#漏洞

2020-8-26 23:15
早在2017年,你可能还记得黑客和安全研究人员是如何强调信令系统7(SS7,在美国称为公共信道信令系统7)中的长期漏洞的,这是1975年首次构建的一系列协议,旨在帮助连接世界各地的电话运营商。虽然这个问题并不新鲜,但2016年的一份“60分钟”报告引起了更广泛的关注,即该漏洞可以让黑客追踪用户位置,躲避加密,甚至记录......
2020-8-26 20:40
尚未安装最新版本的Pulse Secure VPN的组织有充分的理由停止抖动-这是一种代码执行漏洞,允许攻击者控制使用该产品的网络。 跟踪名称为CVE-2020-8218的该漏洞要求攻击者拥有运行VPN的计算机的管理权限。发现该漏洞的GoSecure公司的研究人员找到了一个简单的方法来清除这个障碍:诱骗管理员点击嵌入......
2020-8-26 19:36
历史上,内存腐败利用一直是优秀红色团队成员工具包中最强大的附件之一。它们允许攻击者在不依赖任何用户交互的情况下执行有效负载,为攻击性安全工程师和对手带来了轻松的胜利。 对于防御者来说,幸运的是,但对于研究人员和对手来说,不幸的是,这些类型的利用变得越来越难以执行,这在很大程度上要归功于我们每天使用的系统中直接实施的广......
2020-8-24 21:17
过去一年大规模抗议活动的兴起-在香港、印度、伊朗、黎巴嫩、津巴布韦和美国-给活动人士带来了重大挑战。当Internet连接严重拥塞或完全关闭时,您如何相互通信,同时保护您的身份和对话的私密性? 一个大力推广的解决方案是Bridgefy,这是一款即时通讯应用,得到了Twitter联合创始人比兹·斯通(Biz Stone......
2020-8-22 14:3
社会严重依赖技术,预计到2025年,全球使用的联网设备数量将增长到559亿台。其中许多设备跨越工业控制系统(ICS)的各个部分,这些设备影响物理世界,帮助我们在家中进行日常生活,并监控和自动化从能源使用到工作中的机器维护的一切。滥用这些系统的可能性已经引起了网络犯罪分子的注意;根据2020 IBM X-Force威胁......
2020-8-22 6:1
联邦检察官指控优步(Uber)前安全主管乔·沙利文(Joe Sullivan)妨碍司法公正,因为他向联邦贸易委员会(Federal Trade Commission)调查人员隐瞒了2016年的数据泄露事件。沙利文现在是Cloudflare的首席安全官。 在一份通过电子邮件发送的声明中,沙利文的一位发言人表示,政府的指......
2020-8-21 0:19
谷歌周三修补了影响Gmail和G Suite电子邮件服务器的一个重大安全漏洞。 该漏洞可能会让威胁行为人发送伪造的电子邮件,模仿任何Gmail或G Suite客户。 安全研究人员艾莉森·侯赛因(Allison Husain)在4月份发现并向谷歌报告了这个问题,他表示,该漏洞还允许攻击者传递欺骗电子邮件,称其符合两个最......
2020-8-15 23:21
举几个例子:黑客欺骗自动取款机吐出现金。一对安全研究人员想出了一种方法来检测最新的蜂窝站点模拟器。汽车研究人员成功黑进了一辆梅赛德斯-奔驰。大约二十年前的Windows漏洞可以用来植入恶意软件。加密货币交易所一度极易受到黑客攻击。互联网卫星比我们想象的更不安全,它们的数据流可能包含敏感的、未加密的数据。两名安全研究人......
2020-8-15 19:43
智能助手设备在隐私方面也有失误,但对大多数人来说,它们通常被认为是足够安全的。不过,对亚马逊Alexa平台漏洞的最新研究突显了思考智能助手存储的有关你的个人数据的重要性,并尽可能地将其降至最低。 安全公司Check Point周四发布的调查结果显示,Alexa的网络服务存在漏洞,黑客可以利用这些漏洞窃取目标的整个语音......
2020-8-15 2:50
如果飞行员调整了预先设定的高度限制,一个非常特殊的软件错误会使客机转向错误的方向。 该漏洞是在安装了罗克韦尔柯林斯航空航天制造的飞行管理系统(FMS)的庞巴迪CRJ-200飞机上发现的,导致客机试图沿着某些错过的进场右转而不是左转-反之亦然。 当飞行员不确定他们是否能安全着陆时,就会使用错过的进场。它们是一条公开的路......
