漏洞

Canonical的snap和Red Hat的Flatpak一样，都是基于容器的Linux软件打包和部署程序。虽然Snap与UbuntuLinux的关联最为密切，但它用于在许多Linux发行版上分发和安装Linux程序。唉，Qualys研究团队发现了几个很难找到但很棘手的snap Linux安全问题，包括Oh sna......

美国网络安全基础设施和安全局（US Cybersecurity Infrastructure and Security Agency）在获悉威胁行为人已开始使用上周披露的两个漏洞接管未修补的系统后，已要求联邦机构修补其可能正在运行的任何Zabbix服务器。 CISA警报中提到的漏洞被追踪为CVE-2022-23131......

唐纳德·特朗普的亮相'；可以预见，中国的社交网络是一场灾难。社会真理'；周一的首次亮相被技术问题和庞大的等待名单所破坏，而一些真正能够使用这项服务的人则抱怨自己"；审查" 社会真理"；由于技术故障、13个小时的停机和30万人的候补名单，在盛大亮相的头几天几乎完全无法访问；《华盛顿邮报》......

奎里斯和#39；安全研究人员发现了几个影响Canonical'；s Snap软件打包和部署系统。 Qualys漏洞和威胁研究主管巴拉特·乔吉（Bharat Jogi）在一篇博客文章中解释说，他们在Linux操作系统上的snap Restrict函数中发现了多个漏洞；其中最重要的一个可以被利用来升级权限以获得根权......

开源软件无处不在。它已经成为技术创新无与伦比的驱动力，因为使用它的组织没有'；我们不必重新发明通用软件组件。 然而，开源软件的无处不在也带来了巨大的安全风险，因为它为（有意或无意地）向开源软件产品的消费者引入漏洞打开了大门。最近在广泛使用的Log4j代码库中解决主要漏洞的竞赛是迄今为止最大的迹象，表明必须解决开......

数百万WordPress网站在过去一天收到了一个强制更新，以修复名为UpdraftPlus的插件中的一个关键漏洞。 由于该漏洞的严重性，强制性补丁是应UpdraftPlus开发人员的请求发布的。该漏洞允许不受信任的订阅者、客户和其他人下载该网站的私有数据库，只要他们在该易受攻击的网站上有一个帐户。数据库经常包含有关客......

在星期三公布的一个更新中，红十字国际委员会确认最初的入侵可以追溯到2021年11月9日，在1月18日袭击之前的两个月，并补充说，其分析表明，入侵是对其系统的“高度复杂”的有针对性的攻击，而不是像红十字委员会最初所说的那样，对第三方承包商系统的攻击。 红十字国际委员会表示，它知道这次攻击的目标是“因为攻击者创造了专门用......

本月早些时候，一名自称“灰帽”的黑客想出了如何欺骗以太坊伸缩解决方案乐观主义者，使其有效打印出无限量的以太。 软件工程师杰伊·弗里曼（Saurik online）没有利用这一漏洞。相反，他向乐观主义的开发团队报告了这个问题，后者向他支付了200万美元的漏洞赏金。 弗里曼最出名的可能是他在Cydia上的工作，Cydia......

以太坊第二层解决方案“乐观主义”修复了一个允许非法持续创建以太代币的主要缺陷。 据消息人士透露，乐观主义可能刚刚解决了一个重大的系统漏洞问题。这一潜在故障通过一名道德黑客Jay Freeman引起了以太坊开发人员的注意，他发现了代码中的缺陷，并将网络从重大盗窃风险中拯救了出来。 据报道，该漏洞是由一名Ethersca......

圣路易斯（美联社）-密苏里州的一名检察官将不会起诉一名揭露州数据库漏洞的《圣路易斯邮报》记者，该漏洞允许公众访问数千名教师的社会安全号码。 据《圣路易斯邮报》报道，科尔县检察官洛克·汤普森周五发表声明称，有人认为这是一项违法行为，调查的核心问题已通过非法律手段得到解决。 汤普森说：“因此，在本案中，利用大量必要的资源......

在2022年的路线图中，我提到了一个叫做“15分钟漏洞计划”的项目今天我想充实一下，请求大家参与！这篇博文不仅是信息性的，而且我真的希望任何一起阅读的开发人员都会感到兴奋，并决定参与进来。🙂 KDE软件历来被指责为资源密集型、丑陋且有缺陷。多年来，我们基本上解决了前两个问题，但问题仍然存在。 你是否有过这样的经历：你......

欧盟委员会'；微软的开源项目办公室决定为流行的开源软件提供漏洞奖励。还有什么更好的方式来认可OSS'；这比政府主导的赞助更重要吗？ 开源软件为一切事物提供动力，从现代服务器到物联网，再到工作中的台式机，似乎也是欧盟系统的核心。虽然这项欧盟臭虫赏金计划受到欢迎，但它并不是什么新鲜事；我在2019年讲述了该项......

谷歌的零日安全研究小组透露，2021的Project Noice报告的安全漏洞平均比28快了28天。 去年，硬件和软件供应商修复安全漏洞的平均时间为52天，远低于90天的截止日期，而两年前的平均时间为80天。 只有一个bug超过了修复期限，尽管14%的bug需要额外的14天宽限期才能发布有效的修复。 Project ......

苹果发布了iOS/iPadOS、macOS和watchOS的更新，主要针对漏洞和安全漏洞。 对于大多数用户来说，iOS 15.3.1在功能上是一个小的更新。它修复了盲文显示的问题，并解决了任意代码执行漏洞。 iOS 15.3.1为iPhone提供了重要的安全更新，并修复了可能导致盲文显示停止响应的问题。 适用于：iP......

