科技
AWS修复 Airflow 服务中严重的 “FlowFixation” 漏洞
(DAGS)。在某些条件下,这些操作可导致MWAA的基础、横向移动到其它服务的实例上实现RCE。”该漏洞的根因在于AWS
代码卫士
其他
Telegram 和 AWS等电商平台用户遭供应链攻击
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
其他
在线阅读版:《2023中国软件供应链安全分析报告》全文
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
其他
奇安信发布《2023中国软件供应链安全分析报告》开源软件供应链的系统化安全治理需加速落地
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
其他
Google Cloud Build 漏洞可使黑客发动供应链攻击
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
其他
OWASP发布五维软件安全开发成熟度参考框架,提升软件供应链安全
应用的安全成熟度来提升软件供应链安全。尽管最终是一个勾选题,但买家对书面证明的坚持可能是有效的解决方案——由于该流程仅花费数小时,因此采购首席信息安全官可旁听厂商对
其他
给CISO的软件供应链债务偿还指南
未完成清单中都塞满了安全任务,如部署安全补丁和运行最新版本、最稳定的编程语言版本以及框架等。做正确的事情需要花费时间,而由于团队优先推出新功能,希望推迟这些安全任务。首席信息安全官
其他
OT:Icefall:Wago 控制器中存在多个漏洞
是一个不充分的会话过期漏洞。认证攻击者可利用这两个漏洞,分别通过畸形数据包或登出后特定请求使设备崩溃。在这两种情况下,将设备返回到运行状态要求手动重启。Wago
2023年6月21日
其他
谷歌警示自家员工:别使用Bard 生成的代码
Bard,称其是创意跳板,而谷歌的警示延伸至代码建议。谷歌向路透社表示,已经与爱尔兰数据保护委员会进行了细致交流,并正在解决监管机构的质询。本周二,Politico
2023年6月20日
其他
华硕紧急修复多个严重的路由器漏洞
恶意软件攻击多款华硕路由器模型以获得持久性并将其用于远程访问受陷网络。就在一个月前,2022年2月,美国和英国网络安全机构发布安全公告称,Cyclops
2023年6月20日
其他
黑客威胁公开 Reddit 被盗数据
Reddit,要求支付450万美元以删除数据但并未收到任何回应。该勒索团伙威胁称,“我在第一份邮件中告知他们我将等待他们IPO时行动,不过现在似乎是个完美机会!我们很肯定
2023年6月19日
其他
西部数据更新固件版本,修复4个漏洞
攻击(中危)。CVE-2022-36328:路径遍历漏洞,可导致认证攻击者在任意目录创建任意共享并提取敏感数据、密码、用户和设备配置(中危)。CVE-2022-29840:服务器端请求伪造
2023年6月19日
其他
新型供应链攻击利用被弃的 S3 存储桶分发恶意二进制
表示,“子域名接管的新变化为开发人员和组织机构提了个醒。被遗弃的主管存储桶或过时的子域名不仅仅是被遗忘的部件;如落入不法之徒的手中,它们将成为数据盗取和入侵的有力武器。”近一周前,Cyble
2023年6月16日
其他
微软 Azure Bastion 和 Container Registry 中存在两个严重漏洞
Fabric集群遭劫持原文链接https://thehackernews.com/2023/06/severe-vulnerabilities-reported-in.html题图:Pexels
2023年6月15日
其他
速修复MOVEit Transfer 中的这个新0day!
