首页
学习
活动
专区
工具
TVP
发布

iOS ZipperDown 漏洞来袭,我们该如何应对?

昨天傍晚盘古实验室负责任的披露了针对 iOS 应用的 ZipperDown 漏洞,并提供了检索、查询受影响应用的平台: zipperdown.com。...基于目前公开的信息,该漏洞的影响面比较大,15000 多个应用可能受此漏洞影响。 并且,结合应用中的其它安全缺陷,可以在某些应用上获得远程任意代码执行能力,即:远程控制目标应用,危害也较大。...由于目前官方没有公开 ZipperDown 的详细信息,所以这里会跟大家分享、探讨一下针对 iOS 应用的防守策略以及针对具体功能点的防守方法。...2、避免使用有漏洞的第三网网络库(如 AFNetworking < 2.5.3 版本)。 3、关键数据(如登录密码、卡号、交易密码等)单独加密。...但是与此同时,很多桌面浏览器前端漏洞在 iOS 终端上仍然存在。 同时因为 iOS 终端上, WebView 可以注册一些敏感信息数据,比如发短信、付款、定位信息等等,也带来了一些新的安全风险。

74920

赛灵思FPGA出现严重漏洞

波鸿鲁尔大学霍斯特·戈茨IT安全研究所和马克斯·普朗克网络安全与隐私保护研究所的研究人员在一项联合研究项目中发现,FPGA中隐藏了一个关键的安全漏洞,该漏洞会影响Xilinx FPGA芯片组,他们称这个漏洞为...攻击者可以利用该漏洞(无论是物理访问还是远程访问)提取并篡改FGPA的比特流(配置文件),从而使用恶意代码对芯片进行重新编程。 什么是FPGA?...Starbleed漏洞 研究发现,FPGA市场领导者Xilinx出售的FPGA芯片组存在安全漏洞,诸如7系列(Spartan、Artix、Kintex和Virtex系列)和6系列(Virtex)等Xilinx...,降低了漏洞的危险性。...由于安全漏洞位于硬件本身中,因此只能通过更换芯片来弥补。 好消息是,新一代Xilinx UltraScale不容易受到这种攻击。 责任编辑:大脸肥飞猫、边小白

99140
您找到你想要的搜索结果了吗?
是的
没有找到

Apple 出现多个安全漏洞

研究表明,CVE-2023-23529 漏洞与 WebKit 开源浏览器引擎中的类型混淆错误有关,一旦攻击者成功利用,便可在目标系统上执行任意代码。...国内某安全厂商监测到多个 Apple 漏洞 除了上述提到的 CVE-2023-23529 安全漏洞,近段时间,国内某安全厂商还监测了多个 Apple 官方发布的安全漏洞通知,主要包括: Apple Kernel...权限提升漏洞(CVE-2023-23514) Apple macOS Ventura 敏感信息泄露漏洞(CVE-2023-23522) 相较于其它两个漏洞,CVE-2023-23529 影响范围及危害程度最严重...值得注意的是,安全研究人员已经发现 Apple WebKit 任意代码执行漏洞 CVE-2023-23529 在野利用的迹象,鉴于这些漏洞影响范围较大,建议客户尽快做好自查及防护。...官方更新日志显示,此次安全更新修复了存在于 WebKit 中的漏洞 WebKit 安全漏洞问题存在已久,2022 年,苹果总共修复了 10 个 0day,4 个漏洞是在 WebKit 中发现的。

47030

iPhone xs出现漏洞(含复现视频)

漏洞说明 无意间在网上看到iPhone xs出现漏洞漏洞的大概内容是: 无需密码就可访问通讯录和相册 好像每次新款的iPhone出来都会有类似的问题,按照网上,我们有师傅(绝对的土豪师傅)测试了一下...复现的视频如下所示: 视频内容 防范措施 防范措施如下: 打开 Face ID 功能,因为这个漏洞的使用前提是禁用Face ID。 禁用 Siri 在锁定屏幕上的访问权限。...不过话说回来了,苹果系统安全性还是比较高的,这个锁屏的漏洞利用起来实际上也很鸡肋,比如需要在本地利用,还需要知道手机号码,况且只能知道相册的内容,不过最为极客,就是要来研究安全问题的,土豪朋友们不必过于担心

67420

【注意】Apache ActiveMQ漏洞出现大量在野攻击

腾讯云主机安全/容器安全已支持检测和防御该漏洞,腾讯云云防火墙已支持拦截针对该漏洞的利用行为,云安全中心已支持该漏洞检测。...三、 时间线 2023年10月26日,腾讯安全捕获到漏洞细节和poc; 2023年10月26日,腾讯云主机安全/容器安全支持检测该漏洞,腾讯云云防火墙支持拦截该漏洞利用行为; 2023年10月26日,...登录腾讯主机安全控制台,进行漏洞检测、开启漏洞防御。...1、主机安全(云镜)控制台:打开【漏洞管理】->应急漏洞->立即扫描 2)主机安全(云镜)控制台:打开【漏洞管理】->漏洞防御,点击按钮一键开启; 容器安全服务控制台:打开【漏洞管理】->漏洞防御,点击按钮一键开启...远程代码执行漏洞的修复建议

