-
![重磅级蓝牙漏洞 BLUFFS:2014 年以来数十亿台设备均受影响]()
重磅级蓝牙漏洞 BLUFFS:2014 年以来数十亿台设备均受影响
Eurecom 安全专家丹尼尔・安东尼奥利(Daniele Antonioli)解释称,利用这 2 个蓝牙标准中的漏洞,目前已开发了 6 种类型的全新攻击方式,统称为“BLUFFS”,可以破坏蓝牙会话的保密性,可以冒充设备或者执行中间人(MitM)攻击。11月30日 -
![专家发现从 SSH 连接中提取私钥的网络窃听方法]()
专家发现从 SSH 连接中提取私钥的网络窃听方法
加州大学圣地亚哥分校和麻省理工学院的研究人员联合发现,安全外壳协议(SSH)存在一个高危漏洞,攻击者采用网络窃听技术,利用连接建立过程中发生的计算错误,窃取 SSH 服务器中的私有 RSA 主机密钥。11月28日 -
![微软宣布 11 月 Patch Tuesday 共修复 5 个零日漏洞,其中 3 个已遭黑客利用]()
微软宣布 11 月 Patch Tuesday 共修复 5 个零日漏洞,其中 3 个已遭黑客利用
微软宣布,今年 11 月的 Patch Tuesday 总共修复了 60 多个安全漏洞,其中包括 5 个零日漏洞,据称有 3 个已经被黑客利用。据悉,本月的零日漏洞都被分类为“重要”漏洞,其中已被黑客利用的漏洞包括涉及 Windows DWM Core Library 的 CVE-2023-36033、与 Windows Cloud Files Mini Filter Driver 相关的 CVE-2023-36036,以及可绕过 Windows SmartScreen 安全功能的 CVE-2023-36025。11月20日 -
![英特尔发布微码更新以修复高危漏洞,10 代酷睿后续 CPU 几乎均受影响]()
-
![FIRST 发布通用漏洞评分系统 4.0 版本]()
FIRST 发布通用漏洞评分系统 4.0 版本
CVSS(Common Vulnerability Scoring System)是一种用于衡量软件漏洞严重性的标准化方法,它通过多个维度(如攻击复杂度、影响范围等)对漏洞进行评分,从而为企业和组织提供了一个量化的风险评估工具。11月02日 -
![安全公司:超六成白帽对生成式 AI 感兴趣,寻找漏洞的最大动机是为了赚钱]()
安全公司:超六成白帽对生成式 AI 感兴趣,寻找漏洞的最大动机是为了赚钱
安全公司兼漏洞悬赏平台 HackerOne 上周公布了 2023 年的黑客安全报告(Hacker-Powered Security Report),发现有 61% 的白客正在利用生成式 AI 来开发各种黑客工具,以用来发现更多的漏洞。10月30日 -
![卡巴斯基曝光 StripedFly 漏洞,感染至少百万台 Windows 和 Linux 设备]()
卡巴斯基曝光 StripedFly 漏洞,感染至少百万台 Windows 和 Linux 设备
根据卡巴斯基近日公布的安全报告,在过去 5 年时间里,监测一个名为 StripedFly 的复杂跨平台恶意软件平台,期间感染了超过 100 万台 Windows 和 Linux 设备。StripedFly 恶意软件框架是在卡巴斯基发现该平台的 shellcode 注入到 WININIT.EXE 进程(一个处理各种子系统初始化的合法 Windows 操作系统进程)后首次被发现的。10月28日 -
![“幽灵”衍生芯片漏洞 iLeakage 曝光:可窃取用户密码和浏览历史]()
“幽灵”衍生芯片漏洞 iLeakage 曝光:可窃取用户密码和浏览历史
苹果公司发布多次补丁,缓解“幽灵”(Spectre)漏洞,不过根据安全公司最新报告,依然无法完全封堵该漏洞,发现了名为 iLeakage 的衍生漏洞,可以利用推测执行来提取密码和网站数据。10月26日 -
![攻击内存方式 RowPress 曝光:暂无抵御方案,缓解需降低 2% 性能]()
攻击内存方式 RowPress 曝光:暂无抵御方案,缓解需降低 2% 性能
RowPress 攻击比 RowHammer 更具成本效益。激活 RowPress 攻击次数仅为 RowHammer 的十分之一或者百分之一。而且这种类型的攻击更难以检测。为了解决这个问题,研究人员表示,需要专有的电路解决方案,将 DRAM 的平均性能降低至少 2%,甚至在一系列应用中做出规范。10月21日 -
![WinRAR 软件被曝存在严重安全漏洞,用户需尽快更新至最新版本]()
WinRAR 软件被曝存在严重安全漏洞,用户需尽快更新至最新版本
流行的压缩文件管理软件 WinRAR 近日被发现存在一个严重的安全漏洞,该漏洞编号为 CVE-2023-38831。这个漏洞可以让黑客利用恶意文件在用户的电脑上执行任意代码,危害用户的数据和隐私安全。10月19日 -
![6 家 GPU 被曝漏洞,用户名密码被「像素级窃取」,N 卡 A 卡 I 卡高通苹果 ARM 都没躲过]()
