Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。漏洞位于编辑器的 modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令,但安全研究员 Armin Razmjou 发现&nbs

印象笔记 Web Clipper Chrome 扩展中被曝存在一个严重缺陷,可导致潜在攻击者访问用户存储在第三方网络服务中的敏感信息。发现该漏洞的安全公司 Guardio 表示,“由于印象笔记广为流行,该问题可能影响使用该扩展的客户和企业,在发现之时它的用户量为460万左右。”全局跨站点脚本缺陷该问题是一个全局跨站点脚本 (UXSS) 漏洞,编号为 CVE-2019-12592,源自一个印象笔记

研究人员发现了一个新的漏洞,它会影响存储在计算机内存中的数据的机密性。利用该漏洞,他们成功地仅凭普通用户权限从OpenSSH服务器中提取了签名密钥。自从Rowhammer漏洞首次出现以来,研究者与防御者之间可以说从此上演了一场军备竞赛。来自美国、奥地利和澳大利亚的学者团队昨天发表了一项新研究成果,详细介绍了Rowhammer漏洞攻击活动的另一个变种,研究团队已将其命名为RAMBleed。这个新攻击

Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735,Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。漏洞位于编辑器的  modelines 功能中,该功能允许用户指定窗口大小和其它定制选项,modelines 限制了沙盒内可用的指令。但安全研究员 Armin Razmjou 发

卡内基大学的CERT应急中心在本周警告新版本Windows 10的远程桌面协议（Remote Desktop Protocol,RDP）出现了漏洞,可能使远程桌面连接遭到攻击者的劫持。该RDP漏洞的编号为CVE-2019-9510,出现在Windows 10 RDP用户端使用网络级认证（Network Level Authentication,NLA）时。NLA是提供给远程桌面连接的一种新安全验证

两位安全研究人员最近发现了可远程利用的漏洞,用于检索存储在特殊计算机组件硬件安全模块（HSM）的敏感数据。硬件安全模块是一种用于保护和管理强认证系统所使用的密钥,使用高级加密技术来存储、操作和处理敏感信息,如数字密钥、密码、PIN和各种其他敏感信息并同时提供相关密码学操作的计算机硬件设备,一般通过扩展卡或外部设备的形式直接连接到电脑或网络服务器,可采用附加计算机卡,可连接网络的路由器设备或USB连

据美国网络安全公司趋势科技的研究人员称,Oracle WebLogic中最近修补的CVE-2019-2725漏洞正在被用于加密攻击。WebLogic是美国Oracle公司出品的一个Java EE应用服务器,是一个基于JAVAEE架构的中间件,用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器,将Java的动态功能和Java Enterprise标准的安全性引入

据外媒报道,本周发表的一项新研究揭示了在过去10年里发现的安全漏洞中实际遭到利用的数量。据悉,这项被认为是迄今为止在同类研究中最广泛的研究发现,在2009年至2018年发现的7.6万个安全漏洞中只有4183个安全漏洞遭到利用。更有趣的是,研究人员发现,在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。研究小组表示,2009年至2018年间,在4183个安全漏洞中只有一半的漏洞

Exim 开源邮件服务器爆出了一个高危漏洞,影响 4.87 到 4.91 版本,漏洞允许本地攻击者和某些情况下的远程攻击者以 root 权限在服务器上执行指令。要远程利用漏洞,攻击者需要与存在漏洞的邮件服务器保持连接 7 天,每数分钟就要传输一个比特。发现该漏洞的安全公司 Qualys 的研究人员表示,由于 Exim 代码极端复杂,他们不能保证漏洞利用方法是唯一的,可能存在更快的利用方法。漏洞编号

SandboxEscaper重新推出了新的0day权限提升代码,这名对微软充满了仇恨的女黑客再次击败了微软4月份发布的针对CVE-2019-0841的补丁,并像往常一样,发布了附带概念验证漏洞利用代码的漏洞,这意味着其它黑客可以快速参考其攻击方法制作恶意软件入侵Windows系统。不过值得庆幸的是,该漏洞需要在本地计算机上运行代码,无法实现远程攻击,比较有害的地方在于,它允许具有有限权限的黑客获得