自定义博客皮肤VIP专享

*博客头图:

格式为PNG、JPG,宽度*高度大于1920*100像素,不超过2MB,主视觉建议放在右侧,请参照线上博客头图

请上传大于1920*100像素的图片!

博客底图:

图片格式为PNG、JPG,不超过1MB,可上下左右平铺至整个背景

栏目图:

图片格式为PNG、JPG,图片宽度*高度为300*38像素,不超过0.5MB

主标题颜色:

RGB颜色,例如:#AFAFAF

Hover:

RGB颜色,例如:#AFAFAF

副标题颜色:

RGB颜色,例如:#AFAFAF

自定义博客皮肤

-+
  • 博客(2579)
  • 收藏
  • 关注

转载 Chrome修复已遭活跃利用的0day

该漏洞由安全研究员 Vsevolod Kokorin 发现,谷歌提到“CVE-2025-4664的利用已在野出现”。谷歌提到,“Google Chrome 136.0.7103.113之前版本中对Loader策略执行不充分,可导致远程攻击者通过构造的HTML页面泄露跨源数据。目前尚不清楚CVE-2025-4664是否已遭恶意利用。该漏洞是继 CVE-2025-2783以来的第二个遭在野“活跃利用”的漏洞。本周三,谷歌发布更新修复了Chrome web浏览器中的四个安全漏洞,其中一个已出现在野利用。

2025-05-16 18:35:08 26

转载 NPM恶意包利用Unicode 隐写术躲避检测

之后,它从该事件的HTML页面爬取了一个 data-base-title属性,而该页面持有指向最终payload的基于base64编码的URL。5月7日,作者发布了该NPM包的新版本,其中包括“适用于复杂的C2机制”的代码,用于交付最终的payload。另外,该程序包是NPM其它四个包(skip-tot、vue-dev-sereverr、vue-dummyy和 vue-bit-all)的依赖,而这四个包声称是可达性和开发者平台工程工具。”在本例中,它们的作用是便于通过基于文本的隐写术在其它数据中隐藏信息。

2025-05-16 18:35:08 34

转载 分支特权注入攻击影响英特尔所有CPU

虽然研究人员并未测试更老旧版本的CPU,但因为老旧版本的CPU并不支持“增强间接分支受陷推断 (eIBRS)”,因此与这一利用关系不大,可能更容易易受更早的 Spectre v2类型的攻击。分支预测器如“分支目标缓冲器 (BTB)”和“间接分支预测器 (IBP)” 是专门的硬件组件,用于在分支指令被解析前来猜测分支指令的结果,以便维持CPU管道的完全性以优化性能。研究人员提到,虽然 Spectre v2漏洞的缓解措施已存在六年的时间,但他们最新发现的“分支预测器条件竞争”利用可绕过这些措施。

2025-05-15 18:10:03 46

转载 PyPI 恶意包攻击 Solana 开发人员

报告提到,“这导致包名称可复用,这表明下架早前solana-token 包的恶意人员可能正是新的恶意版本的幕后黑手。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。研究人员提到,“虽然该包的 PyPI 着陆页中并未包含相关描述,但包名称和功能表明,寻求创建自己的区块链的开发人员很可能就是目标。

2025-05-15 18:10:03 18

转载 Fortinet修复已遭利用的严重0day

Fortinet 在本周二发布的一份安全公告中提到,成功利用该漏洞可导致远程未认证攻击者通过恶意构造的HTTP请求执行任意代码或命令。该漏洞是由Fortinet 公司的产品安全团队发现的,他们基于攻击者的活动,包括网络扫描、用于掩盖行踪而删除系统崩溃日志以及通过打开“fcgi 调试”记录系统凭据或SSH登录尝试等,发现了该漏洞。上个月,Shadowserver Foundation 发现了攻击者利用新的符号链接后门发现了超过1.6万台暴露到互联网中的设备,攻击者对受陷设备上的敏感文件拥有只读权限。

