标签： 漏洞

Twitter平台出现一个漏洞，由伦敦安全研究人员组成的团队说，利用漏洞，他们可以在无授权条件下通过英国名人、记者的账户发布消息。后来Twitter发声明称漏洞已经修复。不过发现漏洞的黑客却说，Twitter睁眼说瞎话，漏洞根本没有修复。 周五时，Twitter新闻发言人告诉记者，他们已经修复漏洞，通过漏洞，黑客可以瞄准与英国手机号码挂钩的特定账户，利用账户发送欺诈信息。然而，在Twitter发表...

本周任天堂发布了Switch的System Update 6.2.0，尽管更新的更新日志被简单列为“一般系统稳定性改进以增强用户体验”。这本身可能听起来有点无害，但玩家很快就发现厂商正在试图解决之前在Nvidia Tegra bootROM中发现的缺陷，这一操作是通过重建安全启动过程完成的。 除了解决硬件缺陷之外，任天堂还将“CDN下载”的测试过程结束，这是一种用于识别任天堂eShop上新发布的游...

研究人员展示利用Edge的漏洞执行其他应用程式，并且准备打造一概念性攻击验证程式，以突破沙箱的保护，进而掌控使用者的电脑。 一名安全研究人员Yushi Liang上周透过Twitter 展示了Microsoft Edge浏览器上的零时差漏洞，成功开采该漏洞的骇客将可执行任意程式，甚至可能进一步掌控使用者的系统。 Liang在Twitter上以一张照片展示如何透过该漏洞执行Windows上的计算机程...

以色列资安业者Armis 本周揭露，由德州仪器（Texas Instruments，TI）所生产的低功耗蓝牙（Bluetooth Low Energy，BLE）晶片含有两个重大的安全漏洞，成功开采相关漏洞的骇客将可入侵企业网路，掌控无线AP或散布恶意程式，包括思科、Meraki与Aruba的无线AP都采用了含有漏洞的蓝牙晶片，让全球数百万个企业AP拉警报。 Armis将所发现的漏洞命名为BLEED...

据外媒报道，在安全事件影响到Facebook之后，美国联邦贸易委员会(FTC)消费者与商业教育部门向所有Facebook用户发出了警告。当地时间9月28日，Facebook负责产品管理的副总监Guy Rosen则也公布了近5000万名用户账号如何受到View As功能中的一个安全问题影响的详细信息。 据悉，该功能是该社交网络公司在2017年7月通过一个对视频上传代码的修改引进的。 据称，攻击者能够...

一、漏洞背景 漏洞编号：CVE-2018-1999002 漏洞等级：高危 Jenkins 7 月 18 日的安全通告修复了多个漏洞，其中 SECURITY-914 是由 Orange （博客链接：http://blog.orange.tw/）挖出的 Jenkins 未授权任意文件读取漏洞。 腾讯安全云鼎实验室安全研究人员对该漏洞进行分析发现，利用这个漏洞，攻击者可以读取 Windows 服务器上的...

来自 Snyk 的安全团队今年 4 月份发现了一个广泛存在的文件覆盖漏洞，允许攻击者在系统上编写任意文件，并通过远程命令执行。它会在从档案文件中提取文件时触发目录遍历攻击，并影响包括 tar、jar、war、cpio、apk、rar 和 7z 在内的大量压缩文件。 该漏洞被称为 Zip Slip，已影响来自 Google、HP、Amazon、Apache、Pivotal、Linkedin、Twit...

Check Point 的研究员发现了 LG（也称为 LGEIME）智能手机的两个漏洞，这些漏洞都存在于默认的键盘上，而且是 LG 设备独有的。第一个漏洞是在敏感过程中存在一个不安全连接；第二个漏洞是由于 LG 文件系统存在验证缺陷。利用这两个漏洞都可远程获取 LG 设备的高级权限，控制设备的键盘更新过程，实施键盘记录行为，从而对用户的隐私和身份验证信息造成威胁。   Check Poi...

来自全球领先的网络解决方案提供商思科的Talos团队在上周四公布了存在于福昕PDF阅读器（Foxit PDF Reader）中的五个安全漏洞，其中有四个漏洞的CVSS 3.0得分都为8.8 ，这意味着它们都被分类为高危漏洞。 福昕PDF阅读器是一款在全球范围内流行且免费的PDF文档阅读器和打印器，可用于查看、创建和编辑及打印任何PDF文件。它采用了Microsoft Office的界面设计风格，给...

思科 Talos 的安全研究专家发现工业路由器 Moxa EDR-810 中存在 17 个安全漏洞，其中包括许多影响 Web 服务器功能的严重命令注入漏洞和导致服务器崩溃的拒绝服务 (DOS )漏洞。目前发现的漏洞已在 Moxa EDR-810 V4.1 build 17030317 中得到确认，但其早期版本的产品也可能受到了影响。   （CVE-2017-12120）Moxa EDR-...

在为32位/64位设备和树莓派2发布Ubuntu 17.10（Artful Aardvark）系列的重大核心更新之后，Canonical今天再次为Ubuntu 16.04 LTS（Xenial Xerus）发布重大内核更新，共计修复39处安全漏洞。 Ubuntu 16.04是长期支持版本，此外包括 Kubuntu, Lubuntu, Xubuntu, Ubuntu MATE, Ubuntu Kyl...

复旦大学和阿里巴巴的研究人员在预印本网站 arxiv 发表论文（https://arxiv.org/pdf/1803.04683.pdf），描述了一种能愚弄脸部识别软件的“攻击方法”，他们利用安装在帽檐的红外 LED 灯照亮脸部，投影 CCTV 摄像头能看见但人眼看不见的形状去愚弄识别软件。使用这种方法研究人员欺骗脸部识别软件将任意人的脸识别为音乐家 Moby，韩国政客李会昌等（如图所示）。根据论...

​ 【PConline 资讯】黑客组织利用Cacti“Network Weathermap”插件中一个存在5年之久的漏洞在Linux服务器里面安装Monero矿工，转去了将近75000美元。这一事件一时间轰动了整个IT业界。 专家表示，有足够的证据证明这些攻击与过去所发生在Jenkins服务器上的攻击有关，黑客组织利用CVE-2017-1000353漏洞在Jenkins设备上安装Moner矿工，获...

【PConline 资讯】上周AMD的Zen被曝有12个安全漏洞，业内很多人都猜测可能是竞争对手使诈，然而前两天AMD就官方回应了这件事情，Zen架构的CPU确实存在这样的安全漏洞，并且会尽快把漏洞修复。 AMD强调这次的漏洞和之前的“熔断”、“幽灵”没有关系，这次新的安全漏洞是部分芯片组而非Zen架构CPU本身，包括AM4（X370、B350、A320等）、TR4（X399）。 AMD初步将漏洞...

近年来，消费者们对网络附加存储（NAS）的兴趣日渐浓厚，硬盘厂商们也顺势推出了诸多私有云产品，但却没能在安全性上下足功夫。近日，外媒曝光了西部数据 My Cloud 设备存在一个严重后门漏洞的消息。别有用心的人们，可以借此获得联网设备的无限制根访问。尽管 James Bercegay 早在 2017 年中就向厂商披露了该漏洞，但是半年过去了，西数还是没有进行修复。 据其披露的概念验证的完整细节，最...