赛门铁克研究人员发现了一个iPhone与Mac工作站和笔记本电脑配对的漏洞。他们表示,攻击者可以利用这个被称为Trustjacking的漏洞,在没有信息情况下接管设备。
该漏洞已经检测到在野利用,且不需要用户交互。攻击者需要以低权限进入计算机,成功利用此漏洞的攻击者可提升受攻击系统账户的权限至SYSTEM权限执行任意代码。
微软官方发布了2023年6月的安全更新。本月更新公布了94个漏洞,包含32个远程执行代码漏洞、18个特权提升漏洞、10个拒绝服务漏洞、10个身份假冒漏洞,6个信息泄露漏洞、4个安全功能绕过漏洞、其中6个漏洞级别为“Critical”(高危),70个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
微软官方发布了2023年8月的安全更新。本月更新公布了89个漏洞,包含23个远程执行代码漏洞、18个特权提升漏洞、12个身份假冒漏洞、10个信息泄露漏洞、8个拒绝服务漏洞、4个安全功能绕过漏洞、2个深度防御漏洞,其中6个漏洞级别为“Critical”(高危),68个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
苹果智能家居平台HomeKit出现漏洞,智能灯等可被远程控制。 近日,有消息指出,当前iOS 11.2系统版本的HomeKit平台存在一个漏洞,它能让智能灯、恒温器以及插座等连接HomeKit平台的配件遭到未经授权控制。 苹果公司针对此事发出声明称,“iOS 11.2中有关HomeKit的问题已经得到解决,本次修复将暂时禁用共享用户远程访问,下周的软件更新将彻底修复。” 不过,这项修复措施似乎是通过服务器端进行的,所以用户不需要进行任何操作。但同时也意味着,iOS 11.2的用户暂时无法获得完整的远程Hom
机器之心报道 编辑:陈萍、杜伟 近日,一名开发者宣称苹果 M1 芯片存在一个安全漏洞,允许两个或更多的恶意应用程序建立一个秘密通道来相互通信。并且,不改设计就无法消除该漏洞。 苹果基于 Arm 架构的 M1 芯片因其强劲性能而备受瞩目,但近期 Ashai Linux 创始人兼项目负责人 Hector Martin 发现,搭载于新款 iPad Pro、MacBook Air、MacBook Pro、Mac mini 以及重新设计过的 iMac 的 M1 芯片竟然有无法修复的安全漏洞。该漏洞被称为「M1RAC
Bugsy是一款功能强大的代码安全漏洞自动化修复工具,该工具本质上是一个命令行接口工具,可以帮助广大研究人员以自动化的形式修复代码中的安全漏洞。
如果你在使用具有蓝牙功能的设备,不管是智能手机、笔记本电脑,还是智能电视、智能汽车或者其他 IoT 设备,都要小心了。最近研究人员发现蓝牙协议中有 8 个 0-day 漏洞,其中有 3 个被列为严重级
12月9日晚,Apache Log4j2 反序列化远程代码执行漏洞(CVE-2021-44228)细节已被公开,受影响版本为 Apache Log4j 2.x< 2.15.0-rc2。
CleanMyMac X是一款专业的Mac清理软件,可智能清理mac磁盘垃圾和多余语言安装包,快速释放电脑内存,轻松管理和升级Mac上的应用。同时CleanMyMac X可以强力卸载恶意软件,修复系统漏洞,一键扫描和优化Mac系统!CleanMyMac 是一款强大的 Mac 清理、加速工具和健康卫士,可以让您的 Mac 再次恢复巅峰性能。
11月29日消息,ESET恶意软件研究员Martin Smolar报告,宏碁某些笔记本电脑设备的驱动程序存在高危漏洞,可停用UEFI安全启动功能,导致攻击者在启动过程中部署恶意软件。 受影响的宏碁笔记本电脑型号共计有五款,包括宏碁Aspire A315-22、A115-21、A315-22G、Extensa EX215-21和EX215-21G。 Martin指出,宏碁笔记本设备上的HQSwSmiDxe DXE驱动程序中发现了安全漏洞(CVE-2022-4020)。攻击者不需要用户交互即可更改 UEFI 安
