360监测发现利凌(LILIN)网络摄像头存在多个漏洞且已被僵尸网络攻陷
网络摄像头等物联网设备的安全性向来都比较差,这类设备通常固件更新极度缓慢且终端用户也很少会进行维护。这种情况导致许多网络摄像头存在漏洞直接被僵尸网络攻陷,并且还很有可能在漏洞修复后许多用户都没有升级。比如这次Qihoo 360网络实验室就发现利凌品牌的网络摄像头存在多个漏洞,并且早在去年就已被僵尸网络利用。利凌是位于我国台湾新北市的老牌的安防摄像头制造商,其产品遍布中国、美国、中东地区、欧洲以及非
Adobe ColdFusion 任意文件读取和任意文件包含漏洞
近日,Adobe官方发布了针对Adobe Coldfusion的安全更新补丁。其中包含从Coldfusion安装目录中读取任意文件的CVE-2020-3761远程文件读取;以及能从webroot或者根目录包含文件实现任意代码执行的CVE-2020-3794。值得注意的是,Tomcat前不久曝出过和AJP connectors相关的漏洞,同样和文件包含(潜在导致任意命令执行)有关。Adobe Col
英特尔目前已经发布补丁缓解LVI安全漏洞 处理器性能最高可能损失70%
本月微软等操作系统开发商已经向旗下操作系统发布安全更新,此次更新包含针对英特尔处理器最新漏洞的缓解。此次英特尔处理器被发现的漏洞与熔断漏洞有关但不是熔断漏洞,安全业界称之为反向熔断漏洞而危害等级更高。受影响的英特尔处理器包括第二代、第三代、第四代、第五代、第六代、第七代、第八代以及第九代的多数产品。只有英特尔最新推出的第十代处理器可以完全免疫该漏洞,同时不需要通过微代码进行缓解也不降低处理器性能。
Intel处理器曝新漏洞:打补丁性能骤降77%
幽灵、熔断漏洞曝光后,Intel、AMD处理器的安全漏洞似乎突然之间增加了很多,其实主要是相关研究更加深入,而新的漏洞在基本原理上也差不多。事实上,Intel、AMD、ARM、IBM等芯片巨头都非常欢迎和支持这类漏洞安全研究,有助于提升自家产品的安全性,甚至资助了不少研究项目,近日新曝光的LVI漏洞就是一个典型。LVI的全称是Load Value Injection,大致就是载入值注入的意思,由安
通达OA高危漏洞可能感染勒索病毒的风险提示
1. 漏洞公告近日,安恒应急响应中心监测到中国用户群最大的OA软件品牌——通达OA在官方论坛发布了紧急通知,提供了针对部分用户反馈遭到勒索病毒攻击的安全加固程序,补丁更新包括2013版、2013增强版、2015版、2016版、2017版、V11版本等,相关链接参考:http://club.tongda2000.com/forum.php?mod=viewthread&tid=1
VMware修复了Workstation和Fusion中的严重漏洞
近日,VMware发布了安全通报,表示已修复旗下产品的三个漏洞,其中包括Workstation和Fusion中从虚拟机向宿主机执行代码的严重漏洞CVE-2020-3947(其余两个漏洞和非法提权有关)。VMware是总部位于美国加州帕洛阿尔托的全球云基础架构和移动商务解决方案厂商,提供基于VMware的各类虚拟化解决方案。VMware Workstation工作站软件包含一个用于英特尔x86相容电
本月补丁星期二共修复115个漏洞 其中26个标记为严重
在本月的补丁星期二活动日中,微软共计修复了115个安全漏洞,其中26个被标记为“严重”安全等级。在26个严重漏洞中,其中不少于17个漏洞存在于浏览器和脚本引擎,因此如果你正在使用微软的浏览器,那么小编推荐您尽快安装该修复补丁。在本月修复的漏洞中,包含了三项远程代码执行(RCE)漏洞。其中CVE-2020-0852存在于Microsoft Word,允许攻击者代表用户执行恶意程序。受到影响的版本包括
Win10最新“蠕虫级别”高危漏洞说明及临时防御措施
3月10日,微软官方发布一条安全警报(ADV200005),称发现Windows系统中存在一个远程代码执行漏洞(即CVE-2020-0796),该漏洞发生于Windows系统在处理SMBv3协议的某些特殊请求时,利用该漏洞可以在目标SMB服务器或SMB客户端上执行任意代码。(微软官方警报) 1、 漏洞危害及影响范围 攻击者利用该漏洞,可无需身份认证进行远程攻击。火绒工
知名杀软Avast又摊上麻烦 158元一年的高级功能爆出安全漏洞
Avast是全球知名的杀毒/安全软件,但是最近他们摊上了不少事,1月份爆出子公司收集用户隐私数据卖钱的丑闻,最终迫使他们关闭了这项业务,下定壮士扼腕的决心以便重新获得用户的认可,现在他们的软件又被发现漏洞了。这次摊上事的是Avast的AntiTrack软件,这是一个用于反追踪应用,可以让消费者在网络中隐身,避开烦人的广告、推送等垃圾信息,还可以伪装信息迷惑这些喜欢搜集用户隐私的广告商、服务商等。A
Zoho企业管理产品曝出高危漏洞
近日,有安全研究人员在Twitter上发布了Zoho企业产品Zoho ManageEngine Desktop Central中的高危漏洞,可导致未经身份验证的攻击者在设备上以root权限直接执行命令,接管设备。根据Zoho网站的说法,这款产品是一种端点管理解决方案,客户可用它管理网络中的设备,例如:Android智能手机,Linux服务器以及Windows工作站等。它往往充当公司内部的中央服务器