2025-05-14 17:36:15 34

转载 Ivanti 修复已用于代码执行攻击中的两个 EPMM 0day 漏洞,与开源库有关

今天,Ivanti 公司督促客户修复 Ivanti Endpoint Manager Mobile (EPMM) 软件中的两个漏洞CVE-2025-4427和CVE-2025-4428,它们可组合用于获得远程代码执行权限。Ivanti 公司提到,“Ivanti 已发布EPMM 更新,修复了一个中危和一个高危漏洞。今天,Ivanti 公司还发布另外一个安全更新,修复影响适用于ITSM IT服务管理解决方案的一个严重的认证绕过漏洞 (CVE-2025-22462),它可导致未认证攻击者获得管理员访问权限。

2025-05-14 17:36:15 57

转载 微软5月补丁星期二值得关注的漏洞

是位于Scripting Engine 中的内存损坏漏洞,可导致远程攻击者通过说服用户点击特殊构造链接的方式,在受影响系统上执行任意代码。所有的提权漏洞都常用于钓鱼攻击和勒索攻击中,因此虽然该漏洞的评分不算高,但也应立即测试并部署补丁。微软在5月补丁星期二中共修复了75个CVE漏洞,其中12个是“严重”级别,余下的是“重要”级别。是位于防身份欺骗的Defender 中的漏洞,可导致未认证攻击者假冒账号,对邻近网络实施欺骗,具有LAN访问权限的未认证攻击者即可利用它。微软2月补丁星期二值得关注的漏洞。

2025-05-14 17:36:15 39

转载 华硕修复严重的DriverHub 漏洞

攻击者触发该利用所需做的就是创建一个域名并托管三份文件,要运行的恶意payload、将属性 “SilentInstallRun” 属性设置为恶意二进制的 AsusSetup.ini 修改版本以及利用该属性运行payload 的 AsusSetup.exe。该攻击链主要涉及诱骗一个毫不知情的用户访问 driverhub.asus[.]com 的子域名,之后利用 DrvierHub 的 UpdateApp 端点来执行 “AsusSetup.exe”二进制的合法版本,运行托管在虚假域名上的任意文件。

2025-05-13 18:23:53 72

转载 苹果修复iOS、macOS 平台上的多个严重漏洞

其它值得关注的漏洞包括 Baseband 中的CVE-2025-31214,它可导致位于权限网络中的攻击者拦截iPhone 16e系列上的流量;苹果公司还提到,iOS 18.5 修复了内核中的两个内核损坏漏洞和libexpat 库中的影响大量软件项目的漏洞 (CVE-2024-8176)。本周一,苹果修复了 macOS、iPhone 和 iPad 软件栈中的多个漏洞,提醒称只需打开一个特殊构造的图片、视频或网站,就能触发这些代码执行漏洞。苹果紧急修复被用于“极其复杂”攻击中的0day漏洞。

2025-05-13 18:23:53 70

转载 奇安信安全研究员在 Off-by-One 2025大会发表研究成果

帮助微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、ThinkPHP、以太坊、Facebook、亚马逊、IBM、SAP、NetFlix、Kubernetes、Apache基金会、腾讯、滴滴等大型厂商和机构的商用产品或开源项目发现了一千多个安全缺陷和漏洞,并获得公开致谢。*更多详细内容,关注“奇安信代码安全实验室”微信公众号。奇安信代码安全实验室。

2025-05-12 16:03:22 100

转载 奇安信再次入选全球《静态应用安全测试解决方案全景图》代表厂商

奇安信代码安全实验室已帮助微软、谷歌、苹果、Cisco、Juniper、Red Hat、Ubuntu、Oracle、Adobe、VMware、阿里云、飞塔、华为、施耐德、Mikrotik、Netgear、D-Link、Netis、ThinkPHP、以太坊、Facebook、亚马逊、IBM、SAP、NetFlix、Kubernetes、Apache基金会、腾讯、滴滴等大型厂商和机构的商用产品或开源项目发现了数百个安全缺陷和漏洞,并获得公开致谢。(试用地址:https://sast.qianxin.com)

