-
威联通 QTS 和 QuTS hero 存在严重漏洞,至少 29000 台设备受到影响
2 月 1 日消息,NAS 厂商威联通(QNAP)近日发布安全公告,表示 QTS 5.0.1 和 QuTS hero h5.0.1 两款软件存在严重漏洞 CVE-2022-27596,允许攻击者在固件中植入恶意代码。 该漏洞在 CVSS v3 评分为 9.8(最高分为 10 分),因此IT之家推荐使用上述两款软件的网友尽快升级。 QNAP 尚未透露有关该漏洞的任何进一步细节。根据 Bleeping…- 129
- 0
-
2022年有哪些最常被利用的漏洞?
黑客攻击变得一年比一年高级和复杂,因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。 1. Follina(CVE- 2022 – 30190) CVE-2022-30190(非正式名称为“Follina”)在2022年5月被披露,它是微软Windows支持诊断工具(MSDT)中的一个远程代码执行漏洞,允许远程攻击者在目标系统上执行任意s…- 127
- 0
-
安全专家发现汽车漏洞:可远程解锁车门、按喇叭、启动引擎
1月8日消息,据报道,有安全专家近日发现了影响数百万辆汽车的安全漏洞,全球几乎所有主要汽车品牌均受影响。 黑客可以利用汽车远程信息处理系统、汽车API和支持性基础设施中的漏洞进行各种操作,甚至可以远程完全接管你的汽车。 诸如奔驰、宝马、劳斯莱斯、法拉利、福特、保时捷、丰田、捷豹和路虎等汽车品牌,还有车队管理公司Spireon和数字车牌公司Reviver均受到影响。 报道称,Yuga实验室的Sam …- 78
- 0
-
美国安全专家发现 Google Home 严重漏洞获得谷歌 107500 美元赏金
12 月 30 日消息,安全研究专家马特・昆茨(Matt Kunze)去年向谷歌报告了 Google Home 的严重漏洞,近期获得了谷歌 107500 美元(约 74.9 万元人民币)的高额赏金。 据了解到,在 Google Home 智能音响设备上发现了一个漏洞,攻击者可以利用该漏洞安装后门账户,用于远程控制并可激活麦克风用于监听用户对话。昆茨在本周早些时候披露了该漏洞的所有技术细…- 45
- 0
-
赶紧升级!WordPress YITH WooCommerce 礼品卡插件被爆严重漏洞
12 月 24 日消息,黑客正在积极利用 WordPress 插件 YITH WooCommerce Gift Cards Premium 中的“关键”漏洞,提取站点权限并可上传恶意软件。 YITH WooCommerce Gift Cards Premium 是一款非常热门的 WordPress 插件,目前全球有超过 5 万家网站使用。本次漏洞追踪编号为 CVE-2022-45359 (CVSS…- 62
- 0
-
Chrome浏览器现高危漏洞
近日,谷歌官方发布了Chrome浏览器的风险通告,公布了新的高危漏洞,该漏洞编号为CVE-2022-3075,漏洞评分7.4,且已经被发现存在利用情况。 和此前的高危漏洞情况类似,为了避免影响范围进一步扩大,谷歌暂未公布该漏洞的剧情信息,仅表示该漏洞与Chromium构架运行库集合Mojo的数据验证不足”有关。 据悉,Mojo是运行时库的集合,提供了与平台无关的通用IPC原语抽象、消息IDL格式和…- 105
- 0
-
Apache CouchDB 远程代码执行漏洞风险通告(CVE-2022-24706)
Apache CouchDB 官方发布安全通告,公告中修复了一个远程代码执行漏洞,漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。为避免您的业务受影响,腾讯云安全建议您及时开展安全自查,如在受影响范围,请您及时进行更新修复,避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库,它类似于Redis,Cassandra和MongoDB,也是一个NoSQL数据库。…- 591
- 0
-
Apache Log4j发布新版2.15.0 解决严重漏洞,为向后兼容,没移除旧功能导致
12 月 12 日消息,近期一个 Apache Log4j 远程代码执行漏洞细节被公开,攻击者利用漏洞可以远程执行代码。 目前 Apache Log4j 2.15.0 正式版已发布,安全漏洞 CVE-2021-44228 已得到解决。 根据 Apache 软件基金会 Logging Services 的 PMC 成员 Volkan Yazıcı 的说法,本次的漏洞来自于一个旧功能,但为了保持向后兼…- 192
- 0
-
工信部网络安全威胁和漏洞信息共享平台上线啦!
