评论发布时间：2017-09-09

根据一份新的研究报告，Facebook安全漏洞允许其至少100万个帐户产生超过1亿个“点赞”和评论，作为所谓的“串通网络”。据CBSNews报道，爱荷华大学和巴基斯坦拉合尔管理科学大学的研究人员发现了一个“利用串通原则的大规模信誉操纵服务的蓬勃发展的生态系统”。这项研究成果于将于11月1日在国际计算机学会InternetMeasurementConference研讨会上公布。研究小组发现，超过50个网站为用户的帖子提供免费... 查看全文

· Android手机新漏洞：几乎所有处理器都中招了发布时间：2017-09-08

最近有安全人员发现了一个手机漏洞，这个漏洞主要是针对Android手机平台的，由于Android系统已经占据了全球智能手机市场90%以上的市场份额，所以这个漏洞的威胁还是比较大的。该漏洞存在于大多数Android手机的处理器当中，包括联发科、高通、英伟达甚至是华为等等，该漏洞触发于bootloader（引导加载程序）环节，由于出现在启动引导环节，所以会非常便利地被别有用心的黑客用于获取ROOT权限等。根据消息源的介绍，这次安全人员使用了包括Tegra的Nexus9... 查看全文

· 三星公布20万美元漏洞赏金计划覆盖38款设备发布时间：2017-09-08

9月7日据国外媒体报道，三星公司刚刚公布了自己最新的漏洞赏金计划。公司宣布将向发现旗下产品漏洞的用户支付最高20万美元的奖金。三星的这项移动安全奖励计划，覆盖了旗下38款移动设备，并且这些设备每月或每季度依然还在接收来自三星的安全更新。本次漏洞奖励计划覆盖了GalaxyS、GalaxyNote、GalaxyJ和GalaxyTab等多个系列的产品，其中也包含GalaxyS8、GalaxyS8+和GalaxyNote8等刚刚发布的旗舰机型。三星表示，除了硬件产品之外，还将奖励那些发现Bixby... 查看全文

· 所有语音助手都存漏洞浙江大学发现DolphinAttack攻击手段发布时间：2017-09-07

近年来，Google、亚马逊、微软、苹果、三星和华为等公司纷纷布局语音助手服务，并融入人工智能、神经网络等技术来不断完善。但遗憾的是所有语音助手产品都存在漏洞，允许黑客在几乎所有设备上“静默”控制[PDF]。近日来自中国浙江大学的科研团队发现了新的漏洞，并将这种攻击方式命名为“DolphinAttack”。攻击原理就是通过将人类发布的语音命令频率转换成为超声波频率。因此这些声音对于人耳来说是无法听见的，但iPad、iPhone、MacBooks... 查看全文

· web安全：QQ号快速登录漏洞及被盗原理发布时间：2017-09-06

为什么你什么都没干，但QQ空间中却发了很多小广告？也许你的QQ账号已经被盗。本文将讲解一个QQ的快速登录的漏洞。我前阵子在论坛上看到一个QQ的快速登录的漏洞，觉得非常不错，所以把部分原文给转到园子来。而利用这个漏洞最终可以实现，只要你点击一个页面或运行过一个程序，那么我就可以拥有你的登录权限。可以直接进你邮箱，进你微云，进你QQ空间等....看懂本篇需要一点点web安全的基础，请移步我的上篇web安全：通俗易懂，以实例讲述破解网站的原理及如何进行防护！如何让网站变得更安全。http://www... 查看全文

· GitLab存在高危漏洞，用户私有令牌或遭会话劫持发布时间：2017-09-03

据外媒近日报道，数据安全公司Imperva研究人员丹尼尔·斯瓦特曼（DanielSvartman）今年5月发现开源系统GitLab存在一处高危漏洞，能够允许攻击者通过会话劫持窃取用户私有令牌。直至本周三，GitLab官方才确认已彻底解决这一问题。研究人员指出，如果攻击者通过该漏洞成功破解某一帐户，那么他们极有可能获取账户管理权限、转储恶意代码并通过会话劫持窃取用户敏感信息等操作。此外，攻击者还可在执行代码更新时将任何恶意程序嵌入其中。与此同时... 查看全文

· 电信业放任SS7协议漏洞20年：存电话短信被拦截或追踪隐患发布时间：2017-09-01

据外媒报道，部分电信社区成员早在多年前就知晓严重的SS7协议漏洞，不怀好意者可借助该漏洞追踪全球手机、拦截呼叫和文本短信，但运营商们却一直没有采取行动。TheDailyBeast指出，业内人士知晓SS7漏洞问题已有20年，相关信息在1998年的欧洲电信标准协会（ETSI）文档中即有披露：“SS7中缺乏足够的安全性，移动运营商需要保护自己不被黑客攻击。如有疏忽，可能导致网络停止或无法正常运行”。新闻配图1（via3G4GBlog）当前SS7系统中的这一问题... 查看全文