2025-05-09 15:49:26 142

转载 美国:黑客正在攻击油气组织机构的 ICS/SCADA

美国安全机构督促关键基础设施组织机构“立即行动,改进针对网络威胁活动的网络安全态势,尤其是针对联网OT和ICS的活动。这些安全机构提到,“授权组织机构建议关基组织机构定期与第三方管理服务提供商、系统集成商和系统制造商进行沟通,它们在保护OT安全时,可能能够提供系统范围内的配置指南。这些安全机构表示,这些攻击虽然利用的是基本的入侵技术,但关键基础设施组织机构糟糕的网络状况可导致服务中断甚至是物理损坏。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2025-05-08 18:21:17 190

转载 Aikido在npm热门包 rand-user-agent 中发现恶意代码

这意味着,即使看似合法的 Python 命令也可被通过受恶意软件控制的目录中的可执行文件路由。Aikido 发布报告显示,攻击者通过一种滚动条方式将后门隐藏在 dist/index.js 中,有效地将深度混淆的 JavaScript 隐藏在文件底部。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

2025-05-08 18:21:17 142

转载 严重的Langflow RCE 漏洞被用于攻击AI app 服务器

另外,不要直接暴露在互联网中。Horizon3 公司的研究人员在2025年4月9日发布了该漏洞的深入分析,并提醒称该漏洞遭利用的可能性很高,当时提到至少有500个被暴露在互联网中的实例。Langflow 的用户应注意的是,该工具在权限隔离方面设计不佳,没有沙箱,因其本身和预期功能而“设计”的RCE漏洞由来已久。该漏洞的编号是CVE-2025-3248,是一个严重的未认证RCE漏洞,可导致互联网上的任何攻击者通过利用一个API端点漏洞的方式,完全控制易受攻击的 Langflow 服务器。觉得不错,就点个 “

2025-05-07 18:07:43 166

转载 恶意Go模块在高阶供应链攻击中传播 Linux 恶意软件擦除磁盘

Socket 公司的研究员 Kush Pandya 表示,“尽管看似是合法的,但这些模块中包含高度混淆的、旨在提取和执行远程 payload 的混淆代码。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。觉得不错,就点个 “

2025-05-06 17:41:13 149

转载 Magento 供应链攻击攻陷数百家电商商店

令人好奇的是,该恶意软件是在6年前注入的,但在攻击者完全控制电商服务器之后的本周才激活。建议上述扩展的用户对服务器进行全面扫描,查找 Sansec 公司共享的妥协指标,如可能,则从已知的清洁版备份中恢复站点。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。为此,我们推出“供应链安全”栏目。

2025-05-06 17:41:13 144

转载 谷歌2024年检测到75个已遭利用0day,44%针对企业安全产品

谷歌还表示,独立发现了针对Firefox 和 Tor 浏览器的利用链,组合利用CVE-2024-9680和CVE-2024-49039攻破Firefox沙箱并以提升后的权限执行恶意代码,因此铺平了部署 RomCom RAT的道路。谷歌威胁情报团队 (GTIG) 在一份报告中提到,“去年,浏览器和移动设备0day漏洞利用数量大幅降低,其中浏览器的0day漏洞利用降低了约三分之一,而移动设备的利用降低了约一半。具有最多0day利用的企业是微软(26个)、谷歌(11个)、Ivanti(7个)和苹果(5个)。

