首页 > 关键词 > 漏洞最新资讯
漏洞

漏洞

微软的 Paint 3D 应用程序自推出以来并不受消费者的欢迎,而且 ZDI 研究人员还发现这款 3D 建模软件存在远程代码执行漏洞,可能会对你的系统健康产生负面影响。该漏洞是通过搜索发现,需要用户加载一个被破坏的文件。在本月的补丁星期二活动日中已经修复了这个问题。该漏洞编号为 CVE-2021-31946,相关描述如下Microsoft Paint 3D GLB File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability该漏洞允许远程攻击者在...

目前,#漏洞#标签聚合页面仍在完善中,后续将为您提供丰富、全面的关于#漏洞#的最新资讯、#漏洞#图片信息、视频内容,让您第一时间了解到关于#漏洞#的热门信息。小编将持续从百度新闻、搜狗百科、微博热搜、知乎热门问答以及部分合作站点渠道收集和补充完善信息。

与“漏洞”的相关热搜词:

相关“漏洞” 的资讯2299篇

  • Paint 3D曝出远程代码执行漏洞 微软已发补丁修复

    微软的 Paint 3D 应用程序自推出以来并不受消费者的欢迎,而且 ZDI 研究人员还发现这款 3D 建模软件存在远程代码执行漏洞,可能会对你的系统健康产生负面影响。该漏洞是通过搜索发现,需要用户加载一个被破坏的文件。在本月的补丁星期二活动日中已经修复了这个问题。该漏洞编号为 CVE-2021-31946,相关描述如下Microsoft Paint 3D GLB File Parsing Out-Of-Bounds Read Remote Code Execution Vulnerability该漏洞允许远程攻击者在

  • 恶意差评小米新手机被判赔3万元 差评内容漏洞百出

    恶意差评小米新手机被判赔3万元。6月15日下午,江苏省南京市雨花台区人民法院公布了消费者恶意差评小米10至尊纪念版案判决书。法院判定,消费者张某侵犯了小米公司名誉权,要求其在10日内删除所发的恶意评价,并且在《法制日报》刊登道歉声明,赔偿小米公司经济损失等30000元。

  • 深信服向微软提交并协助修复2个漏洞,避免用户内网沦陷

    近日,深信服蓝军安全研究团队向微软提交并协助修复了 2 个SharePoint中的漏洞,两个漏洞分别命名为CVE-2021- 31966 和CVE-2021-31948,这两个漏洞如被攻击者利用,将可能对用户造成巨大损失。目前,微软已经针上述漏洞发布了安全补丁,并公开致谢深信服安全研究员。由于新冠疫情的爆发,远程办公成为常态,许多政企和组织迫切需要一个管理系统来管理和共享工作内容。Microsoft SharePoint是目前被广泛使用的内容管理系统(CMS)之

  • 专家报告三星设备存在多个高危漏洞:可监听用户/完全控制

    通过三星的漏洞悬赏计划,一名安全研究人员向三星报告了多个安全漏洞,而这只是大型漏洞发现中的一小部分。目前三星正努力修复影响其移动设备的多个漏洞,可能已经被黑客用于监听设备或者完全控制系统。自今年年初以来,Oversecured 公司(专门从事移动应用安全)创始人 Sergey Toshin 发现了十多个影响三星设备的漏洞。其中 3 个对用户的影响最为严重,但目前相关的细节还不是很多。Toshin 向 BleepingComputer 透露,在这 3 个漏

  • 黑客利用三星设备预装应用程序漏洞来监视用户

    安全研究人员在三星预装的安卓应用中发现了多个关键的安全漏洞,如果成功利用这些漏洞,可能会让黑客在未经用户同意的情况下访问个人数据,并控制设备。移动安全初创公司Oversecured的创始人Sergey Toshin在周四发表的分析报告中表示,这些漏洞可能允许攻击者访问和编辑受害者的联系人、电话、短信/彩信,以设备管理员的权限安装任意应用程序,或以系统用户身份读写任意文件,并且可能改变设备的设置。Sergey Toshin在2021年2月向?

