黑客利用存在17年的Word漏洞传播恶意软件
这是个远程代码执行漏洞,源于该软件处理系统内存中某些对象的机制。利用该漏洞,攻击者可执行任意代码,如果用户有管理员权限,黑客还能发布各种指令。攻击者还可利用该漏洞感染恶意软件,进而控制整个系统。
标签:Cobalt Strike, Office公式编辑器, 安全漏洞, 恶意软件
苹果至今为止最大漏洞:无密码以Root权限登录macOS
该漏洞导致苹果电脑可创建口令为空的root账户,获得电脑的管理员权限,甚至可以禁用FileVault。当然,应急措施也是有的。只要你设置了一个root口令,或者安装编号为2017-001的安全性更新,该漏洞就不起作用了。
标签:High Sierra, macOS, root权限, 安全性更新, 安全漏洞
轮船联网平台漏洞严重威胁国际海事基础设施
立法无疑有助于保持海上网络井然有序。但海事行业发展之初本就没考虑过应对当今飞速进化的网络威胁,若想跟上当前网络威胁,深层次的结构性调整不可避免。
标签:AmosConnect, 安全漏洞, 轮船
Mirai再升级 新僵尸网络感染设备已达200万台
新IoT僵尸网络“IoT_reaper”借用了部分Mirai的源代码,但是在几个关键行为上有显著区别,包括使用IoT设备漏洞而不是弱口令猜测进行扫描,以及主动抑制扫描速度。此外,恶意软件中还包含100多个DNS解析服务器,能够发动DNS放大攻击。
标签:IoT安全, Mirai, 僵尸网络, 安全漏洞
小错误引发大危机——心脏出血到底是什么?
心脏出血漏洞的出现是因为,OpenSSL的心跳功能缺少了一个至关重要的安全维护手段:计算机接受心跳请求时从不检查该请求和它声称的内容是否一致。恶意用户可以很容易地诱骗一个脆弱的网络服务器发送用户名和密码等敏感信息。
标签:OpenSSL, 安全漏洞, 心脏出血
Equifax因Struts漏洞未及时打补丁 面临4500亿美元集体诉讼赔偿
加拿大受害者对Equifax提起了集体诉讼,称Equifax违反了服务协议,对他们的信息处理不周,侵犯了他们的隐私权,要求4500亿美元的赔偿金。该数据泄露完全可以避免的事实,而这还不是Equifax痛苦的终点。
标签:Apache Struts, Equifax, 安全漏洞, 数据泄露, 赔偿, 集体诉讼
英特尔CPU控制机制存在隐秘开关 可被黑客利用成为后门
英特尔管理引擎(ME)是被描述为安全风险的一种CPU控制机制。今年5月,ME上运行的固件应用——英特尔主动管理技术(AMT),被曝存在漏洞。由此,该被黑可能性警报拉响。
标签:安全漏洞, 管理引擎, 英特尔
“黑掉空军”发现207个漏洞 发放13万美元奖金
“黑掉空军”奖励项目由HackerOne运营,该漏洞奖励平台之前还承办过“黑掉国防部”和“黑掉陆军”漏洞奖励项目。漏洞奖励项目的目标,是纳入第三方安全研究人员来发现安全问题,然后为此支付报酬。
标签:众测, 安全漏洞, 渗透测试, 黑掉空军
微软“补丁星期二”不再延续 企业如何发现与修复漏洞
安全公告已存在几十年之久,管理员们都围绕该可预测的公告发布,制定了各自的补丁管理过程。微软的格式更改将给补丁管理人员造成麻烦,可能会让他们花费更多的时间去研究并识别出自身特定环境所需的安全补丁。
标签:安全公告, 安全更新指南, 安全漏洞, 微软
DEFCON上最酷演讲:无线窃听你的家庭网络
有了MAC地址,就能计算出密码,从而无需使用自身Comcast凭证就能连上xfinitywifi网络。此后该网络上的任何恶意行为,都会归到线缆调制解调器拥有者头上,简单有效。
标签:安全漏洞, 窃听, 网络设备
鲜为人知的芯片漏洞将10亿台智能手机暴露在黑客眼前
随着黑客找寻越来越罕见的无用户互动攻击,比如在浏览器里打开恶意网页,或者点击短信中的恶意链接,他们将专注在诸如博通芯片这样的第三方硬件组件上。
标签:Broadpwn, wifi芯片, 博通, 安全漏洞
Windows安全协议现 LDAP & RDP 中继漏洞
Windows系统中,LDAP保护用户不受凭证转发和中间人攻击的侵害,但由于该漏洞的存在,LDAP不再能防护住凭证转发。因此,攻击者可借此创建域管理员账户,取得对被攻击网络的完全控制权。
标签:Windows, 凭证泄露, 安全漏洞
供应链安全五大关键数字风险的思考
尽管物联网(IoT)携诸多优势渗透我们的日常生活,但也给我们的供应链系统带来了网络攻击和其他漏洞利用的威胁。随着公司企业和研究人员对端到端供应链的普及宣传,供应链也逐渐成为网络攻击的一大重点目标。
标签:供应链安全, 勒索软件, 安全意识, 安全漏洞
看似安全的金融行业,真的坚不可摧吗?
许多知名企业纷纷选择建立SRC(安全应急响应中心),运用互联网思维来解决问题,通过众包,充分发挥白帽子的能力帮助企业发现安全隐患,解决安全发现能力不足的问题。截止目前,已经有数十家企业SRC建立。
标签:安全漏洞, 白帽子, 补天, 金融行业
漏洞频发 Oracle的CPU疲于奔命
在当前补丁包中处理经年漏洞,恰恰证明了我们正在逼近危机点。如果Oracle这样的顶级厂商,都难以在 Oracle Fusion 这样的主流软件平台上保护其第三方库依赖,那我们怎么可以期待非高端IT厂商的“普通”企业能做得更好呢?
标签:Oracle, 关键补丁更新, 安全漏洞