2025-04-30 12:04:59 252

转载 苹果 “AirBorne” 漏洞可导致零点击 AirPlay RCE 攻击

网络安全公司 Oligo Security 的安全研究人员发现并报送了这些漏洞,它们可用于零点击和一次点击RCE攻击、中间人攻击和DoS 攻击中,还可绕过访问控制列表和用户交互,获得对敏感信息的访问权限并读取任意本地文件。Oligo 公司提醒称,“这意味着攻击者可接管某些启用 AirPlay 的设备并执行多种操作,如部署恶意软件,可传播到与受感染设备连接的任何本地网络上的设备,从而导致其它复杂攻击如间谍、勒索软件、供应链攻击等。苹果紧急修复被用于“极其复杂”攻击中的0day漏洞。觉得不错,就点个 “

2025-04-30 12:04:59 213

转载 AI、自动化和暗网加速全球复杂性攻击的实施

报告提到,“不断增长的网络犯罪市场因低廉和可获得性而得到蓬勃发展。随着AI的发展,它已经降低了网络犯罪分子的门槛,不管对手的技术知识如何,增加了执行攻击所需的战术和情报。防御人员应当增强对对手行为的真实模拟并提高对检测和防御的自动化,同时应当通过红队和紫队加强对真实攻击的模拟,并通过MITRE ATT&CK 测试对多种威胁如勒索软件和间谍活动的防御能力。攻击者正在“以系统方式”利用所有的新型威胁资源来瓦解防御人员所拥有的传统优势,而这导致组织机构不得不执行新的防御措施并快速迭代,以缓解这些不断演进的威胁。

2025-04-29 18:26:21 150

转载 Ruby 服务器中存在 Rack::Static 漏洞,可导致数据遭泄露

这些漏洞的根因在于,用于提供静态内容如 JavaScript、样式表和图片的中间件 Rack:Static 在提供文件前并未清理用户提供的路径,从而导致攻击者可提供特殊构造的路径访问该静态文件目录以外的文件。”该漏洞可通过用户名如 “../../../../” 进行登录,影响MRS的Windows 和 Linux 版本。发现这些漏洞的公司 OPSWAT 提到,“在这些漏洞中,CVE-2025-27610最为严重,因为它可导致未认证攻击者检索敏感信息包括配置文件、凭据和机密数据,最终导致数据泄露。

2025-04-28 16:39:43 214

转载 一行价值1.75万美元的代码,让 iPhone 秒变砖

该API的一个简单用例是只希望将某既定事件通知给其它进程,那么可以调用notify_post函数,而接收该通知的进程可通过 notify_register_dispatch 函数进行登记,当其它进程以特定名称发布该通知时,在特定队列上就会调用一个代码块。从早期的 iOS 18 beta 版中找到iOS root 文件系统并获取能够使用 notify_register_dispatch 和 notify_check 的进程后,研究员开发了一款测试应用,名为 “EvilNotify”。

2025-04-28 16:39:43 176

转载 SAP修复已遭利用的0day漏洞

尽管厂商的安全通告并未公开,但 ReliaQuest 在本周早些时候报道了关于 SAP NetWeaver Visual Composer '/developmentserver/metadatauploader' 端点上一个已遭利用的漏洞,它与CVE-2025-31324相符。该活跃的在野利用和广泛影响将非常有可能让我们看到多方的利用。该紧急安全更新是在SAP公司例行发布的“2025年4月”更新后发布的,因此如在本月初(2025年4月8日)已应用该更新,则仍然易受CVE-2025-31324漏洞的影响。

2025-04-27 18:12:55 214

转载 Craft CMS RCE利用链用于窃取数据

Orange 公司表示,“今天,2.0.51(易受攻击)仍然默认位于 Craft 上,然而,有了CVE-2025-32432修复方案,Yii 问题现在仍然无法被触发。攻击始于 CVE-2025-32432的利用,该漏洞可使攻击者发送包含 “return URL” 的特殊构造请求作为参数并保存在一个PHP 会话文件中。这两个漏洞是CVE-2025-32432和CVE-2024-58136,前一个是位于Craft CMS中的RCE漏洞,而后者是位于Craft CMS所用的Yii 框架中的输入验证漏洞。

