FPGA爆出严重漏洞,唯一解决方法是更换芯片

科学家发现FPGA芯片中隐藏着一个严重漏洞——Starbleed。攻击者可以通过该漏洞完全控制芯片及其功能。由于漏洞已集成到硬件中,因此只能通过更换芯片来消除安全风险。FPGA的制造商已经被研究人员告知,并且已经做出了反应。

作者:星期二, 四月 21, 20209,423
标签:, ,

博通芯片组件惊现内核级漏洞,全球数亿级设备面临被远程劫持风险

【导读】近日,博通(Broadcom)调制解调器芯片曝出内核级安全漏洞,该漏洞为Cable ……

作者:星期四, 一月 16, 20202,017
标签:, ,

AIOT时代IoT源码漏洞分析的新解决之道

新问题需要新方法,AIOT时代源码分析解决方案——基于IR码的源码漏洞分析

作者:星期二, 十一月 5, 20192,445
标签:, , , , ,

关于安全与业务关系的思考 | 长亭季度漏洞观察报告 2019Q2

若干年后回首,具有实战色彩的 2019 年第二季度,或许会成为网络安全行业由虚转实……

作者:星期二, 八月 6, 20195,609
标签:, , ,

胰岛素泵漏洞威胁生命 医疗设备制造商召回产品

因曝出可致无线劫持的安全漏洞,医疗植入物制造商 MedTronic 正在召回其胰岛素泵产……

作者:星期一, 七月 1, 201919,282
标签:, ,

重要更新 | 洞鉴(X-Ray)支持CVE-2019-0708漏洞扫描

近日,微软安全响应中心发布安全更新,修复了存在于微软远程桌面服务(RDS)中的远……

作者:星期二, 五月 28, 20199,907
标签:, ,

重要通知|绿盟NIPS发布CVE-2019-0708漏洞防护规则

针对近日曝出的Windows 远程桌面无需授权认证的远程代码执行漏洞(CVE-2019-0708)……

作者:星期四, 五月 23, 2019994
标签:

第二届“强网”拟态防御国际精英挑战赛战队介绍之国际篇

第二届“强网”拟态防御国际精英挑战赛将于2019年5月22日至5月23日在南京江……

作者:星期三, 五月 8, 20192,391
标签:, , , , , , ,

强网宝鼎 最强王者 牛人召唤 等你来战!

为全面贯彻落实习近平总书记关于网络强国的重要思想,延揽储备锻炼网信领域特殊人才……

作者:星期一, 五月 6, 20192,240
标签:, , , , , , , , ,

POC++ 平台活动招募令:十万悬赏等你来拿

  · 活动简介 POC++ 平台是数字观星科技有限公司自主开发并运营的 POC 收录平……

作者:星期三, 四月 10, 20191,242
标签:, ,

自然资源部打造智能移动办公平台 亚信安全“云手机”确保数据不落地

随着移动网络日益发达,便携设备功能越来越成熟,人们对“移动办公”工作方式的接受度……

作者:星期二, 十二月 11, 20181,417
标签:,

青松资讯:来!算算你的网络资产值多少钱?

你有没有想过你的资产到底值多少钱?设想一下,假如你想卖掉你所有的东西——房子,车子,你的工作,你的私人生活,你童年的照片和纪念视频,你在各个社交媒体上的账号,你的病史等等——你猜能卖多少钱?

作者:星期五, 十一月 16, 20182,082
标签:, ,

安全头条(20180826-0901)

CS8大会在北京召开。会上,长亭科技、安恒信息、Fortinet、铱迅四家企业分享了他们关于WAF的见解以及解决方案。

作者:星期六, 九月 1, 20182,168
标签:, ,

安全头条(20180819-0825)

工信部 网络检查工信部宣布:2018年电信和互联网行业网络安全检查工作开始。

作者:星期六, 八月 25, 20187,531
标签:, ,

内存保护:超越终端安全的安全重点

攻击者入侵终端的手段可谓层出不穷:社会工程、网络钓鱼、恶意软件、零日漏洞、恶意广告、勒索软件,加密货币劫持行动也只是攻击者花招多样性与复杂性的少数例子。但安全的重心还是放在了实际终端上。

