网络安全职业鸭梨山大 如何排解?
从高级恶意软件到零日漏洞的持续压力,很容易使员工产生职业倦怠和引发潜在危险后果。我们该如何排解这些压力呢?
标签:就业压力, 网络安全人员, 零日漏洞, 高级恶意软件
政府应该不应该囤积零日漏洞?
斯诺登事件之后的几年里,有关联邦政府消弱加密标准,在商业软件中植入后门,以及为了收集数据入侵商业组织等种种行为,都已经引发了相当多的讨论。联邦特工为获取圣贝纳迪诺枪击案罪犯使用的iPhone手机数据,与苹果公司对簿公堂,使加密问题引发关注。
标签:斯诺登事件, 漏洞利用, 零日漏洞
俄罗斯漏洞利用程序开发者公开披露VirtualBox零日漏洞
俄罗斯一名独立IT安全研究员兼漏洞利用程序开发者公开披露了 VirtualBox(VB) 5.2.20 及之前版本虚拟机软件中的零日漏洞。VB是甲骨文(Oracle)公司开发的开源虚拟化软件,应用广泛。
标签:VirtualBox(VB), 甲骨文(Oracle), 零日漏洞
白宫发布漏洞披露政策 十大部门形成审查委员会
白宫发布的《漏洞平衡策略》(VEP)特别针对零日漏洞,解释了为什么有些漏洞要保密,而有些漏洞一被发现就会即刻发出警报,以及披露委员会的讨论关键点。
标签:漏洞披露, 美国白宫, 零日漏洞
Zerodium悬赏100万美元征集Tor零日漏洞
要想获得Zerodium的悬赏,就必须在禁用JavaScript的情况下找到该浏览器的零日漏洞。这是因为Tor浏览器捆绑了NoScript功能,该功能在默认情况下启用JavaScript拦截,用户必须进行额外的安全操作才能关掉这个功能。
标签:Tor, Zerodium, 漏洞收集, 零日漏洞
一个路由器竟然被曝10个零日漏洞
安全研究员皮埃尔·金因对D-Link之前的漏洞曝光体验不满,而选择公开揭露了D-Link DIR 850L无线AC1200双频千兆云路由器的10个零日漏洞。
标签:D-link, 路由器, 零日漏洞
兰德公司:零日漏洞平均生存期为6.9年
典型的白帽研究员有更多的动力在发现零日漏洞之后就通告软件厂商。其他人,比如系统安全渗透测试公司和灰帽子,则倾向于囤积漏洞。但决定是囤积还是公开曝光零日漏洞/漏洞利用程序,就是个权衡游戏了,尤其是对政府而言。
标签:Rand, 漏洞曝光, 零日漏洞
