惊爆:软件更新存在安全漏洞

最新推荐文章于 2024-08-16 15:32:02 发布
最新推荐文章于 2024-08-16 15:32:02 发布
阅读量214 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lzhdim/article/details/83823487
版权

两名来自以色列安全公司Radware的专家日前发现,软件更新过程中有可能被劫持通讯,受此漏洞影响的软件包括Skype和其他若干应用程序。

Radware安全运营中心主管Itzik Kotler警告说,目前他们已经发现100多款主流软件存在上述安全问题。

为了检验这一发现,Kotler和他的同事Tomer Bitton正在开发一个名叫Ippon的工具,这个工具可以完成上述攻击并且能够提供网络中受潜在影响机器的3D分布图。在柔道中,Ippon意味着失败,同样的,Ippon会使你的电脑game over。

按照他们的理论,攻击者首先扫描无线网络,寻找通过HTTP检查更新的电脑,当系统检测到某台电脑发送了一个软件更新请求时,这个工具就会抢在应用程序更新服务器响应之前回复该电脑,Ippon会回复有可用更新——即使这台电脑上已经安装了所有更新,然后恶意程序就会被用户下载到本地电脑。

到目前为止,他们还没有发现Firefox和其他主流浏览器是否存在这个缺陷。他们还发现,目前微软的软件是安全的,因为它在更新过程中使用数字签名。Kotler认为,所有的软件更新都应该使用数字签名,人们应该避免通过无线公共网络进行软件更新。