6 家 GPU 被曝漏洞,用户名密码被「像素级窃取」,N 卡 A 卡 I 卡高通苹果 ARM 都没躲过
万万没想到,这年头 GPU 还能泄露密码了。主流 6 家公司的产品都中招,从英伟达英特尔 AMD,到高通苹果 ARM,手机电脑都没跑。09月27日 -
![GitLab 发布安全更新修复窃取信息漏洞,敦促用户尽快安装]()
GitLab 发布安全更新修复窃取信息漏洞,敦促用户尽快安装
GitLab 近日发布了安全更新,修复了一个“关键”级别的高危漏洞,,并敦促用户尽快升级。据悉 GitLab 社区版(CE)和企业版(EE),从 13.12 到 16.2.7 此前版本、16.3.4 此前的 16.3 版本均受影响。09月20日 -
![苹果邀请研究人员申请专为查找漏洞而设计的特殊 iPhone 14 Pro]()
苹果邀请研究人员申请专为查找漏洞而设计的特殊 iPhone 14 Pro
苹果公司今天宣布,开始接受 2024 年 iPhone 安全研究设备计划的申请,该计划将向安全研究人员提供专门的苹果设备,以便更容易地发现 iOS 系统的关键漏洞。08月31日 -
![Downfall漏洞补丁影响英特尔CPU性能,微软提供禁用补丁的方法]()
Downfall漏洞补丁影响英特尔CPU性能,微软提供禁用补丁的方法
近日一种名为 Downfall 的新漏洞被发现,影响了英特尔第 12 代 Alder Lake CPU 之前的所有现代 CPU,这种漏洞可以从系统最安全的环境中窃取敏感信息,包括用户内核、进程、虚拟机和可信执行环境。08月29日 -
![报告称微软 Skype 移动应用存在严重漏洞,可轻易泄露用户 IP 地址]()
报告称微软 Skype 移动应用存在严重漏洞,可轻易泄露用户 IP 地址
据 404Media.co 报道,微软的 Skype 移动应用存在一个严重的漏洞,可能导致黑客通过发送一个链接就能检测到用户的 IP 地址。08月29日 -
![英特尔部分锐炫 A770 / A750 显卡存在安全漏洞,去年第四季度售出产品受波及]()
英特尔部分锐炫 A770 / A750 显卡存在安全漏洞,去年第四季度售出产品受波及
英特尔官网近日发布公告,披露了一个代号为INTEL-SA-00812的漏洞,将波及去年10月-12月期间售出的部分锐炬A770/A750显卡,该漏洞存在导致拒绝服务或信息泄露的风险。08月13日 -
![Downfall 漏洞曝光:影响英特尔 Skylake 到 Ice Lake 家族处理器,可窃取敏感数据]()
Downfall 漏洞曝光:影响英特尔 Skylake 到 Ice Lake 家族处理器,可窃取敏感数据
Moghimi 在演示中,可以使用 Gather Data Sampling(GDS)技术,在受控虚拟机(VM)上窃取 AES 128 位和 256 位加密密钥。在执行窃取 100 个密钥的测试中,窃取 AES-128 首次成功率为 100%;窃取 AES-256 首次成功率为 86%。08月09日 -
![受多起数据泄露事件影响,微软被指“不注重网络安全”]()
受多起数据泄露事件影响,微软被指“不注重网络安全”
微软这段时期的安全记录令人遗憾,自在上个月微软旗下 Azure 服务遭到攻击之后,该公司正面临着越来越多的批评。据外媒 CyberSecurityDive 报道,美国参议员 Ron Wyden 上周致信美司法部,要求美司法部追究微软“疏忽网络安全行为”的责任,他同时透露网络安全公司 Tenable 在微软 Azure 服务中还发现了另一个严重网络安全漏洞,然而微软在发现这个漏洞后,拖沓了三个月才进行了部分修复。08月04日 -
![WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响]()
WordPress 第三方“用户登录系统”插件曝零日提权漏洞,20 万网站受影响
Ultimate Member 是 WordPess 博客平台中一款相当受欢迎的“用户登录系统”插件。安全公司 Wordfence 目前曝出该插件存在零日漏洞,黑客可将自己的账号提权为管理员,进而控制接管网站。插件开发者在6月26日发布 Ultimate Member 2.6.3版本进行了该漏洞进行了部分修复,此后在7月1日发布了2.6.7版本,完全修复了该漏洞。07月04日 -
![研究人员曝光 Linux 发行版 Gentoo 存在重大漏洞,黑客可进行 SQL 注入攻击]()
研究人员曝光 Linux 发行版 Gentoo 存在重大漏洞,黑客可进行 SQL 注入攻击
网络安全公司 SonarSource 在日前研究中发现,Gentoo Linux 发行版中存在漏洞 CVE-2023-28424,黑客可以利用该漏洞进行 SQL 注入攻击。该漏洞的 CVSS 风险评分为 9.1,属于特别重大漏洞,GentooLinux 开发团队已经于漏洞曝出 24 小时内进行了修复。07月03日