0day原文链接https://thehackernews.com/2023/06/new-critical-moveit-transfer-sql.html题图:Pexels
2023年6月12日
其他
本田电商平台有漏洞,客户和交易商数据被泄露
服务提供支持,该服务供交易商创建可以售卖本田产品的网站。交易商需要创建一个账户,之后可得到需要创建网站所需的所有工具,接着进行推销并处理产品订单。研究员在该平台的管理员仪表盘中发现了一个密码重置
2023年6月9日
其他
OWASP 发布2023年十大 API 安全风险清单
版本和被暴露的调试端点而言也很重要。API10:不安全的API耗尽开发人员偏向于信任从第三方API收到的数据而非用户输入,因此倾向于采用更薄弱的安全标准。为了攻陷
2023年6月8日
其他
Splunk 企业版修复多个高危漏洞
解析器使用机器上所有可用的内存,从而导致守护进程崩溃或处理终止。另外一个高危漏洞是HTTP响应拆分漏洞CVE-2023-32708,可导致低权限用户访问系统上的其它
2023年6月5日
其他
MOVEit 文件传输软件0day被用于窃取数据
版本中。该产品的云版本似乎也受影响。该公司的安全公告虽然并未清楚说明该漏洞是否已遭在野利用,但告知客户称打补丁极其重要,并且提供了与相关攻击有关联的妥协指标
2023年6月5日
其他
恶意 PyPI 包通过编译后的 Python 代码绕过检测
供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
2023年6月2日
其他
WordPress 紧急修复影响数百万网站 Jetpack 插件中的严重漏洞
Struts原文链接https://thehackernews.com/2023/06/urgent-wordpress-update-fixes-critical.html题图:Pixabay
2023年6月2日
其他
谷歌为 Chrome 沙箱逃逸利用链提供三倍赏金
提交完整链利用的猎洞人员将获得两倍赏金。提交完整链利用,参与者可获得最高18万美元的赏金,还可能获得其它叠加赏金,而在此期间内非第一个提交完整链利用的参与人员最高可获得12万美元的赏金。Chrome
2023年6月2日
其他
技嘉固件组件可被滥用为后门,影响700万台设备,易触发供应链攻击
(也可是局域网设备)的URL。其中两种文件下载方式问题重重。未加密的HTTP连接易受中间人攻击。位于同样网络或控制网络上路由器的攻击者可将系统定向一台受控制的服务器,而应用程序无法了解它是否与真实的
2023年6月1日
其他
黑客早在2022年10月就利用0day 攻击 Barracuda ESG 设备
设备,并部署三种恶意软件和数据提取能力。该公司并未说明受影响组织机构的数量,但证实称,“CVE-2023-2868遭利用的最早证据可追溯至2022年10月。”0day
2023年5月31日
其他
微软发现绕过苹果 SIP 根限制的 macOS 漏洞
安全检查访问受害者的私密数据。该漏洞的编号是CVE-2023-32369,由微软安全研究团队发现并报告给苹果公司。苹果已在5月18日发布的
2023年5月31日
其他
PyPI 强制所有软件发布者启用双因素认证机制
指出,“你能够做的最重要的事情是尽快启用账户的双因素认证机制,或者通过安全设备(推荐)或认证应用,并通过可信发布者(推荐)或API令牌上传至
2023年5月30日
其他
利用5个0day的安卓恶意软件 Predator 内部工作原理曝光
利用五个漏洞CVE-2021-37973、CVE-2021-37976、CVE-2021-38000、CVE-2021-38003和CVE-2021-1048控制目标设备,其中前四个漏洞影响
2023年5月29日
其他
特斯拉100GB内部资料遭员工泄漏,内含Autopilot 和 FSD 安全投诉
GITLIN编译:代码卫士特斯拉员工将100GB特斯拉内部文件和文档泄密给德国商报。这些文件中包括超过10万名在职和离职员工的个人信息以及数千份关于自动辅助系统
2023年5月29日
其他
合勤科技防火墙和VPN设备中存在多个严重漏洞
2中修复)合勤科技公司建议受影响用户尽快应用最新的安全更新,消除漏洞利用影响。运行以上易受攻击版本的设备用于中小企业,保护网络安全并使远程或在家办公用户使用安全的网络访问
2023年5月26日
其他
使用广泛的开源框架 Expo中存在多个 OAuth 漏洞,导致账户遭接管
公司解释称,“该漏洞本可导致潜在攻击者诱骗用户访问恶意链接、登录至第三方认证提供商并暴露其第三方认证凭据。这是因为用于存储应用回调
2023年5月25日
其他
Barracuda 邮件网关遭 0day 漏洞利用攻击