1K31

【紧急漏洞】typecho评论功能的网址填空出现储存型xss漏洞

说在前面:漏洞已经在本站的默认模板测试成功,但是是在直连源站的情况下进行操作的,我的cdn自带xss攻击识别防护。...前几天, Typecho 的github项目仓库留言处有人爆出评论功能的网址填空出现储存型xss漏洞,不少人已经被攻击,目前 Typecho 暂未发布修复该漏洞的教程,但是 Typecho 的 Github...仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc 版本。...目前,Typecho 的 Github 仓库的最新代码已修复该漏洞,并预发布了 Typecho 1.2.1-rc 版本,可以更新 Typecho 1.2.1-rc 以防止漏洞被利用于攻击你的网站。...存在 Stored-XSS 漏洞,在comments.php文件中,url参数只过滤开头,不加任何保护,直接回显到html中。

81620

看雪2018安全开发者峰会,议题干货、安全大咖、头脑风暴!

同时结合真实案例详细介绍在App审计过程中发现并利用ZipperDown的技术细节,包括ZipperDown对微博、qq音乐、陌陌等用户数量达到千万级别的APP的影响以及我们在构建ZipperDown完整攻击链的过程中遇到的问题和解决思路...对于开发者而言,这些看似正常但是存在潜在威胁的函数方法经常会出现项目代码中;对于安全人员而言,这些函数方法的Tricks经常被应用在代码审计、CTF挑战、漏洞利用Bypass当中。...9、硬件钱包安全分析 议题介绍: 随着区块链技术的兴起,国内国外出现很多硬件钱包厂家。由于大多厂家对安全理解不到位,出现很多设计架构问题。...8、协议相关漏洞挖掘 9、Web漏洞挖掘 10、云端业务漏洞挖掘 11、其他经验及技巧 基础知识准备: 需要对计算机基础知识及网络基础知识有一定的了解,最好熟悉web和系统常规漏洞原理,最主要的是对物联网安全及漏洞挖掘感兴趣...WEB安全编程训练营 课程简介 13种漏洞主题参照OWASP top10,以及各大漏洞提交平台及SRC最常出现漏洞进行归纳总结。

1.6K10

数据库管理面板phpMyAdmin出现高危安全漏洞

非常流行的数据库管理面板phpMyAdmin 目前被发现高危安全漏洞允许攻击者删除数据表甚至整个数据库。...开发组已经发布4.7.7版修复该漏洞: 目前面板开发团队已经发布v4.7.7 版封堵这个跨站请求伪造漏洞,原则上说所有用户都应该升级到最新版本。...目前这个漏洞已提交到CVE公共漏洞数据库但尚未分配编号,同时研究人员也发布了利用该漏洞的演示视频。 基于安全考虑如果短时间内无法升级到最新版本那么也应该提高安全意识、不要点击陌生人发来的不明地址。...该漏洞也可以导致数据库泄露: 对于广大的吃瓜群众来说这肯定不是个好消息,因为肯定会有些猪队友(网站)没有及时修复漏洞而被拖库。...例如去年美国征信公司易速传真的大规模数据泄露事件就是没有及时修复 Apache 服务器中的组件漏洞导致。

1.2K100

最近出现的几大疑似漏洞大家需要了解下

而我们最常见的就是他们通过程序系统漏洞或者源码漏洞等方式。今天小编关注到CNVD即(国家信息安全漏洞共享平台)统计发布了近期出现的几大疑似漏洞,做为网络运维的我们需要了解下。...1、Sequelize SQL注入漏洞 ,是一款用于Node.js的数据库ORM(对象关系映射)工具。 漏洞描述:Sequelize 5.8.11之前版本中存在SQL注入漏洞。...3、歪酷CMS存在文件上传漏洞,是一套内容管理系统。 漏洞描述:歪酷CMS存在文件上传漏洞,攻击者利用该漏洞获取网站服务器控制权。...漏洞描述:TPshop开源商城系统Ap***.php文件存在SQL注入漏洞,攻击者可利用该漏洞获取数据库敏感信息。...(注:漏洞信息转载于CNVD即国家信息安全漏洞共享平台)

