登录   注册

标签:安全

安全

Drupal 曝出代码执行高危漏洞

Drupal 曝出代码执行高危漏洞
Drupal 开源内容管理系统曝出了一个允许黑客远程执行代码的高危漏洞,影响数以百万计的网站,如果不及时打补丁,这些使用 Drupal 的网站将面临被劫持的风险。漏洞编号 CVE-2019-6340,根源在于未能充分验证用户输入。利用该漏洞首先需要满足两个条件:启用 Drupal 8 core RESTful Web Services (rest) 模块,允……继续阅读 »

xlch 1天前 13浏览 0评论 0个赞

安全

Google 研究人员称光靠软件不能完全避开 Spectre 漏洞

Google 研究人员称光靠软件不能完全避开 Spectre 漏洞
Google 研究人员警告,除非对 CPU 设计进行大幅的修改,否则很难在未来避开 Spectre 漏洞。Google Chrome V8 JavaScript 引擎团队开发者在预印本网站 ArXiv 发表论文,报告了他们的发现。研究人员指出,光靠软件不能完全避开 Spectre 漏洞。他们得出结论,所有执行预测执行的处理器总是容易受到不同边信道攻击的影响,……继续阅读 »

xlch 1天前 7浏览 0评论 0个赞

安全

英国网络安全主管认为华为风险可控

英国网络安全主管认为华为风险可控
英国网络安全主管马丁(Ciaran Martin)在布鲁塞尔举行的 CyberSec 会议表示,他有信心认为,如果部长级官员们决定让华为参与未来的 5G 网络,英国网络安全部门可以管控这家中国电信设备制造商构成的任何风险。马丁列出了所有电信供应商都需要实施的三个先决条件,以确保未来的 5G 网络在网络攻击面前安全。这些条件包括 “5G 供应商市场的可持续多元……继续阅读 »

xlch 2天前 6浏览 0评论 0个赞

安全

WinRAR 曝出有 14 年历史的代码执行漏洞

WinRAR 曝出有 14 年历史的代码执行漏洞
如果你还在使用解压缩软件 WinRAR,那么现在是时候更新它了。WinRAR 曝出了一个有 14 年历史的代码执行漏洞,存在于第三方库 UNACEV2.DLL 中,它从 2005 年起就没有再更新过了。WinRAR 开发者无法访问该库的源代码,因此修复方法是移除它,停止对 ACE 文档格式的支持。安全公司 Check Point Software 的研究人员……继续阅读 »

xlch 2天前 7浏览 0评论 0个赞

安全

隐藏在 USB 线里的 WIFI

隐藏在 USB 线里的 WIFI
你可能认为 USB 线没什么可怕的,大多数人都会随身带些 USB 线以方便给便捷式设备充电或访问设备内部资料,但如果看起来一模一样的 USB 线包含了隐藏的后门?你插上之后就容易遭到网络攻击?安全研究员 _MG_历时一个月制作的 O.MG Cable,将 WIFI 微控制器秘密安装在 USB 连接器内,能通过 USB 设备发送载荷,实现远程控制。_MG……继续阅读 »

xlch 2天前 6浏览 0评论 0个赞

安全

澳大利亚声称遭到国家支持黑客的攻击

澳大利亚声称遭到国家支持黑客的攻击
《悉尼先驱晨报》报道,澳大利亚总理莫里森(Scott Morrison)周一表示,澳大利亚议会的计算机网络,以及自由党、工党和国家党的网络,几周前遭到一起攻击。目前距离澳大利亚 5 月举行的联邦选举还有几个月时间。莫里森表示,“没有证据表明存在任何干涉选举的活动”。他同时表示:“我们已经采取一系列措施,确保我们选举系统的完整性。” 没有任何明确迹象表明,在攻……继续阅读 »

xlch 2天前 5浏览 0评论 0个赞

安全

500px 千万用户信息泄露

500px 千万用户信息泄露
著名摄影网站 500px 发布公告,它在去年 7 月遭到黑客攻击,大约 1480 万用户的信息泄露,而它直到上周才获悉此事。500px 称 2 月 8 日,工程团队了解了一个潜在安全问题,随后它立即发起全面调查以查清问题的性质和范围,它还雇佣了第三方专家来帮助调查,结果发现在 2018 年 7 月 5 日,它的系统和部分用户数据遭到未经授权的访问,被访问的数……继续阅读 »