12月9日晚,Apache Log4j2反序列化远程代码执行漏洞(CVE-2021-44228)细节已被公开,受影响版本为Apache Log4j 2.x< 2.15.0-rc2。 Apache Log4j-2中存在JNDI注入漏洞,当程序将用户输入的数据进行日志记录时,即可触发此漏洞,成功利用此漏洞可以在目标服务器上执行任意代码。 当前官方已发布2.15.0、2.15.1-rc1等版本,用户可升级至log4j-core-2.16.0 版本,或采取以下加固缓解措施: (1)添加JVM启动参数-Dlog4
在当今数字化的时代,电脑已经成为了我们生活和工作中不可或缺的工具,然而随着电脑的普及和互联网的发展,各种电脑病毒、木马、恶意软件也层出不穷,给我们的电脑安全带来了巨大的威胁,因此选择一款优秀的杀毒软件来保护我们的电脑安全显得尤为重要。
微软于5月15日发布的远程桌面服务代码执行漏洞(CVE-2019-0708)可导致远程控制的利用代码已被Metasploit公开发布,经测试真实可用,该漏洞危害极高,风险堪比之前出现的“永恒之蓝”漏洞,可能引发蠕虫传播、木马挖矿及勒索病毒等风险,请关注到该情报的用户尽快修复! 为避免您的业务受影响,云鼎实验室建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。同时建议云上租户免费开通「安全运营中心」-安全情报,及时获取最新漏洞情报、修复方案及数据泄露情况,感知云上资产风险态
‘假名’黑客曝 macOS 新漏洞,将影响 2002 年后所有 Mac 设备
近日,针对 Google公司的 公司的Project Zero等安全团队披露出的英特尔等处理器芯片存在非常严重的安全漏洞。这次的漏洞分别起名Meltdown(崩溃)和Spectre(幽灵)。这两个漏洞允许黑客窃取计算机的全部内存内容,包括移动设备、个人计算机、以及在所谓的云计算机网络中运行的服务器。 作为战斗第一线的救火队员,最近几天被两个漏洞折磨的头晕脑胀,为了更好的给客户提供服务,翻遍了中外网站大部份相关热文,现整理出下面10多类应急方案,与各位一线兄弟共勉,希望对大家有所帮助。 漏洞危害 对多租户下
CleanMyMac X可以优化Mac系统。mac系统用久了,用CleanMyMac清理一下效果还不错。可用来清理系统的缓存、日志、语言和垃圾文件,还能卸载应用程序。
移动设备横行的时代,Wi-Fi 已成为现代人生活的必备要素之一。但近日有计算机安全专家发现,Wi-Fi 设备的安全协议存在漏洞,如今用于保护 Wi-Fi 网络安全的保护机制已经被黑客攻破,苹果、微软、
介绍 iOS是苹果公司开发的手机操作系统,发布于2007年,使用在iPhone 和 iPod Touch上,并且已经开始延伸至其他苹果设备如iPad和Apple TV。与微软的Windows Pho
微软官方发布了2022年02月的安全更新。本月更新公布了70个漏洞,包含17个特权提升漏洞、16个远程执行代码漏洞、6个信息泄露漏洞、5个拒绝服务漏洞、3个身份假冒漏洞、3个安全功能绕过漏洞以及1个篡改漏洞,其中50个漏洞级别为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
微软官方发布了2023年11月的安全更新。本月更新公布了83个漏洞,包含18个远程执行代码漏洞、18个特权提升漏洞、11个身份假冒漏洞、6个信息泄露漏洞、6个安全功能绕过漏洞、5个拒绝服务漏洞,其中3个漏洞级别为“Critical”(高危),57个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
此漏洞已经检测到在野利用,无需用户交互,成功利用此漏洞的攻击者可提升受攻击系统账户的权限至 SYSTEM 权限执行任意代码。
有没有可能我们在不知情的情况下被电脑录音和录像?黑客可以从而听到你的每一通电话,看到你周围的人。 听来恐怖,但有的时候我们真的无法完全知晓我们的电脑在干什么。正因如此,就连扎克伯格这样的大佬也需要用胶带把麦克风和摄像头封起来。 Chrome浏览器最近就被发现了这样的一个漏洞,恶意网站可以在用户不知情的情况下录制音频和视频。 漏洞的发现者是来自AOL的开发者Ran Bar-Zik。他在4月10日将漏洞汇报给了Google,但Google认为这并非漏洞,因此目前漏洞尚未被修复,也可能不会有补丁。 浏览器
