360网络安全周报第233期
安全资讯
2020年1月17日,360CERT监测到spring官方发布了CVE-2020-5398漏洞预警,漏洞等级高。
360CERT安全通告
2020-01-17 18:15:17
228047次阅读
2020年01月15日,360CERT监测到微软发布了2020年1月份的安全更新,其中包含Windows CryptoAPI的验证绕过漏洞(CVE-2020-0601)。该漏洞由NSA报告给微软。
360CERT安全通告
2020-01-17 11:45:24
163662次阅读
以色列这个面积只有北京天津加起来那么大,人口甚至没杭州多的中东国家,却汇集着无数游走在网络攻防间的顶尖黑客。
P&N银行数据泄露可能已影响100,000西澳大利亚人;为什么俄罗斯APT花式熊袭击了乌克兰能源公司Burisma?;来自Peekaboo Moments应用的婴儿图片,视频和位置数据在线泄漏。
360CERT热点播报
2020-01-17 10:15:34
144161次阅读
Emotet:针对600名联合国员工的网络钓鱼攻击;希捷 NAS 产品远程代码执行漏洞分析;两个流行 WordPress 插件认证绕过漏洞分析。
360CERT热点播报
2020-01-16 10:15:20
132349次阅读
2020年1月14日,一代“霸主”Windows7的职业生涯正式终结。
2020年01月15日,360CERT监测到微软发布了2020年1月份的安全更新,其中修复了一个Windows CryptoAPI的验证绕过漏洞(CVE-2020-0601)。该漏洞由NSA报告给微软。
360CERT安全通告
2020-01-15 14:03:35
156235次阅读
2020年1月15日,360CERT监测到oracle官方发布了CVE-2020-2551漏洞通告,漏洞等级为高危。
360CERT安全通告
2020-01-15 14:02:11
195630次阅读
2020年1月15日,360CERT监测到oracle官方发布了CVE-2020-2546漏洞通告,漏洞等级为高危。
360CERT安全通告
2020-01-15 14:01:26
186884次阅读
近日,博通(Broadcom)调制解调器芯片曝出内核级安全漏洞,该漏洞为Cable Haunt(CVE-2019-19494)。利用该漏洞,攻击者可以通过端点,远程控制且完全控制调制解调器。
国际安全智库
2020-01-15 14:00:58
162785次阅读
英特尔修复了性能分析工具中的严重缺陷;澳大利亚丛林大火捐款网站遭Magecart信用卡盗用攻击;Google 支持 Kubernetes Bug 赏金计划。
360CERT热点播报
2020-01-15 10:15:23
120755次阅读
2019年, 随着我国数字化转型的深入发展,数据安全面临着前所未有的威胁。数据泄露、高危漏洞、网络攻击以及相关的网络犯罪呈现新的变化,个人安全意识缺乏、企业安全投入不足,也加重了网络安全事件所带来的损失和影响。
安数网络
2020-01-14 14:00:44
634981次阅读
2019年,国际网络安全形势仍然十分严峻,安全威胁来势汹汹,数据泄露,勒索攻击,黑客活动等各类网络安全事件层出不穷。
安数网络
2020-01-14 14:00:11
780345次阅读
印度最大的旅馆连锁Zostel的支付漏洞;Play商店上的新Android恶意软件禁用了Play Protect来逃避检测;从Mega到Giga:基于MegaCortex勒索软件修改的跨版本比较。
360CERT热点播报
2020-01-14 10:15:41
120875次阅读
在美国政府网站被攻破,特朗图被“重拳挂彩”后,昨日,一份有关工业控制系统状态的最新报告再次吸睛。
国际安全智库
2020-01-13 14:00:52
139086次阅读
22GB包含560万美国公民的数据使用中国IP暴露在公网上;针对sha1算法攻击的paper被公开;通过暴露在外的SpringBoot Actuators利用H2数据库别名来进行远程代码执行。
360CERT热点播报
2020-01-13 10:30:35
143481次阅读
安全知识
攻击者可以将正常的Avira可执行文件与恶意DLL植入C:\ProgramData\Avira\VPN\Update目录中,诱导服务执行更新文件。更新过程中存在DLL劫持问题,最终攻击者能够以SYSTEM权限执行代码。
利用此漏洞可以使用伪造的证书对恶意的可执行文件进行签名,使文件看起来来自可信的来源,或者进行中间人攻击并解密用户连接到受影响软件的机密信息。
360CERT安全通告
2020-01-17 11:30:02
1174465次阅读
2
我们回顾 2019 全年的业务安全问题,从多个角度剖析了业务安全所面临的挑战,并给出了建议的处理方式。