xlch 1周前 (02-15) 10浏览 0评论 0个赞

安全

研究人员使用 Intel SGX 让杀毒软件无法扫描恶意程序

研究人员使用 Intel SGX 让杀毒软件无法扫描恶意程序
研究人员找到了方法让杀毒软件无法分析或识别恶意程序,方法是使用英特尔处理器提供的代码保护功能 SGX(代表 Software Guard eXtensions)。Intel SGX 是自 Skylake 处理器发布起引入的功能,其目的是保护软件的代码和相关的数据,确保其机密性和完整性。但如果 SGX 保护的代码是恶意的?如果恶意程序能做到,那么 SGX 的设……继续阅读 »

xlch 1周前 (02-13) 16浏览 0评论 0个赞

安全

微软修复 IE 和 Exchange 的 0day 漏洞

微软修复 IE 和 Exchange 的 0day 漏洞
微软本周二释出的例行安全更新修复了正在被利用的一个 IE 0day 漏洞和一个漏洞利用概念验证代码已公布的 Exchange Server 漏洞。对于 IE 漏洞,微软称攻击者首先需要引诱用户访问一个恶意网站,该漏洞允许攻击者测试 PC 磁盘上是否储存一个或更多文件。该漏洞是 Google Project Zero 安全团队成员发现的,编号 CVE-201……继续阅读 »

xlch 1周前 (02-13) 14浏览 0评论 0个赞

安全

VFEmail 服务器和备份被人全部格式化

VFEmail 服务器和备份被人全部格式化
电子邮件服务商 VFEmail 报告它遭到毁灭性攻击,数据和备份全部被人在几小时内重新格式化。 VFEmail 创始人 Rick Romero 在 Twitter 上称,@VFEmail 实际上已经完了,不太可能恢复。攻击发生在周一,VFEmail 的整个基础设施,包括邮件主机、虚拟机主机、SQL 服务器集群,全部被破坏,攻击者格式化了能找到的所有服务器。目……继续阅读 »

xlch 1周前 (02-13) 8浏览 0评论 0个赞

安全

微软产品七成漏洞是内存安全问题

微软产品七成漏洞是内存安全问题
微软工程师 Matt Miller 在以色列举行的安全会议 BlueHat 上透露,软件巨人旗下产品过去 12 年修复的所有漏洞,七成涉及的是内存安全问题。内存安全是软件和安全工程师使用的术语,描述应用程序以不会导致错误的方式访问操作系统内存。当软件无意或有意以超出其分配大小和内存地址的方式访问内存时,就会出现内存安全漏洞。缓冲区溢出、竞争条件、分页错误、空……继续阅读 »

xlch 2周前 (02-12) 16浏览 0评论 0个赞

安全

Google Play 商店发现窃取用户数字货币的恶意应用

Google Play 商店发现窃取用户数字货币的恶意应用
Google Play 官方应用商店发现了窃取用户数字货币的恶意应用。Eset 的安全研究人员称,恶意应用伪装成合法数字货币应用,其窃取方法是将 Android 剪切板中的钱包地址替换成攻击者的地址,使用该应用传输的数字货币会转到攻击者的钱包。此类的剪切板恶意程序已存在多年,2017 年 Windows 上的僵尸网络 Satori 使用类似的方法窃取数字货币……继续阅读 »

xlch 2周前 (02-11) 15浏览 0评论 0个赞

安全

Windows 7 付费安全更新有多贵

Windows 7 付费安全更新有多贵
Windows 7 将到 2020 年 1 月结束支持,之后企业和教育用户可以获得三年的付费扩展安全更新,消费者用户如果要获得安全更新只剩下升级到 Windows 10 这一选项了。那么扩展安全更新的付费究竟有多贵?根据微软向合作伙伴和销售人员透露的信息,相当贵,尤其是当你有多台设备需要打补丁的话。付费扩展安全更新根据设备数量收费,第一年企业版用户每台设备 ……继续阅读 »