  • 大众汽车公司称一供应商的安全漏洞暴露了330万名司机的信息

    大众汽车公司称,在其一家供应商在互联网上留下的客户数据缓存没有安全保障,导致超过330万客户的信息被暴露。这家汽车制造商在一封信中说,大众汽车、其子公司奥迪以及美国和加拿大的授权经销商所共同使用的供应商,在2019年8月至2021年5月的两年时间里,没有保护好横跨2014年至2019年的客户数据。大众汽车表示,这些数据是为销售和营销而收集的,其中包含客户和潜在买家的个人信息,包括他们的姓名、收件地址、电子邮件地址以及?

  • 英特尔最新补丁修补了CPU、蓝牙产品中的隐患 安全库中也被发现漏洞

    Threat Post报道,英特尔已经发布了29个安全警告,解决英特尔芯片BIOS的固件、蓝牙产品、主动管理技术工具、NUC迷你PC,以及有讽刺意义的英特尔自家安全库中的关键漏洞。评级较高的警告集中在CPU特权升级固件漏洞上:这对于修补和利用而言都很困难,但影响广泛,因此对聪明的攻击者很有吸引力。英特尔的高级通信主管杰里·布莱恩特(Jerry Bryant)在周三的一篇博文中说,该公司基本上在内部挖掘出了95%的安全问题,其中一些部分来

  • Windows 10发布累积更新:修复一大波儿漏洞

    Windows 10每次推送更新,都会有这样或者那样的问题,现在微软也是针对不少版本推出了更新了。现在,微软发布了适用于 Windows 10 21H1 功能更新的 KB5003637 累积更新,在安装之后版本号升至 19043.1052。该更新现在也适用于 Windows 10 20H1 和 20H2 功能更新 。在本月补丁星期二活动日中,微软也发布了多个累积更新,包括 version 1909 (KB5003635), version 1809 (KB5003646), version 1607 (KB5003638) 和 version 1507 (KB50

  • Check Point在 Microsoft Office 中发现了四个安全漏洞

    Check Point Research (CPR) 发现了四个影响 Microsoft Office 套件产品(包括 Excel 和 Office Online)的安全漏洞,Windows 用户应尽快更新软件。这些漏洞源于遗留代码,支持攻击者通过 Word、Excel 和 Outlook 等恶意 Office 文档在攻击目标上执行代码。 Check Point Research (CPR) 近日发现了四个影响 Microsoft Office 套件产品(包括 Excel 和 Office Online)的安全漏洞。攻击者可利用这些漏洞,通过 Word (.DOCX)、Excel

  • [图]Windows 10迎来六月累积更新:修复49个漏洞

    在本月的补丁星期二活动日中,微软面向多个尚处于支持状态的功能更新发布了累积更新。面向 Beta 和 Release Preview 频道用户,微软发布了适用于 Windows 10 21H1 功能更新的 KB5003637 累积更新,在安装之后版本号升至 19043.1052。该更新现在也适用于 Windows 10 20H1 和 20H2 功能更新 。在本月补丁星期二活动日中,微软也发布了多个累积更新,包括 version 1909 (KB5003635), version 1809 (KB5003646), version 1607 (KB50036

  • CISA推平台以让黑客向美国联邦机构报告安全漏洞

    据外媒Techcrunch报道,美国网络安全和基础设施安全局(CISA)启动了一项漏洞披露计划,其允许有道德的黑客向联邦机构报告安全漏洞。据悉,该平台在网络安全公司Bugcrowd和Endyna的帮助下推出,它将允许民间联邦机构接收、分类和修复来自更广泛的安全社区的安全漏洞。CISA在推出该平台不到一年前曾指示其监管的民用联邦机构制定并发布自己的漏洞披露政策。这些政策旨在通过概述哪些以及如何在线系统可以测试、哪些不能测试为安全研究