2020-8-15 0:34
独立安全研究人员索加特·波卡雷尔(Sugat Pokharel)发现,当他从Instagram下载数据时,他下载的数据包含他之前删除的与其他用户的照片和私人消息。Instagram是Instagram于2018年推出的一项功能,目的是遵守欧洲新的数据规则。 对于公司来说,将新删除的数据存储一段时间,直到能够从其网络、......
2020-8-15 0:2
周三,成立两天的去中心化加密货币Yam崩溃,此前其创建者透露,一个软件漏洞实际上否决了人类治理。 在世界标准时间8月12日星期三下午6点左右,我们在山药改基合同中发现了一个漏洞,它将产生比打算出售给Uniswap Yam/yCRV池的山药多得多的山药,将大量多余的山药发送到协议储备,&34;山药项目在周四的一篇帖子中......
2020-8-13 21:4
由于亚马逊(Amazon)的Alexa语音助手的子域存在安全漏洞,可能会被利用来交出用户数据。 这款智能助手可以在亚马逊回声(Amazon Echo)和回声点(Echo Dot)等设备上找到,全球出货量超过2亿台,很容易受到寻求用户个人身份信息(PII)和语音录音的攻击者的攻击。 Check Point Resear......
2020-8-12 22:27
周二,微软修补了120个漏洞,其中两个值得注意,因为它们受到了积极的攻击,第三个漏洞是因为它修复了之前的一个安全漏洞补丁,该漏洞允许攻击者获得一个即使在机器更新后仍然存在的后门。 零日漏洞之所以得名,是因为受影响的开发人员在安全漏洞受到攻击之前有零天的时间发布补丁。零日漏洞攻击可能是最有效的攻击之一,因为它们通常不会......
2020-8-12 13:43
本月,该公司已经修补了13个不同产品的120个漏洞,从Edge到Windows,从SQL Server到.NET Framework。 在本月修复的120个漏洞中,17个漏洞的严重程度最高,为“严重”,还有两个零日漏洞在微软能够提供今天的补丁之前就已被黑客利用。 本月修补的两个零日中的第一个是Windows操作系统中......
2020-8-12 10:26
TikTok的未来仍然悬而未决,因为它同时被视为收购目标和安全风险,现在“华尔街日报”正在报道它一直在跟踪的用户信息的细节。他们对其Android应用程序的分析深入研究了2018年至2020年的几个版本,并表示“为一款移动应用程序收集的信息并不是异常多。” 然而,离群点是,直到去年年底,TikTok还利用一个已知的安......
2020-8-11 2:19
高通骁龙芯片上的400多个漏洞威胁着手机在全球的可用性。 智能手机在全球拥有超过30亿用户,是我们日常生活中不可或缺的、几乎不可分割的一部分。 随着移动市场的持续增长,供应商们争先恐后地在他们的最新设备中提供新功能、新功能和更好的技术创新。为了支持这种不懈的创新动力,供应商通常依赖第三方提供手机所需的硬件和软件。最常......
2020-8-10 8:18
机械锁可能是我们日常生活中最基本、最有形、最熟悉的安全层。人们锁门是希望这些锁可以把坏人挡在门外,但安全行业有一句常见的谚语,锁只会让诚实的人保持诚实。这或许比物联网“智能锁”时代更真实,在这个时代,开锁器和碰撞键往往可以被脚本和嗅探器取代。这正是我在去年年底评估的一款支持互联网的锁的情况。那时,匿名攻击者可以物理定......
2020-8-8 22:44
研究人员本周报告称,10亿或更多的Android设备容易受到黑客的攻击,这些黑客可以利用高通Snapgon芯片中的400多个漏洞将这些设备变成间谍工具。 当目标下载由芯片呈现的视频或其他内容时,可以利用这些漏洞。还可以通过安装根本不需要权限的恶意应用程序来攻击目标。 从那里,攻击者可以实时监控位置和收听附近的音频,并......
2020-8-8 7:32
Facebook今天正式发布了Instagram的秘密工具之一,用于查找和修复该应用程序庞大的Python代码库中的漏洞。 该工具名为PYSA,是一种所谓的静态分析器。它的工作方式是在代码运行/编译之前扫描静态表单中的代码,查找可能指示错误的已知模式,然后标记开发人员的潜在问题。 Facebook表示,该工具是内部开......