2021年9月1日,工信部宣布,为落实《网络产品安全漏洞管理规定》有关要求,工信部网络安全管理局组织建设的工信部网络安全威胁和漏洞信息共享平台正式上线运行。 根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网App产品安全漏洞专业库、…- 343
- 0
-
ChaosDB漏洞:泄露了成千上万的微软Azure数据库
作者:Nir Ohfeld和Sagi Tzadik是安全公司Wiz的两位安全研究人员。 如今我们在网上所做的几乎一切都通过云端的应用程序和数据库来进行。虽然存储桶泄漏备受关注,但对于大多数公司来说数据库泄露才是更大的风险,因为每个数据库可能含有数百万甚至数十亿条敏感记录。每个首席信息安全官(CISO)的噩梦是,有人一举获得了访问密钥,并往外泄露数千GB的数据。因此,当我们能够完全不受限制地访问数千…- 204
- 0
-
漏洞悬赏计划成立10周年 谷歌推新漏洞悬赏网站
Google今天推出了全新网站:bughunters.google.com。在新网站上统一了所有的 Vulnerability Rewards Program(VRP),其中包括适用于 Android、Google、Chrome、Google Play 和 Abuse 等,让安全专家更容易地提交漏洞报告。该平台的推出是为了庆祝 VRP 推出 10 周年,尽管庆祝活动似乎有点晚。 在新网站上的其他改…- 182
- 0
-
Windows、Linux 纷纷被爆漏洞,黑客可直取 root 权限!
无论是开源还是闭源,没有绝对安全的操作系统。 一夕间,多款操作系统被爆存在安全漏洞,其中包括开发者最为常用的 Windows 和 Linux 操作系统也未能幸免。有研究人员发现,通过漏洞,黑客或恶意软件可绕过 Windows 和 Linux 系统的安全限制,并获得管理员级别的权限,造成设备内部的敏感/隐私资源泄露。 Windows 被“攻破” ? 事情要从 7月20日一位名为 Jonas Lykk…- 279
- 0
-
工信部:任何组织或个人不得利用漏洞从事危害网络安全的活动
7月13日 消息:今日,工业和信息化部、国家互联网信息办公室、公安部联合印发网络产品安全漏洞管理规定的通知,自2021年9月1日起施行。 通知规定,任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。网络产品提供者、网络运营者和网络产品安全…- 240
- 0
-
数百万PC电脑受影响 戴尔固件驱动现重大漏洞
戴尔固件更新驱动中发现了重大漏洞,能够让攻击者配合其他漏洞来访问内核级别的代码。虽然这些漏洞本身并不存在允许远程代码执行的风险,但它仍然是一个重大问题,最近 10 年内推出的数百万台戴尔设备均受到影响。 去年 12 月,研究公司 SentinelLabs 就向戴尔报告了这个漏洞,并发布了包含所有信息的详细博客。此外,来自 Crowdstike 的 Alex Ionescu 说,“3 家独立的公司花…- 385
- 0
-
Win10出现严重漏洞导致蓝屏 360、火绒均已上线漏洞补丁
1月21日 消息:近日,win10系统出现严重蓝屏漏洞,该漏洞将导致电脑系统崩溃并显示蓝屏波及全球数亿用户。 据了解,本次漏洞蓝屏主要出现在Windows101709及以上系统。 当用户使用Chrome浏览器访问路径:\\.\globalroot\device\condrv\kernelconnect时,系统会立即崩溃并显示蓝屏。此外,安全人员发现,通过其他方式访问该路径,也会触发Win10系统B…- 580
- 0
-
谷歌披露 GitHub 高危漏洞
据研究人员声称,该漏洞使GitHub Action的工作流命令很容易受到注入攻击。谷歌Project Zero的研究人员已在GitHub中发现了一个高危漏洞;他们表示,该漏洞让攻击者可以在受影响的系统上远程执行代码。该漏洞是Project Zero的Felix Wilhelm在7月份发现的。研究团队随后向GitHub告知了其平台中的这个漏洞,并给予GitHub 90天的期限(截至10月18日)以解…- 305
- 0
-
手机一丢,倾家荡产!运营商手机挂失竟然还有漏洞!