  • GitHub新规:可托管用于安全研究的漏洞和恶意程序代码

    1 个月前,GitHub 开始和社区讨论对安全研究、恶意软件和漏洞相关政策的调整,目的是启用、欢迎和鼓励 GitHub 上双重用途安全研究和合作。这个讨论得到了安全研究社区、项目维护者和开发者的广泛支持,他们通过 pull request(PR)分享了反馈意见,并针对这个主题进行了深入的探讨。

  • 奇安信发布《2021中国软件供应链安全分析报告》:超8成项目存在高危开源漏洞

    【TechWeb】“检测发现,国内企业软件项目100%使用了开源软件;超8成软件项目存在已知高危开源软件漏洞;平均每个软件项目存在66个已知开源软件漏洞。”6月2日,奇安信集团在京正式发布《2021中国软件供应链安全分析报告》(下文简称报告),首次对国内软件供应链各个环节的安全风险,进行了深入细致的研究和解读。报告认为,随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息

  • PDF发现高危安全漏洞 黑客可篡改你已签名的合同/文件

    在今年的信息安全顶级峰会 SP 上,来自德国波鸿鲁尔大学(RUB)的研究团队介绍了存在于 PDF 格式中的安全缺陷。虽然该漏洞已经被大多数 PDF 阅读器修复,但是该漏洞的破坏力依然非常强大的。在研究过程中,研究人员找到了一种方法,可以改变 PDF 的签名过程,也可以对变化进行注释。正如他们在博客上所解释的,“我们对PDF认证的安全性进行了广泛的分析。在此过程中,我们开发了邪恶的注释攻击(EAA),以及狡猾的签名攻击(SSA)?

  • 西门子PLC系统再曝严重漏洞 攻击者可绕过保护并执行远程代码

    上周五,西门子发布了一个更新,以修复近日曝出的又一个可编程逻辑控制器(PLC)的严重漏洞。受影响的 PLC 型号包括了 SIMATIC S7-1200 和 S7-1500,两者都可能被恶意行为者用来远程访问受保护的内存区域,以实现不受限制和难以被发现的代码执行。(来自:Claroty)通过对用于在微处理器中执行 PLC 指令的 MC7 / MC7+ 字节码语言进行逆向工程,Claroty 证实了西门子 PLC 中存在的这个内存保护绕过漏洞(CVE-2020-15782)。该漏洞的

  • 开发者发现苹果自研M1有巨大漏洞:不改设计无法修复

    对于苹果自研的M1处理器,现在有开发者发现,其有巨大的漏洞,严重到如果苹果不修改设计就无法修复的地步。据国外媒体报道,开发人员赫克托马丁(Hector Martin)发现,苹果自研的M1芯片存在一个安全性漏洞,该漏洞允许任何两个在操作系统下运行的应用程序秘密交换数据,而无需使用内存、插槽、文件或任何其他正常的操作系统功能,这违反了操作系统的安全原则。马丁将这一漏洞称为M1RACLES。他表示,该漏洞主要是无害的,因为它不?

  • 开发者发现苹果自研M1芯片存在安全性漏洞 不改设计无法修复

    据国外媒体报道,开发人员赫克托·马丁(Hector Martin)发现,苹果自研的M1芯片存在一个安全性漏洞,该漏洞允许任何两个在操作系统下运行的应用程序秘密交换数据,而无需使用内存、插槽、文件或任何其他正常的操作系统功能,这违反了操作系统的安全原则。

  • Thunderbird邮件客户端迎来78.10.2更新:堵上伪造发件人漏洞

    过去几个月,Mozilla 旗下安全电子邮件客户端“雷鸟”(Thunderbird)被曝用纯文本格式保存了一些用户的 OpenPGP 密钥。该漏洞的追踪代号为 CVE-2021-29956,影响从 78.8.1 ~ 78.10.1 之间的软件版本。虽然严重等级较低,但开发者还是努力在新版中实施了修复,同时为 Thunderbird 所使用的加密密钥添加了额外的保护。几周前,Mozilla E2EE 邮件列表中的用户发现,他们可在无需输入主密码的情况下,直接查看受 OpenPGP 加密保护的电