xlch 2周前 (02-11) 10浏览 0评论 0个赞

安全

华夏银行开发经理在总行服务器植入脚本窃取 700 多万元

华夏银行开发经理在总行服务器植入脚本窃取 700 多万元
根据裁判文书网公布的一审刑事判决书和二审刑事裁定书,华夏银行科技开发中心开发四室经理覃其胜在 2016年 11 月到 2018 年 1 月利用该中心其他开发者的账号登陆总行的核心系统应用服务器,将 ai 、tmp_hxb、aix.sh 和 hxb_tmp.sh 四个文件植入到生产环境,其中前两个文件是纯文本,后两个是可执行脚本,主要功能为通过执行 aix.s……继续阅读 »

xlch 2周前 (02-11) 7浏览 0评论 0个赞

安全

新加坡 HIV 登记信息泄露

新加坡 HIV 登记信息泄露
超过 1.4 万名诊断携带 HIV 病毒的人的机密信息在新加坡被盗并公布在网上。这次数据被盗发生在 2016 年,新加坡当局认为泄密源是一名 HIV 阳性的美国人,他的男性伴侣是新加坡的高级医生,这名美国人已经定罪并在去年驱逐出境。泄密的信息包括了姓名、地址、HIV 状况以及其它医疗相关信息。政府官员称,5400 名新加坡人和 8800 名外国人的信息泄露。……继续阅读 »

xlch 3周前 (01-30) 20浏览 0评论 0个赞

安全

电动滑板车用户不戴头盔,头部受伤比例占四成

电动滑板车用户不戴头盔,头部受伤比例占四成
根据发表在 JAMA Network Open 期刊上的一项研究,大约 95% 的电动滑板车用户不戴头盔,而与电动滑板车相关的受伤有四成与头部相关。加州洛杉矶分校(UCLA)的研究人员在论文中对电动滑板车对公共健康的风险发出了警告。他们跟踪了 UCLA 附属的急症室在 2017 年 9 月 1 日到 2018 年 8 月 31 日之间记录下的 249 起电……继续阅读 »

xlch 4周前 (01-28) 28浏览 0评论 0个赞

安全

PEAR PHP 成为最新的供应链攻击受害者

PEAR PHP 成为最新的供应链攻击受害者
Pear.php.net 向用户发出警告,如果你曾在过去半年下载了包管理器 go-pear.phar,那么最好立即调查下系统,你很有可能被植入了后门。Pear.php.net 是广泛使用的 PHP 扩展和应用库,维护者发现黑客用恶意版本替换了 go-pear.phar,会去下载安装一个后门,维护者建议用户去 GitHub (pear/pearweb_pha……继续阅读 »

xlch 1个月前 (01-24) 31浏览 0评论 0个赞

安全

apt/apt-get 曝出远程代码执行漏洞,Debian 释出 9.7

apt/apt-get 曝出远程代码执行漏洞,Debian 释出 9.7
Debian 使用的包管理器 apt/apt-get 曝出了一个远程代码执行漏洞,该漏洞允许网络中间人在正在安装任何包的机器上以 root 权限执行任意代码。最新版的 apt 已经修复了该漏洞,尚未安装最新更新或正在安装最新更新的用户可以通过暂时禁用 HTTP 重定向来防止中间人攻击。Debian 已经紧急释出了 9.7 版本,修复该漏洞。 ……继续阅读 »

xlch 1个月前 (01-24) 27浏览 0评论 0个赞

安全

apt/apt-get 曝出远程代码执行漏洞,Debian 释出 9.7

apt/apt-get 曝出远程代码执行漏洞,Debian 释出 9.7
Debian 使用的包管理器 apt/apt-get 曝出了一个远程代码执行漏洞,该漏洞允许网络中间人在正在安装任何包的机器上以 root 权限执行任意代码。最新版的 apt 已经修复了该漏洞,尚未安装最新更新或正在安装最新更新的用户可以通过暂时禁用 HTTP 重定向来防止中间人攻击。Debian 已经紧急释出了 9.7 版本,修复该漏洞。 ……继续阅读 »

xlch 1个月前 (01-24) 27浏览 0评论 0个赞

下载手机APP,及时获取最新消息,享受清爽阅读体验!

APP