作者:星期四, 七月 26, 20184,932
标签:, , , ,

安全头条(20180701-20180707)

焦点 1. 看360安全团队揭露国外网络间谍组织:蓝宝菇。 时政 1. 美国众议院外交事务……

作者:星期六, 七月 7, 20185,250
标签:, , , , ,

瓦森纳会议过后 信息安全控制有所减弱

这份清单同时定义了漏洞披露和“网络事件响应”。这很重要,因为“在漏洞披露与安全事件应对的交叉领域进行具体解释,使得不再需要有瓦森纳支配的出口控制许可。”

作者:星期六, 一月 13, 20185,887
标签:, ,

ISC第二日:中国互联网安全精英峰会讲点儿啥

除了HackPwn、DEFCON Group 010黑客沙龙等有趣的活动外,以“影子经纪人、网络军火、Talos等”为关键词的第二日主论坛——中国互联网安全精英峰会,又有哪些亮点内容?

作者:星期三, 九月 13, 20171,851
标签:, , , , , ,

智能设备破解大会——XPwn未来安全探索本月召开

活动将聚焦智能终端、智能穿戴、智能家居、智能交通、生活 O2O、未来安全等六大智能生活的安全问题,让来自各地顶尖极客对产品漏洞进行破解演示,同时寻找解决方案。

作者:星期三, 八月 24, 20161,356
标签:, , ,

关于“BadKernel”漏洞情况的通报

该漏洞存在于Chrome V8引擎的历史版本中,远程攻击者可利用该漏洞对使用受影响引擎的产品进行远程攻击。由于该漏洞影响范围较广,危害较为严重,根据CNNVD相关规定,已对此漏洞进行收录,并分配编号CNNVD-201608-414。

作者:星期二, 八月 23, 20162,223
标签:, ,

同态加密竟然也被破解?

当服务提供商必须将加密过的激活密钥发送给足够多的用户时,非法用户将有机会恢复出激活密钥。

作者:星期二, 八月 23, 20162,665
标签:,

解锁Windows安全启动保护的金钥匙

微软在7月和8月各发布了1个安全补丁来解决该问题。然而,很明显,这些补丁虽然有所帮助,却完全不足以补上漏洞。

作者:星期六, 八月 20, 20162,031
标签:, ,

火眼2016工业控制系统漏洞趋势报告:漏掉警告、暴露的工业环境

火眼发布的一份新的研究报告指出,如果机构运行存在漏洞的工业控制系统,将有可能让自己暴露在外界攻击者或恶意内部人员的风险之下。

作者:星期一, 八月 8, 20161,956
标签:, ,

震惊:这个Windows打印机漏洞已经长达20年

大多数设备在软件下载到机器上前都会要求特定用户或管理员授权,但打印机驱动却可绕过此一限制。

作者:星期四, 七月 21, 20165,984
标签:,

甲骨文发布史上最大补丁更新 修补276个漏洞

在漏洞问题最多的排行榜上,甲骨文的Fusion中间件以40个漏洞,其中35个是无需验证的远程利用,排名首位。

作者:星期四, 七月 21, 20161,492
标签:,

1.4亿小米MIUI系统受远程代码执行影响

小米响应迅速,在漏洞确认、分类和补丁发布上毫不耽误,漏洞首次公开几天之内便发布了补丁。

作者:星期一, 七月 11, 20161,982
标签:, ,

众测模式争议中需要深度思考的三个事实

白帽黑客因在漏洞众测平台提交漏洞,遭厂商举报并被警方抓捕一事,在发酵了一段时间之后,终于引起了大规模的争论。

作者:星期一, 六月 27, 20161,696
标签:, , ,

解密:Struts2漏洞及其补丁漏洞“曝光”纪实

一个漏洞的应对,从发现到解决绝非一蹴而就。

作者:星期二, 六月 7, 2016883
标签:,

云计算核心组件QEMU连爆10枚高危漏洞

自5月至今,作为云计算重要基础组件的QEMU已经被连续爆出10枚高危漏洞,从官方网站漏洞描述看,这10枚漏洞分别会造成包括“虚拟机逃逸”、“宿主机运行时信息泄露”、“拒绝服务”等后果。