2025-04-27 18:12:55 150

转载 2025年Q1 遭利用漏洞达159个,开源软件类排名第四

VulnCheck 公司表示,这些已遭利用的漏洞位于内容管理系统 (CMS,35个)中,其次为网络边缘设备(29个)、操作系统(24个)、开源软件(14个)和服务器软件(14个)中。报告指出,“我们仍发现,在CVE编号发布不到一天的时间,28.3%的漏洞即遭利用。”换句话说,45个漏洞在披露不到一天的时间就被用于真实攻击中,其它14个漏洞在一个月内遭利用,其余45个在一年内遭利用。在这159个漏洞中,25.8%的漏洞正在等待或正在由美国 NIST NVD分析,而3.1%的漏洞已被分配新的“延期”状态标记。

2025-04-25 17:56:07 528

转载 Linux “io_uring” 安全盲点可导致隐秘的 rootkit 攻击

具体而言,Falco 被指即使在使用了自定义检测规则时仍然完全无法检测到,而Tetragon 无法标记默认配置下的恶意活动,不过该公司并不认为其平台易受攻击,因为可启用监控功能来检测这一 rootkit。在测试商用工具的表现时,ARMO 公司进一步证实它们无法检测到基于 io_uring 的不牵涉系统调用的恶意软件和内核交互。Linux 运行时安全中存在一个因 “io_uring” 引发的巨大安全差距,可导致 rootkit 以无法检测的方式在系统上运营,同时绕过高阶的企业安全软件。觉得不错,就点个 “

2025-04-25 17:56:07 512

转载 密币Ripple 的NPM 包 xrpl.js 被安装后门窃取私钥,触发供应链攻击

值得注意的是,“mukulljangid”可能是Ripple 公司的员工,这表明他们的npm账号被黑,触发了供应链攻击。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。Aikido 安全公司的研究员 Charlie Eriksen 表示,“官方的 XPRL (Ripple) NPM 包受复杂攻击者的攻陷,攻击者安装后门以窃取密币私钥并获得对密币钱包的访问权限。注:以往发布的部分供应链安全相关内容,请见文末“推荐阅读”部分。

2025-04-24 17:51:54 518

转载 华硕修复严重的AMI 漏洞

Eclypsium 公司在一份相关的报告中提到,“本地或远程攻击者可通过访问远程管理界面 (Redfish) 或BMC 界面 (Redfish) 的内部主机,利用该漏洞。利用该漏洞可导致攻击者远程控制受陷服务器、远程部署恶意软件、勒索软件、固件篡改、导致主板组件(BMC 或可能是BIOS/UEFI)崩溃、还可能造成服务器物理损坏(电压过高/崩溃)及受害者无法停止的重启循环。华硕发布安全更新,修复CVSS评分为10的严重漏洞CVE-2024-54085,它可导致攻击者劫持并导致服务器崩溃。

2025-04-24 17:51:54 510

转载 Active! mail 中的RCE 0day漏洞用于攻击位于日本的机构

因此,为客户安全考虑,谨慎起见,我们临时暂停了 Active!上周晚些时候,Qualitia 公司发布基于栈的缓冲溢出漏洞CVE-2025-42599(CVSS v3 9.5)的安全通告提到,该漏洞影响所有受支持OS平台上 BuildInfo: 6.60.05008561 及以下的所有 Active!日本CERT 为那些无法立即应用安全更新的人员提出了多项具体的缓解措施,包括配置WAF启用HTTP请求主题检查,以及如果multipart/from-data 标头的大小超过某个门槛则进行拦截。