在本文中,我将与大家分享Seagate Central Storage NAS产品中存在的一些严重漏洞。
此时,ASLR已被破坏,因为已知共享缓存的基地址,并且可以使用堆喷射将受控数据放置在已知地址。剩下的就是再利用一次漏洞来执行代码。
qwert
2020-01-16 11:30:07
1256974次阅读
这两篇文章主要是讲windows 域内的权限访问控制,这是下篇,主要有SeEnableDelegationPrivilege特权,一些高危ACL以及AdminSDHolder的介绍,可用于域内的ACL路径攻击以及留作后门。
360灵腾安全实验室
2020-01-16 10:30:59
1434488次阅读
2
2020年1月14日,微软正式宣告Windows 7系统停止更新,官方停止技术支持、软件更新和安全问题的修复。这意味着数以亿计仍在运行Windows 7系统的计算机失去了保护屏障,所面临的安全风险或将排山倒海来。
前两天看到 ThinkPHP6.0 的一个漏洞: 【安全风险通告】ThinkPHP 6.0 “任意”文件创建漏洞安全风险通告 。由于没有漏洞细节,只能通过这些描述及官方 commit 记录来还原一下漏洞细节。
奇安信观星实验室
2020-01-15 11:30:59
1286659次阅读
近日,奇安信病毒响应中心在日常跟踪黑产团伙过程中,发现了一个利用正规监控软件窃取用户信息,甚至监控聊天记录的黑客团伙,由于正规监控软件带有数字签名,杀软一般不会对其进行查杀,从而达到免杀的效果。
这个漏洞最初获得是绝对地址解引用,其中读取的值稍后作为ObjC对象。因此,要实现此漏洞的exploit进行远程代码执行,需要对目标地址空间有一定的了解。这篇文章介绍了一种不需要任何信息泄露漏洞就能远程攻破ASLR的方法。
qwert
2020-01-15 10:30:48
1232348次阅读
在HW攻防对抗中我们进行前期的信息收集时,我们的各种渗透行为很有可能暴露自己的ip,导致们在后期进行渗透攻击行为时很容易被对方溯源,并且通过ip找到你。
前面章节讲解了应用程序是如何与网页进行交互的,接下来章节分析通用软件历史漏洞,通过真实漏洞案例分析去了解嵌入式浏览器安全的攻击面。本章节讲的是网易云音乐rce漏洞分析,一个经典的XSS to RCE漏洞。
360灵腾安全实验室
2020-01-14 16:30:51
1380141次阅读
4
CVE-2019-16113曝出在Bludit<=3.9.2的版本中,攻击者可以通过定制uuid值将文件上传到指定的路径,然后通过bl-kernel/ajax/upload-images.php远程执行任意代码。本文将对该漏洞进行详细的分析。
neroqi
2020-01-14 15:30:51
1188867次阅读
随着技术浪潮的涌动,国家政策的推动,区块链又慢慢的进入了我们的视野中。在 2020 年初这个时刻,不妨我们再回头看看区块链的发展,聊聊区块链中的几个技术点,为新的一年打打基础。
知道创宇404实验室
2020-01-14 14:30:37
1135989次阅读
这是三篇系列文章中的第一篇,将详细介绍如何在iOS 12.4上远程利用iMessage中的漏洞,无需任何用户交互,它是我在2019年12月的36C3会议上演讲的一个更详细的版本。
qwert
2020-01-14 10:30:04
1249177次阅读
我非常荣幸的参加了今年的阿里白帽大会,会上分享了一个议题 《漏洞挖掘进化论 - 推开 xray 之门》,这里做一个简单的记录和解读。
这两篇文章主要是讲windows 域内的权限访问控制,这是上篇,主要有ACL,ACE相关的一些基础概念的介绍。
360灵腾安全实验室
2020-01-13 15:30:21
1334281次阅读
2
Apereo CAS 是一个开源的企业级单点登录系统,很多统一认证系统都是基于此系统二次开发,官网对于漏洞的一个通告,记录一下分析过程。
Citrix ADC及Citrix Gateway上个月被曝存在一个严重漏洞,编号为CVE-2019-19781。虽然Positive Technologies和Paddy Power Betfair最早公布了漏洞信息,但并没有公开利用该漏洞的方式,因此需要进一步研究。
興趣使然的小胃
2020-01-13 11:00:21
1308937次阅读
安全活动
喜马拉雅是以用户第一,重视信息安全的公司,所以建立了喜马拉雅安全应急响应中心。作为一个平台,来收集外界安全人士来提交的漏洞,共建喜马安全。
喜马拉雅安全应急响应中心
2020-01-16 17:30:29
166572次阅读
3
继本地生活安全沙龙在上海成功举办后,阿里巴巴本地生活安全响应中心确定于2020年1月9日(周四)在上海再次举办本地生活安全沙龙暨白帽子颁奖典礼。
本地生活安全响应中心
2020-01-13 18:30:47
249618次阅读
1