  • 修补太慢:WebKit中的AudioWorklet漏洞仍影响iOS与macOS设备

    尽管修复程序已发布数周,但苹果尚未完成对 iOS 和 macOS 中存在的 WebKit 漏洞的修补。Apple Insider 指出,该漏洞由网络安全初创公司 Theori 研究人员首先发现,问题主要与 WebKit 中的 AudioWorklets 实现有关。除了可能引发 Safari 浏览器的崩溃,Theori 也警告它是一个可被利用的类型混淆漏洞。AudioWorklet 接口允许开发者控制、渲染和输出音频,但也为攻击者利用此漏洞在设备上执行恶意代码而敞开了大门。不过恶意攻击者仍?

  • 苹果M1芯片被爆新漏洞 但普通用户完全不需要担心

    近日,安全专家在 M1 芯片中发现了名为“M1RACLES”漏洞,是存在芯片组设计中的一个错误。该错误允许任意两款应用程序绕过常规系统功能秘密交换数据,如果不对芯片进行修复,这个漏洞是无法修复的。不过发现这个漏洞的人--逆向工程师和开发人员 Hector Martin 表示,Mac 用户并不需要担心这个漏洞,因为它基本上无法用于任何恶意的行为。Martin 甚至写了个非常长的 FAQ ,调侃“过度操作”的漏洞披露。该漏洞不能用于接管计算机或?

  • 蓝牙两大规范被爆安全漏洞 可被黑客利用进行中间人攻击

    蓝牙核心规范(Bluetooth Core)和蓝牙网状网络连接技术(Mesh Profile)规范近日被爆安全漏洞,可被网络犯罪分子利用进行中间人(man-in-the-middle)攻击。根据卡内基梅隆大学 CERT 协调中心的报告,“支持Bluetooth Core 和 Mesh 规范的设备存在漏洞,容易受到冒名攻击和AuthValue泄露,这可能使攻击者在配对期间冒充合法设备”。这两个蓝牙规范确保了多对多蓝牙通信的协议,并使设备之间通过临时网络共享数据。蓝牙冒充攻击(Blu

  • 比特币崩溃,或将为投资者带来税收漏洞?

    近日,比特币和以太坊等流行加密货币在过去一个月的波动交易中贬值了一半以上,不少加密货币投资者已受到价格暴跌的打击。但有分析人士表示,这种抛售也有一线希望:它打开了省钱税收策略的大门。

  • 安全研究人员发现恶意软件利用一个从未见过的macOS漏洞发动攻击

    上个月,安全研究人员透露,一个臭名昭著的恶意软件家族利用了一个从未见过的macOS漏洞。该漏洞让这些恶意软件绕过macOS安全防御系统,所以它们的运行不受阻碍。有迹象表明,macOS在未来可能再次成为目标。安全公司Jamf声称,它已经发现了一个漏洞存在据,该漏洞允许XCSSET恶意软件在未经同意的情况下访问macOS中需要权限的部分,比如麦克风、摄像头或录制屏幕。XCSSET是趋势科技在2020年首次发现的恶意软件,目标是苹果开发者,特

  • 苹果修复macOS 11.4零日漏洞:可被攻击者秘密截屏或录制视频

    Apple Insider 报道称,苹果刚刚为 macOS Big Sur 11.4 修复了一个零日漏洞。早前的概念验证表明,攻击者可通过劫持现有应用程序的权限,来秘密截取屏幕画面或录制视频。率先曝光此事的 Jamf 安全研究人员称:为控制应用程序能够访问哪些系统功能,苹果特地在 macOS 中实施了“透明许可与控制”框架,但该零日漏洞还是为此类攻击敞开了大门。更糟糕的是,Jamf 指出,该漏洞似乎已在野外被积极利用。他们在研究名为 XCSSET 的 Mac ?