作者:星期二, 六月 7, 20161,665
标签:, ,

“魔图”漏洞波及多家知名网站及app

专家建议暂时禁用相关上传功能,通过修改配置文件禁用ImageMagick,并及时将ImageMagick组件升级到6.9.3-10版本。

作者:星期日, 五月 8, 20161,728
标签:,

10岁双胞胎儿童黑客找到Instagram漏洞 获1万美元奖金

他可以删除任何文本形式的评论,即便是贾斯汀·比伯的评论。

作者:星期三, 五月 4, 20161,151
标签:,

互联网核心组件NTPD被曝多个漏洞,可致系统时间无法正常同步

360信息安全部云安全团队发现4个和NTPD(网络时间守护协议进程)相关包含匿名拒绝服务的漏洞,攻击者可向NTPD发送伪造的经过加密的、针对远程管理模块的数据包,并导致主服务崩溃。

作者:星期二, 五月 3, 20162,654
标签:, ,

漏洞与补丁不是一回事 打上补丁也会有漏洞

事实上,漏洞修复和给应用打补丁之间的错位可能正是导致入侵事件增加的主力。

作者:星期三, 四月 27, 20161,742
标签:, ,

为什么StageFright不能干掉数亿安卓设备 因为安卓无法及时更新

想利用类似Stagefright一类的高危漏洞就得针对每一款设备定制工具和策略。

作者:星期三, 四月 20, 20161,422
标签:,

只需知道电话号码 即可监控任意一部手机

怎能让3亿美国人民,实际上是全球所有的公民,由于一个已知的漏洞而处于被监听的情况下!

作者:星期三, 四月 20, 201614,217
标签:,

美国ICS-CERT公示中国网安工控团队漏洞挖掘成果

中国网安工业控制安全事业部在对西门子PLC及监控软件APOGEE Insight的技术解析中,通过对该软件一系列的分析、测试,发现了劫持漏洞并上报至CNVD。

作者:星期一, 四月 11, 20161,741
标签:,

现行的防病毒认证标准已不合时宜 得改

所有计算机程序都无法避免漏洞或者其他缺陷,防病毒(AV)软件也不例外,甚至有人专门从事AV产品的漏洞挖掘研究。

作者:星期一, 四月 11, 20161,200
标签:, ,

绕过 iPhone 6s 锁屏 访问照片和联系人

运行最新版 iOS 操作系统的 iPhone 6s 和 6s Plus 机型存在漏洞,攻击者可绕过锁屏界面访问照片及联系人。

作者:星期四, 四月 7, 20161,740
标签:, ,

几十个字符的漏洞利用代码 即可绕过苹果系统的安全机制

这段代码可以成功绕过苹果的SIP安全机制,允许攻击者运行任意进程,并可以修改连root用户都不允许修改的关键配置文件。

作者:星期二, 四月 5, 20161,702
标签:, ,

研究发现:大多数软件漏洞都在当天就有补丁了

虽然漏洞总数在持续增加,新研究发现,大多数漏洞都不属于零日漏洞范畴。

作者:星期三, 三月 23, 20161,427
标签:, ,

AceDeceiver成为首个可利用苹果 DRM设计漏洞感染iOS设备的木马程序

我们建议安装了“爱思助手”Windows客户端或于2015年三月后安装了“爱思助手”iOS应用程序的用户立即删除这些软件和应用程序,并更改他们的Apple ID密码。我们亦建议所有iOS用户启用Apple ID 双重认证。