2025-04-23 18:14:54 553

转载 黑客滥用Zoom远程控制特性盗取密币

这一阶段的诱饵在于,攻击者将Zoom显示名称更名为“Zoom”,因此受害者看到的提示是“Zoom 正在请求对您屏幕的远程控制”,使其看似是来自 Zoom 应用的合法请求。该公司解释称,“对于处理特别敏感的数据或密币交易的组织机构而言,因完全删除 Zoom 客户端所降低的风险通常要比因使用基于浏览器的替换选项而带来的微小不便更重要。黑客组织“难以捕捉的彗星 (Elusive Comet)”通过社工攻击密币用户,利用 Zoom 的远程控制特性诱骗用户以授予机器访问权限。本文由奇安信编译,不代表奇安信观点。

2025-04-23 18:14:54 537

转载 仅有不到一半的可利用漏洞被企业修复,GenAI 漏洞更低

该报告分析了两种不同的数据集。基于Cobalt的渗透分析,结合所调研安全领导者的结果,Cobalt 发现,安全领导人对其组织机构安全性有多“安全”的认识与现实之间存在重大差距。渗透测试即服务 (PTaaS) 的先锋、攻击性安全服务领先提供商 Cobalt 发布第七份年度《渗透测试现状》报告披露称,在所有可被利用的漏洞中,被组织机构修复的不到一半,而仅有21%的生成式AI app中的漏洞得到修复。81%的安全领导人对自家公司的安全态势“自信满满”,尽管所发现的31%的安全问题并未被解决。

2025-04-22 18:34:26 480

转载 8天,这个被微软认为“低可利用性”的漏洞即遭利用

该漏洞的编号为CVE-2025-24054,是一个NTLM 哈希泄露漏洞,被微软判定为“不太可能”遭利用。只要解压缩该文档,或者在一些情况下,只需在 Windows Explorer 中查看该文件夹,就足以触发一个站外 SMB 认证,泄露受害者的 Net-NTLMv2 哈希到受攻击者控制的远程服务器。仅需最少的用户交互即可触发以及攻击者获取NTLM哈希访问权限的轻易性,使其成为重大威胁,尤其是在这些哈希可用于传递哈希攻击的情况下尤为如此。3月补丁星期二,微软发布安全更新。微软4月补丁星期二值得关注的漏洞。

2025-04-22 18:34:26 468

转载 华硕:启用AiCloud 的路由器中存在严重的认证绕过漏洞

AiCloud 是很多华硕路由器内置的基于云的远程访问特性,可将路由器转换为小型的私有云服务器。用户可通过AiCloud 访问从任何地方经由互联网连接到该路由器的USB驱动上的文件,远程访问流媒体、访问家庭网络和其它云存储服务之间的同步文件,并通过链接与他人共享文件。该漏洞的编号是CVE-2025-2492,CVSS v4评分为9.2,可通过一个特殊构造的请求遭远程利用且无需认证,使其尤为危险。华硕提醒称,启用 AiCloud 的路由器中存在一个认证绕过漏洞,可导致远程攻击者在设备上执行未授权函数执行。

2025-04-21 17:32:11 509

转载 PyTorch 中存在严重的RCE漏洞

最有名的深度学习框架 PyTorch 中存在一个严重的远程命令执行 (RCE) 漏洞CVE-2025-32434,CVSS v4 评分9.3,影响 PyTorch ≤ 2.5.1,位于 torch.load() 函数中。该漏洞由研究员 Ji’an Zhou发现,他提到,“所有人都知道 weights_only=False 是不安全的,所以会用 weights_only=True来缓解该安全问题。PyTorch 免费开源,拥有用户友好的 Python 界面,是全球研究人员和开发人员的心头好。

2025-04-21 17:32:11 553

转载 Atlassian 和思科修复多个高危漏洞

Netplex Json-smart 中存在一个拒绝服务漏洞,可在无需认证的情况下遭利用,已在 Bamboo Data Center and Server、Jira Data Center and Server 和 Jira Service Management Data Center and Server 中修复,该漏洞的编号是CVE-2025-57699。思科还修复了Nexus Dashboard 中的一个中危漏洞,它可导致未认证的远程攻击者判断有效的LDAP 用户账号的用户名。觉得不错,就点个 “

