2022年04月01日
微软公司和Akamai日前分别发布的汇报资料显示,妄图利用Log4Shell漏洞的互联网犯罪嫌疑人已经攻击SolarWinds和ZyXEL的机器设备,已经知道这种设施在其手机软件中采用了Log4j库。微软公司表明,它发觉危害分子结构已经乱用Log4Shell及其SolarWinds
Serv-U共享文件网络服务器中的零日漏洞。该漏洞识别码为CVE-2021-35247,微软公司称这也是Serv-U互联网登陆显示屏中的键入认证问题,攻击者已经钻这一零日漏洞的空档,应用非标标识符绕开登陆流程中的键
2022年04月01日
近期科研工作人员看到有三个WordPress插件存有同样的漏洞,该漏洞容许攻击者在有漏洞的网站上升级随意网站选择项,并彻底接手它。但是,要想利用该漏洞,必须网站管理人员开展一些实际操作。2021年11月5日,Wordfence威胁情报精英团队公布了科研工作人员在 "Login/Signup Popup
"插件中发觉的一个漏洞。Wordfence的分析工作人员在周四发布的一篇文章中写到,该WordPress插件安裝在2万多个网站上。殊不知,几日后,她们发觉同一开发公司的此外2个插件中也存有这一漏
2022年04月01日
微软公司表明,在找寻 Log4j 漏洞时看到了 SolarWinds Serv-U 手机软件此前未公布的问题。Jonathan Bar Or在 Twitter 上表述说,当他在找寻 Log4j漏洞运用试着时,他注意到来源于 serv-u.exe 的攻击。认真观察发觉,可以向 Ssrv-U 给出的数据,它会用你没经加工处理的输入搭建一个 LDAP 查看!这可以用以 log4j 攻击试着,还可以用以 LDAP
引入。Solarwinds 马上回应、调研并修复了。#vulnerability微软公司
2022年04月01日
英国 CISA 在“已知已利用漏洞目录”中增加了 17 个新的被积极主动利用的漏洞。这种漏洞是危害参加者在攻击中乱用的已知漏洞目录,必须由联邦政府民事法律法院院长
(FCEB) 组织解决。依据具备约束的实际操作命令 (BOD) 22-01:减少已知被利用漏洞的重大风险,FCEB
组织一定在截至日期前解决已鉴别的漏洞,以保障其互联网免遭利用目录中漏洞的攻击。权威专家还提议个人组织审查 已知被利用漏洞目录 并解决其基础设施建设中的漏洞。这周,网络信息安全和基础设施建设安全局 (CISA) 将 1
2022年04月01日
NFT销售市场OpenSea的一个漏洞被利用,网络黑客以远小于市场价值的价格购买NFT。从今日上午逐渐,市场价值刚超出100万美金的NFT被以这样的方法购买。早已发觉最少有三个攻击者利用了这一漏洞,在过去的12个小时内以远小于市场价值的价格购买了起码8个NFT。这种包含Bored Ape Yacht Club、Mutant Ape Yacht Club、Cool Cats和Cyberkongz NFTs。今日,一名攻击者根据利用这一漏洞,为7个NFT共付款了13.3万美金,随后快速以93.4万美
2022年04月01日
一名网络信息安全学员向苹果公司展现了黑掉Mac摄像头后怎么让机器设备对网络黑客彻底对外开放,他因而从该公司的不正确悬赏金计划中得到了100500美金。以前发觉iPhone和Mac摄像头漏洞的Ryan
Pickren,得到了据信是苹果公司较大的漏洞悬赏金付款。据Pickren称,新的摄像头漏洞涉及到Safari和iCloud的一系列安全隐患,iPhone如今早已彻底修补了他们,但在机器设备被修复以前,恶意网站仍然可以利用这种问题进行进攻。网络黑客会让网络攻击彻底浏览全部根据互联网的帐户,从iCl
2022年04月01日
本月稍早,法国安全性研究者 David Colombo
在一条推原文中,初次公布了危害特斯拉电动汽车的一个比较严重安全隐患。因为时兴的第三方开源系统日志专用工具中的一个安全性漏洞,车辆居然被立即裸露于互联网技术上。若被网络攻击闯进,该漏洞或造成远程控制开启汽车车门、鸣音响喇叭、乃至运行汽车。在一连串有关文章以后,David Colombo 于周一的一篇文章中,详细介绍了他是怎样在不经意状况下发觉该漏洞、并“彻底远程操作”了超出 25
辆特斯拉电动汽车的。幸运的是,他一直在勤奋向受影响的车主公
2022年04月01日
日前,Rust计算机语言的维护者修补了一个识别码为
CVE-2022-21658的高风险漏洞,该漏洞让攻击者可以从易受攻击的系统软件删除文档和文件目录。该漏洞危害Rust 1.0.0到Rust
1.58.0,最近发表的Rust 1.58.1版本号已修补了该漏洞。Rust计算机语言维护者公布的安全性公示称:“Rust安全性回应调研组已收到通告,获知
std::fs::remove_dir_all规范函数库易受开启标记连接追随的竞态标准进攻(CWE-363)。攻击者可以利用这一安全隐患,蒙骗特
2022年04月01日
API(Application Programming
Interface,应用程序插口)是一些事先界定的插口(如函数公式、HTTP插口),或指系统软件不一样构成部分对接的承诺。尽管API为联接各手机软件部件带来了一套高效的架构,但他们通常将后面数据信息泄露给第三方,因此变成攻击者的具体总体目标。不安全的API会不断扩张应用程序攻击面,让网络黑客更易于开展侦查、搜集配备信息内容及其方案策划黑客攻击。日前,OWASP(Open
Web Application Security
Project
2022年04月01日
有关Web Cache Vulnerability ScannerWeb Cache Vulnerability
Scanner是一款功能齐全的安全性漏洞扫描系统工具,该工具根据Go语言开发设计,是一款命令插口(CLI)工具,可以协助众多科学研究工作人员轻轻松松检验网址中的Web缓存投毒问题。该工具适用许多不一样的Web缓存投毒技术性,在其中还包含一个用以进一步发掘和鉴别URL的网络爬虫部件,可以适用特殊的Web缓存方式以建立更有效地检测服务。此外,该工具适用消费者开展相对高度订制化开发设计,