用户接口收到我们的通知,那我们没有理由认为他们的环境目前受到影响,客户也无需采取措施。”该公司发言人并未就受影响客户的数量以及ESG设备被攻陷后客户数据是否受影响等置评。Barracuda
2023年5月25日
其他
Mikrotik 终于修复 Pwn2Own 大赛上的 RouterOS 漏洞
广告守护进程中,是因为对用户所提供数据缺乏验证导致的,从而导致写越过所分配缓冲区的末尾。攻击者可利用该漏洞在
2023年5月24日
其他
谷歌推出安卓应用奖励计划,最高赏金3万美元
Fuchsia。自2010年推出首个VRP以来,谷歌已向数千名安全研究员所报告的超过1.5万个漏洞颁发超过5000万美元的赏金。2020年,谷歌共颁发1200万美元的赏金,其中由
2023年5月23日
其他
因恶意用户和恶意包过多,PyPI 暂停新用户注册和项目创建
木马包假冒流行库发动攻击451个PyPI包被指安装Chrome扩展窃取密币三个PyPI恶意包通过木马发动供应链攻击恶意PyPI
2023年5月22日
其他
苹果修复3个已遭利用的新 0day
浏览器引擎中,编号为CVE-2023-32409、CVE-2023-28204和CVE-2023-32373。CVE-2023-32409是一个沙箱逃逸漏洞,可导致远程攻击者攻破
2023年5月19日
其他
思科提醒:多款交换机存在多个RCE漏洞且利用代码已公开
利用代码已存在”,可导致攻击者攻击暴露到远程访问的易受攻击设备。不过,幸运的是,思科尚未发现漏洞遭利用的迹象。思科还在着手修复位于
2023年5月18日
其他
0day 可导致设备遭远程攻陷 贝尔金不打算修复
新缺陷影响几乎所有英特尔处理器原文链接https://www.theregister.com/2023/05/15/intel_mystery_microcode/题图:Pexels
2023年5月17日
其他
MSI UEFI 签名密钥遭泄漏 恐引发“灾难性”供应链攻击
主板可能集成到了其它厂商的产品中。因此,滥用被泄密钥可能也发生在这些系统上。查看‘可能的解决方案’,获取更多受影响系统的详细信息。”目前,使用受影响硬件的用户(目前来看仅限于
2023年5月16日
其他
CISA提醒:严重的 Ruckus 漏洞被用于感染 WiFi 接入点
tcp-socket、tcp-cnc、tcp-handshake、udp-plain、udp-game、udp-ovh、udp-raw、udp-vse、udp-dstat、udp-bypass
2023年5月15日
其他
白宫联合 AI 技术巨头在DEF CON 大会举行 AI 黑客大赛
语言模型进行测试的提案。该法案是旨在限制算法偏见影响的一系列原则,赋予用户控制其数据并确保自动化系统得以安全透明地使用。目前已有用户尝试诱骗聊天机器人并强调其存在的缺陷。某些是获得企业授权,对
2023年5月12日
其他
OilRig APT 组织或在中东地区发动更多 IT 供应链攻击
组织另辟思路。”研究员建议政府和企业采取如下措施,以免遭受第三方供应链攻击:投资并构建全面的、一体化网络安全措施,保护组织机构边界以外的数据和资产安全。利用威胁情报是关键所在。使用威胁情报服务能够使
2023年5月9日
其他
WordPress 热门插件中存在漏洞,200多万网站受影响
exploit原文链接https://thehackernews.com/2023/05/new-vulnerability-in-popular-wordpress.html题图:Pixabay
2023年5月8日
其他
Fortinet 修复FortiADC 和 FortiOS 中的多个高危漏洞
FortiOS漏洞被用于攻击政府实体Fortinet:注意这个严重的未认证RCE漏洞!Fortinet修复两个严重的RCE漏洞,其中一个两年前就发现?Fortinet
2023年5月6日
其他
OpenAI 账户验证流程存在漏洞,可导致用户无限薅羊毛
字节绕过第一次检查,而这些置换不会与原始值相似,同时仍然可通过该号码进行验证,从而可能为无限数量的新账户进行验证。研究人员解释称,“后一阶段的标准化可引发大量的(如不是无限制的)不同值的集合(如
2023年5月6日
其他
SolarWinds 事件爆发前半年,美司法部就检测到但未重视
并在约1.8万家客户所使用的软件中插入后门。遭污染的软件之后感染了至少九家美国联邦机构,包括司法部、国防部、国土安全部以及财政部等,以及科技和安全巨头如微软、Mandiant、英特尔、思科和
2023年5月5日
其他
研究员在微软 Azure API 管理服务中发现3个漏洞
暴露给外部和内部客户并赋能大量联网体验。在这两个SSRF漏洞中,其中一个是绕过微软部署的类似漏洞的修复方案。另外一个漏洞位于
2023年5月5日