漏洞事件_黑白网_铸梦安全,与你同行.

安全快讯

国家漏洞库CNNVD：关于Apache Struts2 S2-059安全漏洞情况的通报

Guy_Psycho 2020-08-14

成功利用漏洞的攻击者可能对目标系统执行恶意代码。Apache Struts2.0.0–Apache Struts 2.5.20等版本均受此漏洞影响。近日，国家信息安全漏洞库（CNNVD）收到关于Apache Struts2 S2-059安全漏洞（CNNVD-202008-743、CVE-2019-0230）情况的报送。成功利用漏洞的攻击者可能对目标系统执...

安全快讯漏洞事件
安全快讯

企业安全实战：看快手如何干掉Fastjson

Guy_Psycho 2020-08-13

从2017年1月份到现在，Fastjson已出现三次无任何条件限制的远程代码执行漏洞。文/廖新喜Fastjson 漏洞史Fastjson是一个阿里巴巴开发的java高性能JSON库，应用范围非常广，在github上star数已经超过2.2万。从2017年1月份到现在，Fastjson 已出现三次无任何条件限制的远程代码...

安全快讯漏洞事件
安全快讯

CVE-2020-1457/1425: Microsoft Windows 编解码器库远程执行代码漏洞

Guy_Psycho 2020-07-02

CVE-2020-1457/1425: Microsoft Windows 编解码器库远程执行代码漏洞0x00 漏洞背景 2020年07月01日， 360CERT监测发现 Microsoft官方发布了 Microsoft Windows 编解码器库远程执行代码漏洞的风险通告，该漏洞编号为 CVE-2020-1457和CVE-2020-1425 ，漏洞等...

漏洞事件安全快讯
安全文摘

一行代码引来的安全漏洞就让我们丢失了整个服务器的控制权

夜翎之羽 2020-06-10

之前在某厂的某次项目开发中，项目组同学设计和实现了一个“引以为傲”，额，有点扩张，不过自认为还说得过去的 feature，结果临上线前被啪啪打脸，因为实现过程中因为一行代码（没有标题党，真的是一行代码）带来的安全漏洞让我们丢失了整个服务器控制权（测试环境）。多亏了上线之前有公司安全团队的人会对代码进行扫描，才让这个漏洞被扼杀在摇篮里。下面我们就一起来看看这个...

安全文摘漏洞事件
安全快讯

Sign in with Apple 被爆高危漏洞：可远程劫持任意用户帐号

清心 2020-06-03

近日苹果向印度漏洞安全研究专家Bhavuk Jain支付了高达10万美元的巨额赏金，原因就是他报告了存在于Sign in with Apple中的严重高危漏洞。Sign in with Apple（通过Apple登录），能让你利用现有的Apple ID快速、轻松地登录 App 和网站，目前按该漏洞已经修复。该漏洞允许远程攻击者绕过身份验证，接管目标用户在第三...

漏洞事件安全快讯
安全快讯

安全研究员发现 26 个 USB 漏洞：Linux 18个 Windows 4 个

十年 2020-05-29

近日多名学术界人士表示，在Linux、macOS、Windows和FreeBSD等操作系统所使用的USB驱动堆栈中发现了26个新的漏洞。这支科研团队由普渡大学的Hui Peng、瑞士联邦理工学院洛桑分校的Mathias Payer带领，所有漏洞都是通过他们创建的新工具USBFuzz发现的。这类工具被团队成员称之为“模糊器”（fuzzer）。模糊器是多款应用程...

漏洞事件安全快讯
安全快讯

腾讯QQ升级程序存在漏洞被利用植入后门病毒

桑云信息Lzers 2019-08-22

【快讯】近日，火绒安全团队根据用户反馈，发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件，攻击者可利用该漏洞下发任意恶意代码。截止到目前，最新版QQ（包括TIM、QQ、QQ轻聊版、QQ国际版等等）都存在该漏洞。病毒分析火绒近日截获，有黑客正在利用QQ升级程序漏洞进行病毒传播。受害终端网络在被恶意劫持的情况下，黑客可以下发任意恶意代码到本地执行，受到该漏洞影...

漏洞事件安全快讯
安全快讯

隐私浏览器DuckDuckGo爆出漏洞，导致URL欺骗攻击

桑云信息Lzers 2019-05-31

Android 5.26.0系统中，开源的私人浏览器DuckDuckGo被发现存在漏洞可导致攻击，攻击者可通过该漏洞利用URL欺骗的方式发动攻击，目前该浏览器的安装量已超过500万。安全研究员Dhiraj Mishra将这个漏洞编号为CVE-2019-12329，并通过HackOne平台的漏洞赏金计划向该应用的安全团队通知漏洞的存在。研究人员表示，他通过特定...

隐私浏览器 DuckDuckGo 漏洞事件 URL欺骗攻击
安全快讯

新的 Windows 10 0day 漏洞被黑客恶意公开

桑云信息安云 2019-05-24

名为SandboxEscaper的安全研究人员发布了一个针对Windows 10的零日漏洞，SandboxEscaper之前已经发现过类似的漏洞，可能是因为糟糕的与微软安全团队的沟通经历，这次他们毫不客气地说“迫不及待地想要销售他们[微软]软件中的漏洞。”截至撰稿时，@SandboxEscaper的Twitter帐户已被暂停，但博客文章依然存在。新漏洞被归类...

Windows 10 0day 漏洞事件
安全快讯

Chamois死灰复燃近2亿安卓设备受袭

桑云信息Lzers 2019-04-06

带后门的SDK和恶意预装应用是最大的威胁……2017年谷歌安全团队发现 “Chamois” 恶意软件家族时，他们指出了其非同一般的复杂性。该恶意软件最初是在一次常规广告流量质量评估中被发现的，该广告欺诈恶意软件通过一系列渠道传播，悄悄成为了安卓历史上最大型最多面的恶意应用。Chamois的编码十分优美，有4个阶段的投送载荷，使用多种混淆和反分析技术，其配置文...

Chamois 漏洞事件