本周我和我的编辑谈了一些平常的事情：即将发生的故事、播客的未来以及在一年半的极端变化中对冒名顶替综合症的存在恐惧。最后一点占据了谈话的大部分。去搞清楚！我们的谈话很有帮助，因为它用语言表达了经常出现在字里行间的压力，并强调了在大流行规模的一年中隐藏的小事。别担心，我不会用我的思维循环让你感到厌烦，但我会提取一些我认为......

根据周三发表的研究，政府、治安维持者和犯罪黑客有了一种新方法来破坏运行广泛使用的攻击软件 Cobalt Strike 的僵尸网络。 Cobalt Strike 是渗透测试人员用来模拟网络中恶意活动的合法安全工具。在过去几年中，代表民族国家工作或寻求利润的恶意黑客越来越多地接受了该软件。对于防御者和攻击者，Cobalt......

一位安全研究人员发布了 Linux 内核 eBPF（扩展伯克利数据包过滤器）中一个高危漏洞的利用代码，该漏洞可以让攻击者在 Ubuntu 机器上获得更高的权限。该错误被跟踪为 CVE-2021-3490。它在 5 月份被披露并且是一种特权升级，因此利用它需要在目标机器上进行本地访问。 eBPF 是一种技术，它使用户提......

今天发布了关于九个被称为 PwnedPiper 的漏洞集合的详细信息，这些漏洞影响了北美大约 80% 的主要医院安装的一种常见的医疗设备。来自 Swisslog Healthcare 的 TransLogic 气动管道系统 (PTS) 是一个复杂的系统，它使用压缩空气通过连接大型医院内不同部门的管道移动医疗用品（实验......

随着对组织供应链中安全性较低的元素（例如物联网设备和嵌入式系统）的关注日益增加，资金得以落地。 Finite State 表示，这个问题主要是由设备固件引发的，设备固件是基础软件，通常包括来自第三方供应商或开源软件的组件。这意味着，如果最终产品中存在安全漏洞，设备制造商通常不知情。 “网络攻击者将固件视为未经授权访问......

根据芬兰研究人员的分析，官方 Python 包索引 (PyPI) 存储库中近一半的包至少存在一个安全问题。研究人员使用静态分析来发现开源软件包中的安全问题，他们认为这些问题最终会污染使用它们的软件。研究总共扫描了 197,000 个包，总共发现了超过 749,000 个安全问题。研究人员在他们的论文中指出：“有了这些......

联邦调查局和美国网络安全和基础设施安全局 (CISA) 今天与英国和澳大利亚的同行一道，公布了自大流行开始以来被利用的前 30 个漏洞。该清单是与澳大利亚网络安全中心 (ACSC) 和英国国家网络安全中心 (NCSC) 共同努力的结果，详细说明了漏洞——主要是常见漏洞和暴露 (CVE)——“在 2020 2021 年......

Twitter 有一种摆脱人工智能偏见的新方法：花钱请局外人找问题。周五，这家短信应用程序制造商详细介绍了一项新的赏金竞赛，该竞赛提供高达 3,500 美元的奖金，用于向 Twitter 展示其技术如何错误地处理照片。今年早些时候，Twitter 确认了其自动照片裁剪机制存在问题，得出结论认为该软件偏爱白人而不是黑人......

2020 年，网络攻击者很容易利用最近披露的漏洞来破坏未打补丁的系统。根据提供给美国政府的可用数据，2020 年的大多数主要漏洞都是在过去两年中披露的。网络攻击者在 2020 年利用最近披露的软件缺陷可能部分源于 COVID-19 大流行期间远程工作选项的扩展。远程工作选项（例如虚拟专用网络 (VPN) 和基于云的环......

最近我正在做一些检索结构数据成员类型的工作。当我探索、研究和测试想法时，我发现了这颗珍珠：template<int N> struct tag{};template<typename T, int N>struct loophole_t {friend auto loophole(tag<......

美国、英国和澳大利亚的政府官员正在敦促公共和私营部门组织通过确保防火墙、VPN 和其他网络外围设备针对最广泛的漏洞进行修补来保护他们的网络。在周三发布的联合咨询报告中，美国联邦调查局和 CISA（网络安全和基础设施安全局）、澳大利亚网络安全中心和英国国家网络安全中心列出了前 30 名左右的最常被利用的漏洞。这些漏洞存......

谷歌宣布了一个新平台和社区，旨在在同一屋檐下托管其所有漏洞奖励计划 (VRP)。自十多年前推出第一个 VRP 以来，该公司已奖励来自全球 84 个不同国家/地区的 2,022 名安全研究人员报告了 11,000 多个错误。谷歌表示，自 2010 年 1 月启动 Chromium 漏洞奖励计划以来，研究人员总共获得了 ......

没意见 ：

苹果今天发布了适用于 iOS、iPadOS 和 macOS 的补丁，以解决该公司称已被广泛利用的零日漏洞。被追踪为 CVE-2021-30807 的苹果表示，零日影响 IOMobileFramebuffer，这是一个内核扩展，允许开发人员控制设备的内存如何处理屏幕显示——更准确地说是屏幕帧缓冲区。据 Apple 称，......

今天，出于好奇，我搜索了 php mysql 电子邮件注册。这将返回教程、操作方法、代码片段。大多数结果包括有缺陷的 DB 语句。这通常意味着类似 // Don't do this!mysqli_query( " SELECT * FROM user WHERE id = '" .......

这个过程是自动的。您的浏览器将很快重定向到您请求的内容。