- 博客(2377)
- 收藏
- 关注
RSS订阅转载 MITRE 公布2024年最严重的25个软件弱点
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士MITRE 从2023年6月至2024年7月披露的超过3.1万个漏洞中,选出2024年25个最常见且危险的软件弱点。软件弱点是指从软件代码、架构、实现或设计中找到的缺陷、bug、漏洞和错误。攻击者可利用这些弱点攻陷易受攻击软件在运行的系统,获得对受影响设备的控制以及访问敏感数据或触发拒绝服务攻击。MITRE 指出,“这些弱点通常易于发现和利用,可...
2024-11-22 16:14:09
112
转载 GitHub 将为提升开源项目安全提供资金支持
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周二,GitHub宣布将通过提供资金支持、教育、认证等方式提升开源项目的安全性和可持续性。GitHub 目前推出开源安全资金支持计划 GitHub Secure Open Source Fund,正在接收项目申请。该计划将为125个开源项目提供总计125万美元的支持,申请截止日期为2025年1月7日。这一资金计划旨在构建由目标一致的维护人员和资...
2024-11-22 16:14:09
109
转载 Oracle 修复已遭利用的 Agile PLM 0day
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,Oracle 修复了位于 Agile 产品生命周期管理 (PLM) 中的、已遭利用的高危信息泄露漏洞CVE-2024-21287(CVSS评分7.5)。该漏洞影响 Agile PLM 9.3.6版本,可在未认证的情况下遭远程利用。Oracle 在安全公告中致谢报送该漏洞的CrowdStrike公司研究员 Snape 和 Lutz Wolf,...
2024-11-21 17:35:05
150
转载 这个 root 漏洞已存在10+年之久,影响Ubuntu Linux
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Ubuntu Linux 使用的工具 needrestart 中存在五个本地提权 (LPE)漏洞,它们早在10多年前发布的版本21.04中就已被引入。这些漏洞由Qualys 公司发现,编号为CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224和CVE-2024-11003。这些漏洞...
2024-11-21 17:35:05
140
转载 微软推出 Zero Day Quest 黑客活动,奖金池达400万美元
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今天,微软在伊利诺伊州芝加哥市举办的 Ignite 年度大会上宣布,推出专注于云和AI产品和平台的漏洞奖励新计划:Zero Day Quest。Zero Day Quest 从今天起生效,共分两部分:研究挑战和在华盛顿州雷德蒙德举办的2025年现场黑客大赛(受邀制)。研究人员如能从特定场景中找到并提交漏洞,则可获得多倍奖励,所有人均可参加,持续时...
2024-11-20 17:30:33
176
转载 补丁不给力,VMware vCenter 严重RCE漏洞遭利用
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士博通未能一次修复后,VMware vCenter 中的两个严重漏洞已遭利用。其中一个是可导致远程代码执行 (RCE) 后果的堆溢出漏洞CVE-2024-38812,另外一个是CVE-2024-38813。博通在9月17日首次尝试修复这两个漏洞,但之后承认“未能完全修复”任何一个漏洞,因此在十月发布补丁更新。当时,博通为这两个 vCenter 漏洞...
2024-11-19 18:13:34
198
转载 DHS发布在关键基础设施安全开发部署AI的框架
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国国土安全部 (DHS) 发布如何在关键基础设施中安全开发和部署人工智能 (AI) 的建议。该建议适用于AI供应链中的所有参与方,如云和计算基础设施提供商、AI开发这以及关键基础设施所有人和运营商。同时还为公民社会和公共组织机构提供了建议。该建议名为《人工智能在关键基础设施中的角色和责任》,旨在审视五个关键领域中的每个角色:保护环境、驱动负责任...
2024-11-19 18:13:34
185
转载 僵尸网络利用 GeoVision 0day 安装 Mirai 恶意软件
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士一个恶意软件僵尸网络正在利用已达生命周期的 GeoVision 设备中的一个 0day 漏洞发动 DDoS 或密币挖掘攻击。该漏洞是CVE-2024-11120,是由 The Shadowserver Foundation 公司的研究员 Piort Kijewski 发现的。它是一个严重的(CVSS v3.1 9.8)的命令注入漏洞,可导致未认证...
2024-11-18 17:38:47
217
转载 12年来最严重的 WordPress 漏洞,可大规模接管管理员权限
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士WordPress 插件 “Really Simple Security”(此前被称为 “Really Simple SSL”)的免费和专业版本均受一个严重的认证绕过漏洞影响。Really Simple Security 是 WordPress 平台的一个安全插件,提供SSL配置、登录暴露、双因素认证层以及实时漏洞检测服务。其免费版本已用于超过4...