作者:星期四, 三月 17, 20162,041
标签:, ,

补丁问题导致Java高危漏洞再现 可攻击最新版服务器

该漏洞可被远程利用,不需要授权验证即可完全入侵系统,损害其机密性、完整性、可用性。

作者:星期一, 三月 14, 20161,578
标签:,

思科发布数个 NX-OS 高危漏洞更新

本周三,思科通告消费者,刚发布的几项产品更新修复了数个重大高危漏洞。其中,最严重的一个漏洞与 NX-OS 网络操作系统上的一个不安全的默认凭据有关。

作者:星期五, 三月 4, 20161,552
标签:, ,

OpenSSL CVE-2016-0800和CVE-2016-0703漏洞修复细节拾趣

我们在今天的内部运维修复中发现了个有趣的现象或者说尝试,我们想去确定禁止不安全的加密套件会对今天的两个高危漏洞有什么影响:CVE-2016-0800、CVE-2016-0703。

作者:星期三, 三月 2, 20162,564
标签:, , ,

忽视无线路由器安全问题 华硕面临20年审计

本周二,FTC与华硕达成协议,该硬件制造商同意未来20年内,每两年进行一次独立安全审计。一旦违反该和解协议,华硕将面临每次1.6万美元的民事罚款。

作者:星期二, 三月 1, 20164,564
标签:, , ,

以已之道 还施彼身 微软EMET可被利用卸载自身保护功能

该工具包含的代码可能让其轻易卸载掉自身的保护功能,将被保护的进程还原为之前的样子,而不会造成任何异常或者崩溃。

作者:星期五, 二月 26, 20161,590
标签:, ,

安全软件开发的三大错误

要想产生预期效果,安全必须融入整个开发过程,从项目计划初期贯穿到产品部署使用。

作者:星期一, 二月 22, 20161,318
标签:,

【黑客代码】密钥交换漏洞导致思科ASA防火墙可被远程入侵

攻击者只需发送恶意构造的UDP包,即可执行任意代码并获得系统的完整权限或引起系统重载。该漏洞在于思科ASA防火墙处理互联网密钥交换协议版本1和2的代码中,是由处理碎片IKE载荷功能形成的缓冲区溢出而产生。

作者:星期三, 二月 17, 20162,455
标签:, , , ,

【黑客代码】好莱坞医院被勒索软件弄瘫痪 攻击者索要360万赎金

好莱坞长老会医疗中心的计算机系统已经被勒索软件搞垮了一个多星期。虽然警方及FBI已经展开调查,但目前医院人员只能在焦头烂额的应付丢失的邮件以及患者的数据查询需求。

作者:星期二, 二月 16, 20161,704
标签:, , ,

SQL注入漏洞数量大幅反弹,创三年来新高

2014年的SQL注入漏洞数量出现大幅反弹,较2013年增长104%,创下2011年来的新高。

作者:星期二, 一月 20, 20152,300
标签:,

安卓最新版漏洞:把恶意软件隐藏在图片里

为了实现攻击,需要在原始程序的末端附加一些数据。但APK格式的文件有一个名为EOCD(中央目录终止)的标志符,以防止在文件的末端添加数据。

作者:星期四, 十月 23, 20141,675
标签:, ,

第七届信息安全漏洞分析与风险评估大会今日召开

中国信息安全测评中心领导在致辞中表示,要处理好安全与发展的关系,提高对漏洞和隐患危害性的认识,并提出尽快启动“国家级信息安全漏洞消减计划”、“建立法制化、规范性的风险评估制度”,“以创新提高漏洞和风险管控能力”的三点倡议。

作者:星期四, 十月 16, 20141,471
标签:,

还有多少潜在的“心脏滴血”等待爆发?

类似心脏出血的事件极有可能通过第三方的源程序库再次发生。而且,OpenSSL中还有一些漏洞,有些漏洞的危险性可能还要大于心脏滴血。

作者:星期二, 八月 26, 20141,398
标签:, ,

忘记密码