目录 一、Wannacry 勒索蠕虫病毒 事件背景 北京时间2017年5月12日晚,勒索软件"WannaCry"感染事件爆发,全球范围内150个国家遭到大规模网络攻击,被攻击者电脑中的文件被加密,被要
第一节 引子 微软Office系统软件(Word/Excel/PowerPoint等),一直是电脑上最为常用的办公软件之一,在国内外都拥有大量的用户。另一方面,利用 Office系列软件的漏洞进行网络攻击已经成为黑客惯用的手段,广泛运用于 APT攻击,抓肉鸡,传播勒索病毒等。其中一种典型的攻击方式是“鱼叉攻击”:黑客将包含漏洞的文档伪装成为一个正常的Office 文档,并精心构造文件名,然后投递到用户邮箱,如果用户不小心打开文档,恶意代码便会悄悄执行,用户完全没有感知。 另外,随着新版本的Of
目前,针对企业环境的无文件型恶意软件威胁正在日趋增长。无文件型恶意软件所使用的代码不需要驻留在目标Windows设备上,而普通的Windows安装程序涉及到很多的东西:PowerShell、WMI、VB、注册表键和.NET框架等等,但对于无文件型恶意软件来说,它们在实现目标主机感染时,并不需要通过文件来调用上述组件。
实验环境 渗透环境: OS:Kali Linux 2017.3 工程师站: OS:Windows 7 sp1 x64 IP:192.168.0.152 仿真平台(仿真伊朗核设施的铀浓缩的离心机): P
据360安全卫士官方介绍,近期eCh0raix勒索病毒再度活跃,主要利用QNAP(威联通)NAS服务器中的远程漏洞组合进行传播,对用户隐私数据及财产安全造成极大威胁。
被刷屏的图与比特币勒索蠕虫病毒 事件背景 5月12日晚, WannaCry 蠕虫病毒在全球大肆爆发。据BBC、CNN等媒体报道,恶意攻击者利用 NSA(美国国家安全局)泄露的 Windows 0day 利用工具对99个国家实施了超过75000次攻击。 什么是比特币勒索蠕虫病毒? 这次攻击的始作俑者是一款名为“WannaCry”(中文名:想哭)的勒索病毒,带有加密功能,它利用 Windows 在 445 端口的安全漏洞潜入电脑并对多种文件类型加密并添加后缀(.onion)使用户无法打开,用户电脑存在文档被加
网络时代,万物互联,人们在享受数字生活带来的福利时,背后隐藏的安全漏洞也正时刻构成威胁,只要技术是一把双刃剑,漏洞就将伴随信息技术的不断发展,与之相对应的,一些网络黑客对漏洞的利用技术也在提升,攻击事件变得越发频繁。
2月20日,国家信息安全漏洞共享平台(CNVD)发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487/CVE-2020-1938)。该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。目前,厂商已发布新版本完成漏洞修复。
今天白天,重量网络在群里提醒我,说 Linux 出现了严重的 bash 漏洞,一直在忙也没怎么关注,晚上空闲看了下,发现确实非常严重,必须紧急扩散出去,防止服务器被黑客入群,造成严重的后果! 9 月 25 日消息,继“心脏流血”漏洞之后,安全研究专家又发现了一个危险级别为“毁灭级”(catastrophic)的漏洞,开源软件公司 Red Hat 在一份报告中称,在 Linux 系统中广泛使用的 Bash 软件漏洞有可能让黑客利用攻击一切连入互联网的设备。 该漏洞编号为 CVE-2014-6271,主要存在于
10月1日,安全研究员 Bobby Rauch 在苹果 AirTag 产品中发现了一个存储型跨站脚本攻击漏洞 ,攻击者可以利用该漏洞诱使用户访问恶意网站。由于 Apple 没有修复该漏洞,Rauch决定披露该漏洞。
微软官方发布了2023年10月的安全更新。本月更新公布了105个漏洞,包含45个远程执行代码漏洞、26个特权提升漏洞、17个拒绝服务漏洞、12个信息泄露漏洞、3个安全功能绕过漏洞、1个身份假冒漏洞,其中12个漏洞级别为“Critical”(高危),92个为“Important”(严重)。建议用户及时使用火绒安全软件(个人/企业)【漏洞修复】功能更新补丁。
对于一场战争而言,情报战早在双方短兵相接之前就已经打响,谁能掌握更多、更精准的情报,往往就掌控了战场的主动权,有更大的把握赢得胜利,甚至能取得以弱胜强、以少胜多的战果。在作家麦家的小说《暗算》中,拥有独特天赋能够从纷繁复杂的信号中辨别出敌方电台、截获秘密情报的工作者,被称为“听风者”。
