日前，JFrog的研究人员披露在Apache Cassandra数据库中发现高严重性安全漏洞（CVE-2021-44521），如果不加以解决，该漏洞可帮助恶意人员在受影响的计算设备上获得远程代码执行（RCE）权...

红十字国际委员会表示，它知道这次攻击是有针对性的，“因为攻击者创建的代码只为在相关的红十字国际委员会服务器上执行。” 根据该更新，攻击者使用的恶意软件被设计为针对红十...

在本季度，专业服务部门是攻击的最大目标，其次是技术/电信、医疗保健、制造业、金融服务和教育部门。尽管CVE和零日攻击的增加，网络钓鱼仍然是一个流行的感染载体，即使与上一季度...

越狱 iOS 设备替代应用商店 Cydia 的前成员 Jay Freeman 在以太坊 K2 扩展解决方案 Optimism 中发现了一个高危漏洞，允许攻击者无限制的复制以太坊代币。他在 2 月 2 日向 Op...

背景介绍：今天的故事来自一位ID名为SUNNY的白帽子，他在测试 Adobe Acrobat Reader APP时，发现该应用程序允许用户直接从 http/https URL打开 pdf 的功能，此功能会受到路径遍历漏...

根据行业媒体的报道，美国网络安全和基础设施安全局(CISA)日前在其漏洞目录中添加了15个漏洞列表，这些漏洞正在被黑客积极利用。有些漏洞可以追溯到2014年，有两个漏洞在过去两年...

McAfee目前已经修补了其McAfee产品组件中的两个高危漏洞，攻击者可以利用这些漏洞提升权限，甚至可以提升到SYSTEM权限。根据McAfee的公告，这些漏洞存在于McAfee Agent 5.7.5之前...

美国 CISA 在“已知已利用漏洞目录”中添加了 17 个新的被积极利用的漏洞。这些漏洞是威胁参与者在攻击中滥用的已知漏洞列表，需要由联邦民事执行局 (FCEB) 机构解决。根据...

NFT市场OpenSea的一个漏洞被利用，黑客以远低于市场价值的价格购买NFT。从今天早上开始，市场价值刚刚超过100万美元的NFT被以这种方式购买。已经发现至少有三个攻击者利用了这...

微软表示，在寻找 Log4j 漏洞时发现了 SolarWinds Serv-U 软件先前未披露的问题。Jonathan Bar Or在 Twitter 上解释说，当他在寻找 Log4j漏洞利用尝试时，他注意到来自 serv-u.ex...

2021年将被记住，因为这一年勒索软件团伙将注意力转向关键基础设施，尤其是围绕制造业、能源分配和食品生产的公司作为目标。仅仅是Colonial Pipeline的勒索软件就导致了5500英...

最近研究人员发现有三个WordPress插件存在相同的漏洞，该漏洞允许攻击者在有漏洞的网站上更新任意网站选项，并完全接管它。不过，要想利用该漏洞，需要网站管理员进行一些操作。202...

微软和Akamai日前各自发布的报告数据显示，企图利用Log4Shell漏洞的网络犯罪分子正在攻击SolarWinds和ZyXEL的设备，已知这些设备在其软件中使用了Log4j库。微软表示，它发现威胁...

回顾过去，补丁管理起初并不是一个网络安全问题，而是属于IT系统管理的范畴。直到2001年Code Red的出现，微软才开始发布补丁来解决其软件中的安全漏洞问题。随后2009年、2011年...

根据医疗网络安全公司Cynerio的一份新报告，医院中使用的互联网连接设备有一半以上存在漏洞，可能会危及病人安全、机密数据或设备的可用性。该报告分析了全球300多家医院和医疗...

上周，存在于 WebKit 中的一个 BUG 被曝光，黑客可以通过名为 IndexedDB 的 JavaScript API 实现入侵。浏览器指纹服务 FingerprintJS 表示，这个错误可以揭示你最近的浏览历史，甚...

来自 WordPress 安全公司 Wordfence 的研究人员发现了一个严重漏洞，该漏洞影响了三个不同的 WordPress 插件，影响了超过 84,000 个网站。被跟踪为 CVE-2022-0215 的漏洞是一...

对于所有的0day，定制的恶意软件和其他完全未知的安全漏洞，它们已经存在多年并被广泛利用。为了更好地表明这一点，美国联邦调查局(FBI)、美国网络安全与基础设施安全局(CISA)、...

根据调研机构的预测，2022年将是企业最终放弃长期以来在办公室办公、固定工作时间、衡量工作量与价值等传统方式的一年。当人们学会更好地适应这些变化时，匆忙转换的工作模式将...

长期以来，苹果一直以隐私保护为主要卖点，大力推荐自家的 Safari 浏览器，比如部署了防止跨站点追踪的举措和隐私报告。然而近日，该软件却曝出了处理 IndexedDB API 时的一个漏...

此前我们报导了 Unicode 算法漏洞“Trojan Source”几乎影响所有编程语言，利用 Unicode 的控制字符，可对程序的源代码进行重新排序，从而在编译时产生另一种结果。但...

【51CTO.com快译】如今，云服务已是无处不在了。从商业角度来看，任何希望得到快速发展的公司，都会选择通过其首选的云服务提供商，来获取计算、网络和存储资源，以加持他们的产品...

前言 《Chrome V8 Bug》系列文章的目的是解释漏洞的产生原因，并向你展示这些漏洞如何影响 V8 的正确性。其他的漏洞文章大多从安全研究的角度分析，讲述如何设计与使用 PoC。...

  漏洞描述 Windows 事件跟踪 (ETW) 机制允许记录内核或应用程序定义的事件以进行调试。 开发人员能够启动和停止事件跟踪会话，检测应用程序以提供跟踪事件，并通过调用 ETW...

  2021年12月15日，微软patch thuesday发布新补丁后，我们观察到Windows Common Log File System Driver 模块修复了一个Elevation of Privilege 类型的漏洞https://msrc.micr...

  作者：lzz 0x00 漏洞背景 今年十一月Cliff Fisher 在推特披露了CVE-2021-42278和CVE-2021-42287两个关于AD域漏洞相关信息，该漏洞影响巨大，在默认情况下只需一个域用户即可...

  知识前置 Slirp模块 QEMU内部网络分为两部分： 提供给客户的虚拟网络设备(E1000 PCI网卡…). 与模拟NIC交互的网络后端(例如，将数据包放入主机的网络). 默认情况下，QEMU将...

奇安信安全专家认为，供应链的安全风险很繁杂，这些风险来自软件开发、集成交付、运维运营等环节，也可能来自提供咨询、系统集成、运维测评等服务的服务商。这些风险大体上可以归...

零零信安成立于2020年，由一群在网络攻防一线深耕细作多年的安全专家和技术人员组成，公司坚持“防微杜渐，未雨绸缪”的理念，专注于“弱点/漏洞优先级技术（VPT）”和“攻击面管理（ASM）...

深入分析ATW事件就会发现，此次持续性的源码泄露事件根本原因在于各企业的SonarQube平台被入侵。SonarQube系统在默认配置下，会将通过审计的源代码上传至SonarQube平台。攻击者...