你可知道: 已经挂失的手机号码,还可以通过运营商客服电话轻松解除挂失吗?本以为设置了SIM卡密码就高枕无忧了,没想到被窃贼轻松攻破?短信验证码功能,可以开启你多少app的大门吗?凭你遗失的手机卡,就可以让你负债累累吗?这绝不是危言耸听!近期,一篇文章《一部手机失窃引发的惊心动魄的战争》在朋友圈热传,让不少网友惊醒:过去丢手机,可能损失的只是一部手机的钱;如今丢了手机,可能搭上“全部身家”甚至因此背…- 1k
- 0
-
白帽黑客靠揪出了 55 个漏洞 获得苹果 288000 美元的赏金
这家公司已给漏洞打上了补丁,并向白帽黑客团队支付了288000美元的赏金。 一名安全研究人员周四表示,数月来,苹果的公司网络一直面临被黑客攻击的危险:黑客有可能从多达数百万的客户那里窃取敏感数据,并在他们的手机和电脑上执行恶意代码。20岁的研究人员Sam Curry专门研究网站安全,表示他及其团队已共发现了55个漏洞。他觉得其中11个是危急漏洞,因为这些漏洞使他可以控制苹果的核心基础架构,进而窃取…- 560
- 0
-
美国土安全部发布紧急警告:Windows Server 2008 R2服务器存在“严重”漏洞
9月21日 消息:据外媒报道,美国国土安全部网络安全与基础设施安全局(CISA)发布了一项罕见的紧急指令,敦促政府机构为Windows服务器的一个“关键”漏洞安装补丁,该漏洞被安全机构称为Zerologon。 据称,Netlogon远程协议的漏洞允许获取网络访问权的攻击者无需登录就能“完全破坏”网络上的活动目录服务。 CISA表示,该漏洞会影响运行Windows Server 2008 R2 及更…- 694
- 0
-
漏洞赏金平台HackerOne全球白帽黑客支付1亿美元赏金
漏洞奖励平台HackerOne日前宣布,截至 2020 年 5 月 26 日,已经向全世界的白帽黑客支付了 1 亿美元的奖励。 该平台CEOMårten Mickos表示,自从HackerOne开始向客户提供漏洞报告以来, 漏洞赏金猎人已经发现了大约 17 万个安全漏洞。其中,超过 70 万名白帽黑客已经为超过 1900 名HackerOne客户的产品提交安全漏洞获得报酬。 数据显示,Hacker…- 549
- 0
-
2019 年开源软件漏洞增长近 50%,C 语言漏洞最多 PHP排第二
WhiteSource 通过对 650 多个开发人员进行了调查,并从 NVD(Nartional Vulnerability Database)、安全公告、经过同行评审的漏洞数据库、问题跟踪程序等渠道收集了数据之后,整理发布了一份研究报告。该报告显示,2019 年公开的开源软件漏洞数已激增至 6000 多个,同比增长了近 50%。 值得庆幸的是,其中有 85% 的漏洞已被披露,并提供了相应的修复程…- 502
- 0
-
Windows全新高危漏洞 Windows 10全部中招
3月24日 消息:前阵子微软披露了一个高危漏洞“永恒之黑”(CVE-2020-0796),攻击者利用该漏洞无须权限即可实现远程代码执行,一旦被成功利用,或波及全球 10 万服务器。 而昨日,微软又披露了一个全新的Windows系统高危漏洞。报道称,该漏洞影响所有受支持的Win10 版本,并且目前被黑客通过“有限的针对性攻击”加以利用。 据介绍,该漏洞涉及Win10 字体有关的Adobe Type …- 530
- 0
-
分析称:过去十年,Windows 10漏洞少于Linux、Mac OS X和Android
3月9日 消息:对美国国家标准与技术研究所(National Institute of Standards and Technology)国家漏洞数据库的分析显示,如果漏洞的数量有任何可利用性的迹象,那么Windows10 似乎比Android、Mac OS或Linux安全得多。 在过去的十年中,Debian Linux有 3067 个技术漏洞,他们将这些漏洞定义为“一种特征或配置,攻击者可以利用…- 696
- 0
-
¥优惠劵使用时效:无法使用使用时效:
之前
使用时效:永久有效优惠劵ID:×