PPP协议曝出高危RCE漏洞
近日,US-CERT向用户发出警告,PPP daemon软件存在一个17年历史的远程执行代码漏洞。该漏洞会影响几乎所有基于Linux的操作系统的PPP daemon软件(而且和众多网络设备的固件有关)。PPP daemon软件是点对点协议的具体实现,该协议支持节点之间的通信和数据传输,主要用于建立各类网络链接(例如通过拨号调制解调器,DSL宽带连接和虚拟专用网络所建立
影响数百万Android设备的MTK芯片漏洞
近日,谷歌发布了2020年3月的Android 安全公告,最新公告的漏洞之一是CVE-2020-0069,这是一个关键的安全漏洞,它影响了安装着台湾大型芯片设计公司联发科(MediaTek)所设计芯片的海量设备。该漏洞的细节实际上从2019年4月开始就一直被公布在XDA-Developers论坛上。联发科在发现漏洞一个月后就发布了补丁,但该漏洞仍然可以在数十款设备上被利用,并且正在被黑客广泛利用。
丰田现代防盗控制器或存大漏洞 黑客可轻松启动车辆
研究人员发现车辆防盗控制器的加密系统存在漏洞,黑客能够利用具有无线电功能的钥匙,在不留下任何痕迹的情况下偷走车辆。据国外媒体报道,在过去几年里,拥有无钥匙启动系统的车主对所谓的“中继攻击”表示担心,这种攻击即黑客利用具有无线电功能的钥匙,在不留下任何痕迹的情况下偷走车辆。现有事实证明,数以百万计使用芯片机械钥匙的汽车也容易成为高科技盗贼的目标。一些密码上的漏洞再加上一点老式的“短路点火”方式,甚至
只换不修?英特尔CPU漏洞可能导致大批CPU需要更换
在铺天盖地的新冠肺炎新闻中,没有什么比确诊患者治愈后复发更可怕的事了。近日安全人员曝出英特尔一个“已经修复”的CPU漏洞比想象中更严重,而且最可怕的是,彻底根治的办法可能是更换CPU!据ZDnet报道,Positive Technology的安全研究人员发现,英特尔去年修补的一个CPU漏洞(CVE-2019-0090)比以前认为的要严重得多。这个芯片组只读存储器(ROM)中的错误使攻击者能够破坏平
常用Wi-Fi芯片存在严重漏洞,可解密部分无线网络流量数据
ESET研究人员在RSA安全会议中公开发现一个在Wi-Fi芯片中以前未知的漏洞,并将其命名为Kr00k。漏洞编号为CVE-2019-15126,其在特定场景下会导致那些存在漏洞的设备使用全零加密密钥来加密用户通信的一部分。也因此,如果漏洞利用成功,解密无线网络数据包将成为一件很简单的事情。Kr00k漏洞影响赛普拉斯半导体(Cypress Semiconductor)和博通(Broadcom)制造的
PayPal漏洞导致欺诈性交易?
近期,有黑客正在使用一种未知的方法对链接到Google Pay的PayPal账户进行欺诈收费。这些欺诈交易都是通过美国的Target商店或星巴克(Starbucks)进行的,尽管帐户持有人几乎都在德国。从2月22日开始,许多德国人开始报告[1,2,3,4,5,6]他们链接到Google Pay的PayPal账户存在未知交易,金额从1.73欧元到1800多欧元不等。众多报告者称,他们的账户首先发生了
思科发现Moxa工业设备中的十二个高危漏洞
近日,来自思科Talos智能研究小组的人员发现了由台湾地区工业网络、计算和自动化解决方案提供商Moxa所制造的无线网络设备中的12个漏洞。根据Moxa和Talos在周一发布的报告,AWK-3131A工业AP/网桥/客户端设备受到12个漏洞的影响,可被利用来实施针对目标组织中工业系统的恶意攻击。所有的漏洞的严重级别都为critical或high。攻击者可以利用它们将权限提升到root,使用硬编码的加
CNVD曝出Tomcat服务器文件包含漏洞
近日,国家信息安全漏洞共享平台发布了Apache Tomcat上的文件包含漏洞。通知中表示攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件,如:webapp配置文件或源代码等。而且该漏洞是于2020年1月6日报送,距今已有一个半月的时间。2020年2月20日下午17:30,CNVD发布漏洞预报,全文如下(https://www.cnvd.org.cn/webinfo/sh
微软已经发布最新累积更新封堵在野外被利用的IE浏览器零日漏洞
此前微软发布安全公告透露由谷歌安全实验室Clément Lecigne和360安全集团Ella Yu 报告的IE浏览器零日漏洞。该零日漏洞在研究人员发现前就已经遭到攻击者利用,而攻击者借助漏洞可获得非常高的权限甚至控制整个电脑。不过当时微软并未直接发布临时安全更新修复这个问题,而是将该问题推迟修复直到本月份的累积安全更新发布。所有用户均需安装更新进行修复:微软表示若攻击者制作含有恶意代码的网页并诱
MIT:区块链投票系统Voatz存在一系列漏洞 极易受到攻击
麻省理工学院工程师团队的最新研究发现,在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后,研究人员得出结论称,通过入侵选民手机,攻击者几乎可以随意观察、压制和更改选票。该论文称,网络攻击还可能揭示给定用户在哪里投票,并可能在此过程中压制投票。研究人员说,最令人不安的是,破坏了管理Voa