· FDA召回46.5万个心脏起搏器存在安全漏洞怕黑客利用发布时间：2017-08-31

FDA（美国食品和药品管理局）周二发布通知称，健康公司Abbott有46.5万个心脏起搏器存在安全漏洞，可能会遭到黑客攻击，因此需要召回进行软件升级。心脏起搏器通常被植入病人的胸腔内，并用电线接入心脏，让心脏正常跳动。黑客攻击心脏起搏器的情节在热播剧《国土安全》（Homeland）中出现过。在这部剧中，一名恐怖分子利用无线通讯技术黑入了副总统的心脏起搏器中，其结果你可能都猜到了。很多人可能对这种虚构的情节嗤之以鼻，但是美国副总统迪克-切尼（DickCheney）曾在2013年表示... 查看全文

· Intel处理器现安全漏洞：可被黑客用作后门发布时间：2017-08-29

近日，位于莫斯科的安全研究机构PositiveTechnologies报告指出，IntelManagementEngine11存在死亡按钮，可以被黑客窃取。ManagementEngine（管理引擎）是Intel的一个固件接口，用于处理器和周围的芯片进行通讯，进行热管理等。安全专家将威胁视为后门一样的存在，然而官方尚未进行修复。民间有称之为MECleaner的工具，但无法彻底实现芯片级别的禁用，印尼为ME有着完整的网络和存储访问权。周一，PT表示... 查看全文

· 漏洞挖掘小白入坑指南发布时间：2017-08-23

写在前面的话在此之前，很多朋友都曾通过电子邮件在我直播的时候问过我有关漏洞挖掘方面的问题，而且很多时候不同的人问的都是相同的问题。因此，我决定写一篇文章来回答一下朋友们问得最多的问题，即如何去发现一个安全漏洞。不过我要声明的是，问题的答案也许并不具有权威性，因为这些都是我根据自己的经验、知识、以及我对事物的看法来回答的。如果你有任何新的观点或者看法的话，欢迎大家在文章下方积极留言，很多聪明的人对相同的问题也会有不同的见解。注：本人还会定期更新自己的博客并给大家介绍更多的漏洞挖掘方法... 查看全文

· 百度回应新闻搜索结果数量显示不稳定：不存在漏洞发布时间：2017-08-21

腾讯科技讯（抒和）8月21日，针对今日有媒体报道百度新闻搜索数量不稳定或存在漏洞一事，百度今日下午作出回应，称经过技术排查定位，百度新闻搜索不存在文中所提及的漏洞或手动篡改的情况。以下为百度关于“百度新闻搜索结果数量显示不稳定”的情况说明针对媒体报道的百度新闻搜索结果数量显示不稳定的情况，我们第一时间进行了排查。相关说明如下：l经过技术排查定位，百度新闻搜索不存在文中所提及的漏洞或手动篡改的情况。l新闻收录的时效性较强，新闻网站的新闻上线、下线以及内容的调整... 查看全文

· 百度或陷搜索漏洞危机：新闻搜索结果极不稳定发布时间：2017-08-21

本报见习记者谢若琳新闻搜索本应该是社会客观现象的反映，但是，在百度的系统里却显得十分混乱无序。日前，有同行告诉《证券日报》记者，百度的新闻搜索结果极不稳定，“早上搜索新闻条数是38条，到了中午就成了0条。这已经不是第一次了，自从8月份以来，这样篡改新闻数量的情况几乎每天都有。”有不愿具名的业内人士告诉记者，新闻数量变化可能有两方面原因，第一是新闻网站手动更改；第二就是百度搜索引擎存在漏洞。对此，《证券日报》记者联系到百度集团公关部门、搜索公司公关部门，在经历多方推诿后... 查看全文

· 微软Word漏洞：黑客可利用链接自动更新安装恶意软件发布时间：2017-08-20

作者：大大大伟Lucius根据外媒消息，SANS互联网中心的一名自由安全顾问和Handler在微软Word中发现了一个非常有趣的漏洞，它允许攻击者滥用Word程序自动更新链接的功能。这是一项默认启动的功能，当用户添加外部来源链接时，Word就会自动更新这些链接而无任何提示。安全顾问XavierMartens在自己的博客文章中解释了这个漏洞：“感染载体文件可（'N_Order＃xxxxx.docxwith5randomnumbers）作为附件被接收... 查看全文

· 如何确认Google用户的具体电子邮件地址（已提交漏洞奖励计划）发布时间：2017-08-15

近期我向Google报告了一个安全问题，这个漏洞将允许攻击者确认某Web页面的访问者是否登录了任意一个Google服务的账号（包括GSuite账号在内）。根据我的测试结果，攻击者可以在每25秒钟的时间里确认大约1000个电子邮箱账号。但是Google方面给出的回复是：这是一个专门设计的功能，它并非是一个安全漏洞。你可以在这个【演示页面】自行测试该功（lou）能（dong）。首先给大家先上一个PoC演示动图（测试账号是我自己的邮箱）：方法论我之前曾经写过一篇关于&ldquo... 查看全文

漏洞_Tag标签_程序员俱乐部

非技术区

移动开发

DB2

开发

数据库

互联网

系统

资讯

创业

最新文章

今日热点

推荐文章