77420

知名GPS出现漏洞,可使黑客获得管理权限

漏洞研究人员发现了有关于GPS追踪器MiCODUS MV720的安全问题,该追踪器广泛应用在世界50强企业、欧洲政府、美国各州、南美军事机构和核电站运营商等,共计169个国家约150万车辆中。...【图:MiCODUS MV720用户地图】 此次发现MV720设备存在共有6个漏洞,侵入该设备的黑客可以利用它来追踪甚至定位使用该设备的车辆,也可以通过该设备收集有关路线的信息,并操纵数据。...漏洞细节  虽然不是所有BitSight发现的六个漏洞都获得了识别号,但各个漏洞的具体细节如下: CVE-2022-2107:API服务器上的硬编码主密码,允许未经认证的远程攻击者获得对任何MV720追踪器的完全控制...继续使用MiCODUS MV720 GPS追踪器将是一个极端的安全风险,尤其是在这些漏洞被公开披露之后。

56110

Atlassian Bitbucket 服务器和数据中心出现漏洞

The hacker news 网站披露,Atlassian Bitbucket 服务器和数据中心出现严重漏洞,该漏洞可能允许攻击者执行恶意代码,Atlassian 目前已经推出了漏洞修复方案。...安全漏洞被追踪为 CVE-2022-36804(CVSS 评分:9.9),是一个多端点的命令注入漏洞,潜在攻击者可通过特制的 HTTP 请求加以利用。...服务器多个版本受到漏洞影响 据悉,CVE-2022-36804 漏洞由网络安全研究员 TheGrandPew 发现,经过详细分析,这一漏洞主要影响了 6.10.17 之后发布的所有版本 Bitbucket...Atlassian 强调,这种方式并不是一个完美的缓解措施,已经通过其他方式获取了有效凭据的潜在攻击者依然可以利用漏洞,这意味着部分拥有用户账户的攻击者仍然可以成功利用该漏洞,进行网络攻击活动。...最后,Atlassian 建议受漏洞影响的用户尽快升级到最新版本,以减轻潜在的安全威胁。

80420

福特汽车公司出现暴露客户和员工记录的漏洞

据Bleeping Computer报道,8月15日,研究人员披露了在福特网站上发现的一个漏洞,该漏洞可以让浏览者窥视公司机密记录、数据库并且执行帐户接管。...研究人员于今年2月向福特报送该漏洞,福特称该漏洞已修复。 数据泄露的根源是福特汽车公司服务器上运行的 Pega Infinity 客户参与系统配置错误。...从数据泄露到账户接管 福特汽车公司网站上存在一个系统漏洞,该漏洞允许浏览者访问敏感系统,并获取包括客户数据库、员工记录、内部票证等专有信息。...大约在同一时间,福特公司也通过HackerOne 漏洞披露计划收到了该漏洞报送。 但是,根据报道,随着漏洞披露时间表的推进,福特的反馈却变得越来越少。...“ 目前,福特汽车公司的漏洞披露计划没有提供金钱激励或者漏洞奖励,因此根据公众利益进行协调披露是研究人员唯一希望的获得“奖励”。 跟随报道披露出的报告副本显示,福特没有对具体的安全相关行动发表评论。

27620

2018年信息安全大事件一览

7.ZipperDown通用漏洞 2018年5月,盘古实验室在对IOS应用安全审计过程中发现了一类通用安全漏洞,可能影响10%的IOS应用。该漏洞被取名为ZipperDown。...4.GPON远程命令执行漏洞 2018年4月30日,V**Mentor公布了GPON路由器的两个高危漏洞,绕过验证漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562...结合这两个漏洞,只需要发送一次请求就可以在GPON路由器上执行任意命令。在该漏洞披露后的十天内,该漏洞就已经被多个僵尸网络家族整合、利用、在公网上以蠕虫的方式传播。...这也就意味着攻击者可以利用这个漏洞直接控制和接管EOS上运行的所有节点。从漏洞危害等方面来说,称该漏洞为“史诗级”名副其实。...10.区块链智能合约相关漏洞 区块链安全漏洞很多都出现在智能合约上。

1.6K31

MacOS再次出现漏洞,号称牢不可破的系统也有弱点

本文讲述了我在苹果的macOS系统内核中发现的几个堆栈和缓冲区溢出漏洞,苹果官方将这几个漏洞归类为内核中的远程代码执行漏洞,因此这些漏洞的威胁级别非常高。...这些漏洞基本都存在于NFS协议中,就是用来将网络驱动安装至Mac的文件系统时使用的,类似于NAS。 漏洞相关内容 苹果公司在2018年7月9日发布的MacOS 10.13.6版本更新中修复了这些漏洞。...如果其初值为0xFFFFFFFF,则nfsm_rndup中将出现加法溢出,renlen的值为0,这意味着能够与(NMC)->nmc_left比较成功,并且使用0xFFFFFFFF作为size参数调用bcopy...Lesser(), strict, branch)) } 这段代码使用Guards库来查找在guard控制的控制流位置中使用的大小表达式,然后使用globalValueNumber库来检查条件本身是否出现相同大小的表达式...lowerBound(size) >= 0 and (guardedSize(_, size, _, _) or minSize(size)) } 注意一点,我使用了lowerBound来确保不出现负整数溢出的情况

65920
领券