对于一场战争而言,情报战早在双方短兵相接之前就已经打响,谁能掌握更多、更精准的情报,往往就掌控了战场的主动权,有更大的把握赢得胜利,甚至能取得以弱胜强、以少胜多的战果。在作家麦家的小说《暗算》中,拥有独特天赋能够从纷繁复杂的信号中辨别出敌方电台、截获秘密情报的工作者,被称为“听风者”。 (电影《听风者》剧照) 在腾讯,也有这样一群“云上听风者”。他们通过自主研发的情报监测系统和高效的安全运营体系,为腾讯云的安全源源不断地提供全面、专业的漏洞情报,与黑客抢夺关键的时间窗口,让安全运维部门有时间做好充
“在那个群,和谁聊了什么,看的一清二楚,还可以搜索”,并且使用的是自己的设备,着实让我觉得不可思议。先不论技术,逻辑上说,如果仅因为使用了公司的wifi就可以被监控微信聊天内容,推论就是:
互联网创新创业时代,很多领域呈现一个共同特征:当先行者的技术积累到一定程度后,开放协作就逐渐成为这个领域的关键词,百度的Apollo人工智能、阿里的城市大脑/大数据、京东的区块链溯源平台莫不如是。
Mac Zoom客户端中存在漏洞,允许任何恶意网站在未经许可的情况下启用摄像头。这一漏洞可能会暴露出世界上多达75万家使用ZOOM进行日常业务的公司。
近期,一名英国的15岁黑客Saleem Rashid爆出,Ledger Nano S这款比特币硬件钱包有严重的安全性漏洞,它可能会被黑客控制,成为黑客安插在你身边的“间谍”,偷走你的比特币。 什么是Ledger Nano S?这可是硬件钱包市场上的明星产品。 此后,Rashid将他的破解教程发布在个人博客之中,经区块链大本营整理如下。害人之心不可有,防人之心不可无。希望这篇文章,能让你多一些警惕吧。 作者 | Saleem Rashid 编译 | Guoxi 编辑 | 小西 在这篇文章中,我将讨论我在Le
E安全11月9日讯 据外媒报道,思科(Cisco)发现了一个安全漏洞,会影响使用其Windows虚拟桌面应用Webex Meetings的远程员工。
HP OMEN 驱动程序软件中存在一个严重漏洞,该漏洞影响全球数百万台游戏计算机。
《极客周刊 · 第六期》 CIT极客周刊于每周六与大家见面,给大家带来最前沿的IT界及其相关行业的资讯及变动。 5月12日,一款从美国NSA黑客武器库中泄露出来的名为“永恒之蓝”的勒索病毒在全球上百个
转自:Freebuf.COM,编译:FB小编bimeover 机器学习正在不断加的加快前进的步伐,是时候来探讨这个问题了。人工智能真的能在未来对抗网络攻击,自主地保护我们的系统吗? 如今,越来越多的网络攻击者通过自动化技术发起网络攻击,而受到攻击的企业或组织却仍在使用人力来汇总内部安全发现,再结合外部威胁信息进行对比。利用这种传统的方式部署的入侵检测系统往往需要花费数周,甚至几个月的时间,然而就在安全人员修复的这段时间内,攻击者依然能够利用漏洞侵入系统,肆意掠夺数据。为了应对这些挑战,一些先行者开始利用人工
很多Android用户会选择使用锁屏密码保护设备,但最新爆出的漏洞却令人震惊:任何人无需复杂的操作即可绕过锁屏直接进入你的系统! 攻击者可以通过漏洞导获取上锁设备的全部权限:输入超长的字符串导致锁屏和相机的崩溃,直接进入主屏。接着攻击者可以打开USB调试功能,连接电脑,最终获取手机中的大量信息。此漏洞存在于Android 5.x <= 5.1.1的版本中,UT Austin团队在6月25日提交漏洞给Android后,Android在9月9日的新版本(build LMY48M)中修复了该漏洞。 需满足的两
近日,腾讯安全团队监控到 Jenkins 发布了9月安全通告,里面包含了 14 个CVE漏洞(CVE-2020-2238,CVE-2020-2239,CVE-2020-2240,CVE-2020-2241,CVE-2020-2242,CVE-2020-2243,CVE-2020-2244,CVE-2020-2245,CVE-2020-2246,CVE-2020-2247,CVE-2020-2248,CVE-2020-2249,CVE-2020-2250,CVE-2020-2251),有10个插件受影响,涉及以下插件:
领取专属 10元无门槛券
手把手带您无忧上云