• VMware 存在严重的命令注入型漏洞 且尚未被修复
    VMware发布了临时解决方案,以解决其产品中的一个严重漏洞,攻击者可以利用该漏洞控制受影响的系统。这家虚拟化软件和服务公司在其咨询中指出:“恶意攻击者可以通过端口8443访问网络上的管理配置器,配置器管理员帐户的有效密码,从而可以在底层操作系统上以不受限制的特权执行命令。”该命令注入漏洞的编号为CVE-2020-4006,其CVSS评分为9.1(满分10),影响VMware Workspace
    稿源:安全圈 [ 2020-11-27 15:14:28 ]
  • 全军覆没:亚马逊11款智能门铃全都存在安全漏洞
    通过对在线电商平台(如亚马逊和eBay)出售的近十种廉价视频门铃的安全审查发现,每台设备都存在多个安全漏洞。其中最严重的是某些设备的做法,没有明显的理由将Wi-Fi名称、密码、位置信息、照片、视频、电子邮件和其他数据发送回制造商。近日,NCC集团安全咨询公司与英国消费者组织Which合作进行了一次智能门铃的安全性调研,抽样测试了11种英国市场流行的,亚马逊商城上出售的视频门铃。这些产品中有些看起来
    稿源:安全牛 [ 2020-11-25 14:47:52 ]
  • 思科安全管理器曝出大量严重漏洞
    思科安全管理器(Cisco Security Manager)是一个企业级安全管理应用程序,可监控和管理思科的安全和网络设备,包括Cisco ASA自适应安全设备、Cisco IPS系列传感器设备、Cisco集成服务路由器(ISR)、Cisco防火墙服务模块(FWSM)、Cisco Catalyst、Cisco交换机等等。近日,威胁情报和渗透测试公司Code White的安全研究员Florian
    稿源:安全牛 [ 2020-11-20 08:41:39 ]
  • IBM披露思科Webex的三个高危漏洞 以“幽灵”身份加入视频会议
           伴随着新冠疫情肆虐,越来越多的员工开始通过远程办公的方式进行线上协作、视频会议。而远程办公的激增,也暴露了诸多安全性和数据保密性问题。IBM 的研究人员近日对热门应用--思科 Webex 进行了测试,发现该服务存在三个漏洞。这些漏洞能够让攻击者以“Ghost”身份加入到会议中而不被发现。这些漏洞不仅能够让攻击者秘密地加入会议,甚至在被“驱逐”之
    稿源:cnBeta [ 2020-11-20 08:39:19 ]
  • 微软安全公告一年半后 仍有245000台设备尚未修复BlueKeep高危漏洞
           在微软披露存在于 Windows RDP 服务中的 BlueKeep 高危漏洞一年半后,目前至少仍有 245000 台 Windows 设备尚未修复该漏洞,意味着它们依然容易受到黑客的攻击。BlueKeep 于2019年5月首次发现,在对 950000 台设备的扫描中发现 25% 的设备存在该漏洞。同样地,超过 103000 台 Wi
    稿源:cnBeta [ 2020-11-20 08:36:12 ]
  • TCL 的 Android 智能电视曝出允许远程控制的漏洞
    两位安全研究人员披露了 TCL 制造的 Android 智能电视的两个漏洞,TCL 已通过遥测方法在 11 月初修复了这些漏洞。其中一个漏洞编号 CVE-2020-27403 允许邻近网络的攻击者通过运行在 7989 端口的 web server 访问和下载敏感文件,包括大部分系统文件、照片、个人数据和连接应用的安全令牌。另一个漏洞编号 CVE-2020-2
    稿源:solidot [ 2020-11-15 15:01:16 ]
  • Blade Team发现国内首个充电桩行业安全漏洞,已报告相关厂商
    10月24日,一年一度的“白帽黑客”对决盛会GeekPwn2020国际安全极客大赛在上海落下帷幕,来自腾讯的参赛队伍Blade Team亮相赛场,并成功实现了对“无感支付”式直流充电桩的漏洞攻击演示。在比赛中,‌Blade Team安全研究员模拟攻击者身份,仅需获得模拟受害者的车辆身份标识,并使用特殊设备连接“无感支付”直流充电桩与汽车,就能利用充电桩通信协议漏洞,轻松完成“盗刷”操作。“目前新能
    稿源:安全圈 [ 2020-10-26 20:42:34 ]
  • Apple/Opera/Yandex已修复地址栏欺骗漏洞 但仍有数百万设备未修复
           作为老生常谈的话题,网络钓鱼依然是攻击者最热衷使用、且最行之有效的攻击方法之一。即使是久经考验的资深用户,在面对层出不穷的钓鱼手段有时候也可能会中招。近日,安全研究员拉斐·巴洛赫(Rafay Baloch)发现浏览器的反网络钓鱼功能(通常是网络钓鱼受害者最后一道防线)并不完美。他在某些使用最广泛的移动浏览器(包括Apple的Safari,Ope
    稿源:cnBeta [ 2020-10-21 13:40:32 ]
  • 微软TCP/IP远程执行代码漏洞(CVE-2020-16898)风险通告
     10月14日,微软宣布了Windows IPv6堆栈中的一个极为关键的漏洞(CVE-2020-16898,又称“Bad Neighbor”),这意味攻击者可以利用该漏洞发送恶意制作的数据包,从而获取在目标服务器或客户端上执行代码的能力。该漏洞评级为“ Critical”(高危),鉴于漏洞有被利用的可能,我们建议用户尽快更新相关补丁。 一、漏洞描述Windows TCP/IP堆
    稿源:火绒安全 [ 2020-10-15 16:15:50 ]
  • Linux 内核曝严重蓝牙漏洞,影响多个版本
    谷歌安全研究人员在Linux Kernel中发现了一组蓝牙漏洞(BleedingTooth),该漏洞可能允许攻击者进行零点击攻击,运行任意代码或访问敏感信息。BleedingTooth漏洞分别被命名为CVE-2020-12351,CVE-2020-12352和CVE-2020-24490。其中最严重的漏洞是基于堆的类型混淆漏洞(CVE-2020-12351),被评为高危漏洞 ,
    稿源:FreeBuf.COM [ 2020-10-15 16:14:25 ]
安联智库&安联安全研究院 粤ICP备17152418-3号
sitemap feed