【漏洞预警】Pulse Secure SSL VPN任意文件读取
2019年8月,白帽汇安全研究院观测到国外安全研究人员公布了针对Pulse Secure SSL VPN(保思安VPN)的多个漏洞说明,其中一个任意文件读取漏洞(CVE-2019-11510)利用门槛较低(在未授权的情况下即可利用),预计会对全球Pulse Secure SSL VPN造成较大影响。该漏洞是由于所引入的一项通过浏览器访问其他端口的新功能缺乏安全限制所导致的,任意攻击者都可在未经身份
联想电脑预装软件被曝出提权漏洞
近期,Pen Test Partners (PTP)的研究人员发现,联想电脑中预装的Lenovo Solution Centre(LSC)存在一个提权漏洞,且自2011年以来就一直存在。该漏洞被标记为CVE-2019-6177。根据联想的安全公告,Lenovo Solution Center的03.12.003版本(已不再进行技术支持)中存在一个提权漏洞。攻击者可利用其将日志文件写入系统敏感位置,
更新 Windows 10:8 亿设备面临关键漏洞风险
微软称,未受保护的服务器无需用户互动即可在网络上传播病毒与恶意软件。微软警告用户,应立即更新 Windows 10 操作系统,以免受关键漏洞危害。该公司表示,未受保护的服务器可在网络上自发传播病毒和恶意软件,无需用户授意。开启自动更新功能的 Windows 10 设备已受到保护。受影响 Windows 版本包括 Windows 7 SP1、Windows Server 2008 R2 SP1、Wi
Google研究人员公布20岁的Windows CTF协议0 day漏洞
Google Project Zero团队安全研究人员Tavis Ormandy近日公布了Windows操作系统中存在长达20年的0 day漏洞细节。该漏洞被评为高危漏洞,影响Windows XP以来的所有Windows版本。Ormandy透露了Windows kernel中msCTF模块中的多个设计安全问题。Msctf子系统是Text Services Framework (TSF)框架的一部分
Zoncolan:Facebook如何从1亿行代码中捕捉漏洞
Facebook 的隐私和安全跟踪记录算不上好,尤其是考虑到其很多重大过失都是本可避免的情况下。但要守护数亿用户和巨大的平台,要从该公司上亿行代码中找出每个漏洞真不是件容易的事。因此,Facebook 的工程师从四年前就开始构建定制评估工具,不仅检查已知漏洞类型,还可在 30 分钟内完全扫描整个代码库,帮助工程师在正式上线前找出各种调整、修改或主要新功能中的问题。该平台名为 Zoncolan,是一
研究人员披露第二个 Steam 0day
俄罗斯安全研究人员 Vasily Kravets 披露了 Steam 客户端的一个 0day 漏洞细节,这是他两周内公开的第二个 Steam 0day。他向 Valve 报告了第一个漏洞,试图让Valve 在披露前修复。但第二个 Steam 0day 他无法报告给 Valve,因为 HackerOne 平台的 bug 悬赏项目封杀了他。Valve 拒绝承认他递交的第一个 St
Webmin后门归咎于对软件供应链的攻击
Webmin是一个基于Web的系统配置工具,现在它的后门问题已经被发现,从时间上看,不法分子在一年前就创建了这个后门。后门为不法分子提供了一种可以直接接管运行Webmin工具的服务器的机制,从而危及安装相关恶意版本工具的操作系统。在为用户提供的安全通知中,Webmin 的开发人员"强烈建议"将所有从 1.882 开始的版本全部升级到 1.921版本或更高版本,以应对新发现的远程
iOS 12.4系统遭黑客破解 漏洞危及数百万用户
在最近的一次iOS 12.4系统更新中,苹果公司无意中恢复了在先前版本中修复过的一个漏洞,从而使得当前iOS 12.4版本系统遭到了黑客的破解,继而为众多iPhone用户带来了多年以来唯一一次最新系统的公开越狱机会,而这也将为苹果公司带来一系列的安全风险。上周末,苹果公司安全研究人员Jonathan Levin发现最新的iOS 12.4操作系统恢复了该公司在iOS 12.3中修复过的一个严重漏洞,
腾讯QQ升级程序存在漏洞 被利用植入后门病毒
【快讯】近日,火绒安全团队根据用户反馈,发现一起利用腾讯QQ升级漏洞植入后门病毒的攻击事件,攻击者可利用该漏洞下发任意恶意代码。截止到目前,最新版QQ(包括TIM、QQ、QQ轻聊版、QQ国际版等等)都存在该漏洞。经分析,该事件中被利用的升级漏洞曾在2015年就被公开披露过(https://www.secpulse.com/archives/29912.html),之后腾讯对该漏洞进行修复并增加了校
蓝牙曝新安全漏洞 或将设备数据暴露给黑客
据外媒报道,多位安全研究人员日前在USENIX安全研讨会上发表论文,介绍了一个新发现的蓝牙漏洞,可能会将连接设备的数据暴露给黑客。研究人员将这个漏洞命名为KNOB攻击,即蓝牙密钥协商(Key Negotiation of Bluetooth)的缩写。黑客可能会削弱蓝牙设备的加密能力,然后窥探通信信息,或发送伪造信息来接管设备。这个漏洞相当聪明:它不是直接破坏加密功能,而是允许黑客首先迫使两款蓝牙设