政府应该不应该囤积零日漏洞?

斯诺登事件之后的几年里,有关联邦政府消弱加密标准,在商业软件中植入后门,以及为了收集数据入侵商业组织等种种行为,都已经引发了相当多的讨论。联邦特工为获取圣贝纳迪诺枪击案罪犯使用的iPhone手机数据,与苹果公司对簿公堂,使加密问题引发关注。

作者:星期五, 十二月 7, 20189,808
标签:, ,

俄罗斯漏洞利用程序开发者公开披露VirtualBox零日漏洞

俄罗斯一名独立IT安全研究员兼漏洞利用程序开发者公开披露了 VirtualBox(VB) 5.2.20 及之前版本虚拟机软件中的零日漏洞。VB是甲骨文(Oracle)公司开发的开源虚拟化软件,应用广泛。

作者:星期三, 十一月 14, 20186,686
标签:, ,

漏洞数量有望再次突破历史记录 零日下降 虚拟化激增

“零日计划”( ZDI:Zero Day Initiative )2018年上半年收到的漏洞报告数量环比增长了33%,有望打破2017“史上最繁忙漏洞年”记录。报告的漏洞数量上升,漏洞警报也比去年同期多很多,但零日漏洞报告却环比下降42%。

作者:星期四, 七月 12, 20186,791
标签:, , , , , ,

零日漏洞:强大却脆弱的武器

在黑市上,零日漏洞属于高价商品,但修复危机意味着零日漏洞重要性日趋下降。而所谓的老(0ld-days)漏洞,变得几乎与零日漏洞效果一样。

作者:星期一, 七月 2, 20188,216
标签:, , , , , ,

网络攻击的四大动机与十种数据泄露攻击技术

网络安全最令人沮丧的事实之一,就是威胁的不断进化和数据泄露攻击技术的多种多……

作者:星期三, 二月 14, 20185,768
标签:,

白宫发布漏洞披露政策 十大部门形成审查委员会

白宫发布的《漏洞平衡策略》(VEP)特别针对零日漏洞,解释了为什么有些漏洞要保密,而有些漏洞一被发现就会即刻发出警报,以及披露委员会的讨论关键点。

作者:星期五, 十一月 17, 20179,406
标签:, ,

Zerodium悬赏100万美元征集Tor零日漏洞

要想获得Zerodium的悬赏,就必须在禁用JavaScript的情况下找到该浏览器的零日漏洞。这是因为Tor浏览器捆绑了NoScript功能,该功能在默认情况下启用JavaScript拦截,用户必须进行额外的安全操作才能关掉这个功能。

作者:星期日, 九月 17, 20174,067
标签:, , ,

一个路由器竟然被曝10个零日漏洞

安全研究员皮埃尔·金因对D-Link之前的漏洞曝光体验不满,而选择公开揭露了D-Link DIR 850L无线AC1200双频千兆云路由器的10个零日漏洞。

作者:星期三, 九月 13, 20179,837
标签:, ,

安全厂商的价值何在?零日漏洞这事没完

在可以预见的未来清除所有漏洞的魔杖是不存在的。若说有什么的话,年度统计数据显示,软件漏洞的数量实际上是在增加的。

作者:星期日, 三月 19, 20172,878
标签:, ,

兰德公司:零日漏洞平均生存期为6.9年

典型的白帽研究员有更多的动力在发现零日漏洞之后就通告软件厂商。其他人,比如系统安全渗透测试公司和灰帽子,则倾向于囤积漏洞。但决定是囤积还是公开曝光零日漏洞/漏洞利用程序,就是个权衡游戏了,尤其是对政府而言。

作者:星期二, 三月 14, 20172,518
标签:, ,

维基解密:CIA入侵电话、电视、电脑 谷歌、苹果、三星、微软无一幸免

CIA的恶意软件利用了多个本地和远程零日漏洞,还通过一个名为“锤钻”的病毒感染CD/DVD上的预装软件,实现对物理隔离设备的入侵,还可在USB和系统的秘密硬盘区域和图片中隐藏数据。

作者:星期三, 三月 8, 20173,561
标签:, , , ,

调查|零日漏洞风险的现状与趋势

推向市场的压力,催生了在企业产品中集成进更多库的新趋势,但这每一个库,都代表着潜在的漏洞风险。

作者:星期一, 二月 6, 20174,426
标签:, ,

山姆大叔究竟坐拥多少零日漏洞?没你想象的那么多

虽然我们永远不会知道漏洞数量的确切数字,但公开的文件、斯诺登泄露的数据、情报人员的访谈,以及总统文件都显示,美国政府储备的漏洞数量远远少于人们的猜测。

作者:星期五, 八月 19, 20162,226
标签:,

一种新型的获取威胁情报手段:窃听黑客

面对漏洞海洋,要理清到底哪个IT安全问题应该首先处理几乎是不可能任务。厂商咨询服务提供了一种行之有效的驾驭已

作者:星期二, 六月 28, 20163,139
标签:, , , , ,

9.5万美金:Windows零日漏洞起售

零日漏洞的生意很难做,因为在这种犯罪行为里需要一定的信任才能完成交易。

作者:星期四, 六月 2, 20162,516
标签:, ,

独家连载 | 零日漏洞:震网病毒全揭秘(导航)

本书是目前关于震网病毒入侵伊朗核设施事件最为全面和权威的读物,由美国自由撰稿人Kim Zetter以在《连线》杂志期间的工作为基础,广泛采访事件相关人物,多方收集一手信息,精心梳理而成的一本非小说类著作,出版于2014年10月

作者:星期四, 十月 29, 201534,023
标签:,

APT28使用两个零日漏洞入侵他国政府机关

利用Flash漏洞(CVE-2015-3043)的恶意软件,与之前发现的APT28使用的后门程序筷子(Chopstic)和芯壳(Coreshell)共享特征参数。

作者:星期二, 四月 21, 20153,051
标签:, ,

新兴网络黑市销售零日漏洞

该商品在描述中写道,如果买家感兴趣,可以安排演示,通过该方法入侵买家指定的任意账户。

作者:星期一, 四月 20, 20154,318
标签:, ,

销售零日漏洞的超级黑客

任何人可能都会好奇,到底是谁愿意付出10万美元购买这些零日漏洞的利用工具呢?毕竟,象谷歌、脸谱这样的互联网巨头已经通过漏洞奖励计划掏出了大把的美元。

作者:星期日, 一月 18, 20151,922
标签:,

惠普零日漏洞收购平台ZDI调整收购政策

我们的关注点一直都在大范围部署的软件上,尤其是那些在企业中大范围部署的软件。我们寻求的是关键漏洞报告。

作者:星期日, 一月 4, 20153,320
标签:,

忘记密码