lzhdim
关注
开源软件 安全风险_3开源安全风险及其解决方法
weixin_26713521的博客
09-12 3063
开源软件 安全风险Open source software is very popular and makes up a significant portion of business applications. According to Synopsys, 99% of commercial databases contain at least one open source component...
请注意!点击“升级”也可能导致系统中毒
weixin_34315665的博客
07-03 131
如果有一天你的电脑提示你应该升级浏览器或者杀毒软件,否则就无法正常使用,你会不会果断点击“升级”按钮?实际上,这个看似很正常的行为却“暗藏玄机”。趋势科技发现,不法分子传播有新招,利用消费者的升级“强迫症”心理来传播病毒,一旦中招,电脑系统就会被病毒侵入,导致个人信息被窃取等严重后果。要避免感染此类病毒,趋势科技提醒大家不要盲目相信所谓的升级提示信息,当...
最全Android安全检测漏洞解决方案
热门推荐
weixin_40798907的博客
03-09 1万+
前言:APP安全检测通常在一些小型企业涉及的比较少,并且并不太关注这方面的问题。然而在一些大型互联网企业或者国企等等就非常在意这方面的安全问题,并且会有专门的人去对APK进行检测。本节我们一起学习在Android中大量的app漏洞应如何去避免或者修改。 一、基本应用信息 通常包括:应用名称、包名、文件大小、版本信息、文件MD5、签名信息、加固厂商、第三方SDK等。 二、安全漏洞检测项 加密算法和密码安全 1 、AES/DES加密算法不安全使用风险 2 、RSA加密算法不安全使用风险 安全防护能力 1、 Z
应用安全漏洞扫描问题处理整理
发现问题,面对问题,分析问题,解决问题,总结问题
09-04 5468
安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。
英特尔CPU惊爆重大安全漏洞!俄黑客团伙对法外交实体发动网络攻击!Rust恶意软件Fickle横空出世,最安全的语言也不安全| 安全周报0621
weixin_55163056的博客
06-21 1462
尽管APT29和Midnight Blizzard这两个名字可以互换使用,指代与俄罗斯对外情报局(SVR)相关的入侵集合,但ANSSI表示,它更倾向于将它们与第三个被称为Dark Halo的不同威胁团伙分开对待,Dark Halo被认为是2020年通过SolarWinds软件进行的供应链攻击事件的罪魁祸首。值得注意的是,DISGOMOJI正是黑莓公司在进行与Transparent Tribe(一个与巴基斯坦有联系的黑客团队)发起的攻击活动相关的基础设施分析时发现的那种“一体化”间谍工具。
wsgiserver python 漏洞_PHP 、Python 等网站应用惊爆远程代理漏洞:httpoxy
weixin_39584571的博客
12-09 90
原标题:PHP 、Python 等网站应用惊爆远程代理漏洞:httpoxy这是一个针对 PHP、Go、Python 等语言的 CGI 应用的漏洞。httpoxy 是一系列影响到以 CGI 或类 CGI 方式运行的应用的漏洞名称。简单的来说,它就是一个名字空间的冲突问题。RFC 3875 (CGI)中定义了从 HTTP 请求的 Proxy头部直接填充到环境变量 HTTP_PROXY的方式HTTP_P...
wsgiserver python 漏洞_技术|PHP 、Python 等网站应用惊爆远程代理漏洞:httpoxy
weixin_39902870的博客
12-09 191
这是一个针对 PHP、Go、Python 等语言的 CGI 应用的漏洞。httpoxy是一系列影响到以 CGI 或类 CGI 方式运行的应用的漏洞名称。简单的来说,它就是一个名字空间的冲突问题。RFC 3875 (CGI)中定义了从 HTTP 请求的Proxy头部直接填充到环境变量HTTP_PROXY 的方式HTTP_PROXY是一个常用于配置外发代理的环境变量这个缺陷会导致远程攻击。如...
SolarWinds又出事,火速修补关键漏洞;30万用户遭殃,恶意软件利用Chrome大肆攻击;Azure AI健康机器人服务存安全漏洞
weixin_55163056的博客
08-16 1631
30万用户遭殃!新型恶意软件利用流氓Chrome和Edge扩展大肆攻击;FreeBSD紧急发布补丁,高危OpenSSH漏洞威胁网络安全,立即更新!Azure健康机器人服务存安全漏洞,恶意行为者可横向移动并窃取患者数据;SolarWinds火速修补Web Help Desk关键漏洞,防止远程攻击执行恶意代码
Unity小游戏-惊爆游戏(PC)
05-18
类似吃鸡的小游戏,但是这里没有毒圈,武器只有炸弹,没有枪。游戏开始玩家体力会不断下降,玩家只有抢空投或者击败其他玩家获取食物才能活下去。 游戏详情:...
河南惊爆电动汽车业最大骗案.pdf
09-05
【电动汽车产业概述】 电动汽车产业是近年来全球关注的焦点,尤其在中国,它被列为战略性新兴产业,得到了政府的大力支持。新能源汽车,尤其是纯电动汽车,被认为是解决传统能源短缺和环境污染问题的重要途径。...
惊爆:当Python代码遇到zip解压炸弹,未做防护的你后悔莫及!
09-12 1215
zip解压炸弹 在文章的开头,让我们先来介绍一下zip解压炸弹是个 什么妖怪! 解压炸弹是指解压缩后能够产生巨大的数据量的可疑压缩文件!默认设置是文件扫描中产生500MB以上解压数据的是“解压炸弹”,实时监控中是100MB,邮件监控是30MB。这样的压缩文件解压缩可能对解压程序造成严重负担或崩溃(可能用来攻击压缩软件以及占用大量电脑资源,或者杀毒软件的解压缩功能)。解压炸弹内,还可能存在病毒,解压中会自启动窃取用户信息 如何制作解压炸弹 42.zip是很有名的zip炸弹。一个42KB的文件,...
阿里 Nacos 惊爆安全漏洞以绕过身份验证(附修复建议)
m0_52987358的博客
01-19 1591
来源:github.com/alibaba/nacos/issues/4701 一、漏洞详情 二、漏洞影响范围 三、漏洞复现 三、 修复建议 BugFix 大家好,我是threedr3am,我发现nacos最新版本1.4.1对于User-Agent绕过安全漏洞的serverIdentity key-value修复机制,依然存在绕过问题,在nacos开启了serverIdentity的自定义key-value鉴权后,通过特殊的url构造,依然能绕过限制访问任何http接口。 通过查看该功能,需要在applic
嵌入式学习之电场与漏电检测器.zip
09-24
嵌入式学习资料电子信息与技术
ultralytics_obb_segment.zip
09-24
ultralytics_obb_segment.zip
【PFJSP问题】基于matlab布谷鸟算法CS求解置换流水车间调度问题PFSP【含Matlab源码 7886期】.mp4
最新发布
09-24
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
基于Vue的老年人健康管理平台设计源码
09-24
该项目是基于Vue的老年人健康管理平台设计源码,共计136个文件,其中包括50个JavaScript文件、17个Python源文件、14个Python字节码文件、11个SVG图像文件、8个Markdown文档、5个XML文件、5个JSON配置文件、5个PNG图片文件、5个Vue组件文件以及2个Git忽略文件,实现了前端界面与后端逻辑的完整构建。
嵌入式学习之故障寻迹器.zip
09-24
嵌入式学习,电子信息技术
A-PDFAlltoMP3的SEH漏洞利用与逆向分析
该程序采用加壳和反调试技术来保护自身,作者在2.1.0版本中发现了一个漏洞,并指出虽然更新至2.3.0版本后地址有所变化,但漏洞依然存在。为了调试这个漏洞,作者介绍了使用的工具集合,包括微软的内核级调试工具...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lzhdim

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值