2025-04-18 17:49:23 534

转载 供应链面临的新型网络风险:从第三方厂商到美国关税说起

最近发生多起影响广泛的事件,如2024年全球最大的医疗支付处理企业之一 Change Healthcare 遭勒索攻击,展示了攻击者如何破坏供应链运营,窃取数百万患者多达6TB的受保护的医疗信息。和传统的针对单个组织机构的网络威胁不同,供应链攻击利用的是业务生态系统中最薄弱的环节。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。

2025-04-17 17:33:01 600

转载 CISA为CVE计划续期11个月,MITRE 成立CVE基金会防范

虽然这一结构一直支持该计划的增长,但因其受单一政府赞助,作为全球依靠的资源所需的可持续性和中立性,一直以来都是CVE委员会成员担忧的问题。过去一年,参与成立CVE基金会的人员已形成将该计划转变为专有基金会的策略,消除“漏洞管理生态系统中的单点失败”并确保“CVE计划仍然是全球可信任的、由社区驱动的计划”。虽然CVE基金会计划在不久之后发布关于其过渡期规划的更多信息,但之后的道路仍不明朗,尤其是考虑到CISA已确认MITRE的资助合约已获续签。新成立的CVE基金会。

2025-04-17 17:33:01 568

转载 Apache Roller CVSS 满分漏洞可用于获取持久性访问权限

几周前,Apache Parquet Java 库中被指存在一个严重漏洞CVE-2025-30065(CVSS 10.0),如遭成功利用,可导致远程攻击者在可疑实例中执行任意代码。上个月,Apache Tomcat 受一个严重漏洞(CVE-2025-24813,CVSS 9.8)的影响,并在漏洞详情公开不久后即遭活跃利用。Apache Roller 项目的维护人员在一份安全公告中提到,“Apache 6.1.5之前的版本中存在一个会话管理漏洞,是因为活跃用户会话在密码更改后未正确验证造成的。

2025-04-16 17:37:18 608

转载 美国政府突然断供 CVE和CWE等计划今日终止

政府将继续全力维持MITRE 在支持该计划中发挥的作用。他们担心CVE计划会突然终结,如果服务器关闭以及CVE编号发放机构的CVE API 访问被切断,那么网络安全行业的所有人都将失去追踪新的安全问题的标准化方法。该计划广泛应用于多种网络安全工具中,包括漏洞管理系统等,可允许通过由全球CVE 编号发放机构 (CNAs) 分配的CVE 编号来追踪所有新发现的漏洞,而MITRE 是CVE 的编辑机构和主要的CNA。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

2025-04-16 17:37:18 539

转载 Chrome 136修复已存在20年的浏览器历史隐私风险

Chrome 不会全局存储链接访问,而是通过三个键即链接URL(链接目标)、顶层网站(地址栏域名)和框架来源(渲染该链接的框架来源),对每个已访问链接进行分区。为保持可用性,谷歌还添加了“self-links(自链接)”例外,这样即使用户从其它网站点击了链接,网站上仍然会标记为已访问。问题出在允许网站将链接显示为 ‘:visited(已访问)’,如果用户此前点击过该链接,则会显示区别于默认蓝色链接的其它颜色。谷歌正在修复一个由来已久的隐私问题,可导致网站通过此前访问过的链接来判断用户的浏览历史。

2025-04-15 18:01:34 649

转载 子域名接管:不断增长的软件供应链威胁

其中的一个主要原因是,这些记录旨在指向某个特定的子域名,而该子域名要么过期要么攻击者在组织机构之前进行了注册或为子域名设立了虚拟托管,这种行为一般被称为“悬挂的DNS”。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。“悬挂的DNS”是由DNS记录定义的,它将流量指向一个易受攻击的子域名或资源。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。

2025-04-15 18:01:34 560

空空如也

空空如也

TA创建的收藏夹 TA关注的收藏夹

TA关注的人

提示
确定要删除当前文章?
取消 删除