2020-8-7 23:32
在高通的骁龙芯片数字信号处理器(DSP)芯片中发现的几个安全漏洞,可以让攻击者在没有用户交互的情况下控制超过40%的智能手机,监视他们的用户,并创建能够逃避检测的不可移除的恶意软件。 DSP是片上系统单元,用于包括电视和移动设备在内的消费电子产品中的音频信号和数字图像处理以及电信。 尽管它们很复杂,DSP芯片可以为任......
2020-8-7 6:49
Twitter周三披露了一个新的安全漏洞,该漏洞可能暴露了使用Android设备访问该服务的用户的直接消息。 该公司表示,具体地说,该漏洞可能暴露了运行Android OS版本8和9的设备的Twitter用户的私人数据。 该公司表示,没有证据表明Android漏洞已被攻击者利用。 Twitter周三披露了一个新的安全......
2020-8-7 0:3
在杰克的重磅炸弹演示十年后,安全研究人员提出了鹦鹉螺自动取款机中的两个新漏洞,尽管是虚拟的,这要归功于冠状病毒的流行。 纽约安全公司红气球(Red Balloon)的安全研究员布伦达·苏(Brenda So)和特雷·基恩(Trey Keown)表示,他们的这两个漏洞让他们能够欺骗广受欢迎的独立零售自动取款机(ATM机......
2020-8-6 2:52
到目前为止,希望您已经熟悉了避免网络钓鱼攻击的常用建议:不要下载附件太快,不要输入密码或突然汇款,当然,不要点击链接,除非您确定它们实际指向何处。您甚至可以仔细检查每个发件人的电子邮件地址,以确保看起来像[email protected]的邮件不是真正的[email protected]。但是新的研究表明......
2020-8-6 2:50
我们最近在Twitter for Android中发现并修复了一个与影响操作系统版本8和9的底层Android操作系统安全问题相关的漏洞。我们了解到,96%使用Twitter for Android的用户已经安装了Android安全补丁来保护他们免受此漏洞的攻击。对于其他4%的用户,此漏洞可能允许攻击者通过安装在您设......
2020-8-6 1:13
该漏洞可能会让运行在同一设备上的恶意Android应用程序绕过Android的内置数据权限,虹吸存储在Twitter应用程序中的用户直接消息。但是,推特表示,该漏洞仅适用于Android 8(奥利奥)和Android 9(馅饼),并已得到修复。 Twitter的一位发言人告诉TechCrunch,一名安全研究人员“几......
2020-8-6 1:12
Twitter今天宣布修复了Twitter for Android应用程序中的一个安全漏洞,该漏洞可能会让攻击者获得包括直接消息在内的Twitter私人数据的访问权限。 我们最近在Twitter for Android中发现并修复了一个漏洞,该漏洞与影响操作系统版本8和9的底层Android操作系统安全问题有关,Tw......
2020-8-6 0:39
在Instagram上搜索#JoeBiden时,相关标签出现了关于这位民主党总统候选人的负面标签。自那以后,Instagram禁用了这一功能。 至少在过去两个月里,Instagram的一个关键功能,即通过算法将用户推向所谓的相关内容,一直在以截然不同的方式对待与唐纳德·特朗普总统和民主党假定总统候选人乔·拜登(Joe......
2020-8-5 5:34
微软透露,自去年7月以来,它已向安全研究人员奖励1370万美元,以奖励他们报告微软软件中的漏洞。 对于调查软件缺陷的研究人员来说,微软的漏洞赏金是最大的经济奖励来源之一,重要的是,他们会将缺陷报告给相关供应商,而不是通过地下市场将其出售给网络犯罪分子,或者利用中间商将其分销给政府机构。 这家雷德蒙德公司有15个漏洞赏......
2020-8-5 5:7
到目前为止,希望你已经熟悉了避免网络钓鱼攻击的常用建议:不要下载附件太快,不要输入密码或突然汇款,当然,不要点击链接,除非你确定它们实际上会把你带到哪里。您甚至可以仔细检查每个发件人的电子邮件地址,以确保看起来像[email protected]的邮件不是真正的[email protected]。但是新的......