  • 有证据表明高通驱动中的4个漏洞已经被黑客利用 数百万台设备受影响

    有证据标明存在于高通和 Mali GPU 内核驱动中的漏洞已经被黑客利用,至少有数百万台 Android 设备受到影响。到目前为止,Google Pixel 设备是唯一得到修补的设备,但其他 Android 设备延迟更新的长期问题仍然存在。本月早些时候,安全公司 Check Point 发现,为数亿台 Android 设备提供动力的高通芯片存在一个关键的安全漏洞。在本周更新的 5 月 Android 安全公告中,表示 5 月 1 日披露的漏洞中有 4 个已经被黑客利用发起攻击。在

  • Windows 10曝HTTP协议漏洞 可导致蓝屏 本月补丁已修复

    安全研究专家 Axel Souchet 今天发布个人推文,在 GitHub 的分享链接中展示了 CVE-2021-31166漏洞的概念证明。幸运的是,在今年5月补丁星期二活动日发布的 KB5003173补丁已经修复了这个 CVE 漏洞。虽然该漏洞本身缺乏自动传播的能力,但是恶意行为者可以开发和它类似的代码来执行远程代码。执行 Souchet 的示范代码会触发蓝屏死机。推文中写道:“我为 CVE-2021-31166‘HTTP协议栈远程代码执行漏洞’建立了一个 PoC”。Souchet 进一

  • 会议预告:研究人员将披露两个影响AMD处理器的SEV漏洞

    与竞争对手 Intel 相比,AMD 处理器在安全性方面表现得相对出色。但在偶尔的情况下,研究人员还是会发现一些容易被利用的新攻击。TechPowerUp 指出,在即将于 5 月 27 日举办的第 15 届 IEEE WOOT21 技术研讨会上,将有两篇专门针对 AMD 安全加密虚拟化(SEV)漏洞的新文章等待发表。来自德国慕尼黑工业大学和吕贝克大学的研究人员,将分别披露有关 CVE-2020-12967 和 CVE-2021-26311 安全漏洞的论文。虽然尚不清楚 AMD SEV 新漏洞

  • 研究人员揭示存在54年的通用图灵机零日漏洞 可用于执行任意代码

    瑞典斯德哥尔摩 KTH 皇家理工学院的计算机科学教授 Pontus Johnson,刚刚在一篇学术文章中介绍了他在通用图灵机(UTM)中发现的可执行任意代码的相关漏洞。作为历史上最早的计算机设计之一,通用图灵机(UTM)是由已故的人工智能学家 Marvin Minsky 在 1967 年提出的一项概念模拟设计。尽管他承认这么做没有“现实意义”,但此事还是引发了业内人士的广泛讨论。(来自:Marvin L. Minsky | PDF)The Register 指出,这其实是一个相

  • Venmo被发现存在重大隐私漏洞 能追踪到美国总统拜登的账户

    据外媒报道,Venmo有一个多年来众所周知的重大隐私漏洞:没有办法让用户的Venmo联系人名单保持隐私。这意味着用户可以看到该平台上任何用户的联系人名单,BuzzFeed News报道称在不到10分钟的时间里就能追踪到美国总统乔·拜登的Venmo账户。不过,BuzzFeed News不仅找到了拜登的账户;该网站还发现了拜登核心圈子中许多人的账户,而且由于这一漏洞的性质,还发现了他们所有的联系人。BuzzFeed News找到了近十名拜登家族成员,并绘制

  • Colonial Pipeline攻击事件初步调查结果:未及时修复Exchange漏洞

    援引《纽约时报》记者 Nicole Perlroth 报道,成品油管道公司 Colonial Pipeline 的初期调查结果标明,该公司 IT 基础设施内“最可能的罪魁祸首”就是尚未修复的微软 Exchange 服务。虽然还有其他几个问题,但是研究人员将其描述为“缺乏网络安全的复杂性”。Nicole Perlroth 在推文中指出,关于 Colonial Pipeline 的取证发现,他们仍在使用存在漏洞的微软 Exchange 版本,以及其他明显的缺陷。网络安全和基础设施安全局警告管道?

热文

  • 3 天
  • 7天