2024-11-18 17:38:47
217
转载 PostgreSQL 高危漏洞可导致环境变量被利用
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全研究员披露了位于开源数据库系统 PostgreSQL 中的一个高危漏洞,它可导致低权限用户修改环境变量,并可能导致代码执行或信息泄露后果。该漏洞的编号是CVE-2024-10979,CVSS评分8.8。环境变量是指用户定义的值,它们可允许程序在运行时动态提取多种信息类型如访问密钥和软件安装路径,而无需进行硬编码。在某些操作系统中,它们会在...
2024-11-15 17:35:46
310
转载 ChatGPT 可导致访问底层沙箱OS和“工作指南”数据
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士OpenAI 公司的 ChatGPT 平台提供了对大语言模型 (LLM) 沙箱的高级别访问权限,可导致攻击者上传程序和文件、执行命令并浏览沙箱的文件结构。ChatGPT 沙箱是一种隔离环境,可使用户在与其它用户和主机服务器隔离的情况下,安全地交互。ChatGPT 沙箱限制对敏感文件和文件夹的访问权限、拦截对互联网的访问权限并尝试现在可用于利用缺陷...
2024-11-15 17:35:46
292
转载 FBI、CISA和NSA公布2023年利用最频繁的15个漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士FBI、NSA和五眼联盟的网络安全当局发布了2023年利用最频繁的15个漏洞清单。周二,这些机构发布该清单,呼吁全球范围内的组织机构立即修复这些漏洞并不糊打补丁管理系统,将攻击风险降至最低。这些机构提醒称,“相比2022年,恶意网络人员在2023年利用更多的0day漏洞攻陷企业网络,对更高优先级的目标发动网络攻击。2023年,多数利用频率最高的漏...
2024-11-14 17:52:04
310
转载 谷歌AI平台存在漏洞,可泄露企业的专有LLMs
聚焦源代码安全,网罗国内外最新资讯!作者:Elizabeth Montalbano编译:代码卫士谷歌修复了用于定制大语言模型 (LLMs) 开发和部署的平台 Vertex AI 中的两个漏洞,它们可导致攻击者从系统中提取企业的专有模型。该漏洞再次凸显了AI技术遭恶意操纵后给业务用户带来的危险。Palo Alto Networks 公司 Unit 42 团队的研究人员在 Vertex AI 平台中...
2024-11-14 17:52:04
313
转载 刚刚,Citrix 修复两个易遭利用的0day漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士在漏洞被公开披露后,Citrix 公司终于非常迅速地发布补丁,修复了位于 Citrix Virtual Apps and Desktop 技术中的两个漏洞(CVE-2024-8068和CVE-2024-8069),它们可导致远程攻击者在易受攻击系统上提权或执行代码。Citrix 将这两个RCE漏洞描述为仅有之前认证过的攻击者才能滥用的漏洞。然而,...
2024-11-13 17:35:48
437
转载 微软11月补丁星期二值得关注的漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软在本月补丁星期二中修复了91个漏洞,含四个0day漏洞,其中两个正遭活跃利用。微软本次修复的漏洞如下:26个提权漏洞2个安全特性绕过漏洞52个远程代码执行漏洞1个信息泄露漏洞4个拒绝服务漏洞3个欺骗漏洞此外,微软还在11月7日修复了两个 Edge 漏洞。四个0day漏洞在这四个0day 漏洞中,两个已遭活跃利用,三个遭公开披露。微软对0da...
2024-11-13 17:35:48
362
转载 恶意PyPI 包窃取AWS密钥
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士一个名为 “fabrice” 的恶意Python 包自2021年起就出现在 PyPI 中,从不知情的开发人员手中窃取 Amazon Web Services 的凭据。应用安全公司Socket提到,该包的下载量已超过3.7万次,并在 Windows 和 Linux 系统上执行特定脚本。该恶意包 fabrice 是对合法 SSH 远程服务器管理包 “...
2024-11-12 17:59:39
358
转载 黑客利用ZIP文件拼接逃避检测
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士黑客正在通过ZIP文件拼接技术攻击Windows 机器,以压缩文档的形式交付恶意payload,躲避安全解决方案的检测。这种技术利用的是 ZIP 解析器和文档管理器处理拼接ZIP文件的不同方法。这种新趋势由 Perception Point 公司发现。该公司在分析通过虚假交付通知手段实施钓鱼攻击时,发现内含木马的一个拼接的ZIP文档。研究人员发现...
2024-11-12 17:59:39
365
转载 D-Link 决定不修复这个严重漏洞,影响6万多台 NAS 设备
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士超过6万台已达生命周期的 D-Link NAS 设备易受命令注入漏洞 (CVE-2024-10914) 影响且利用已公开。该漏洞的CVSS评分为9.2,位于 “cgi_user_add” 命令中,因该名称参数的清理不充分而导致。未认证攻击者可将特殊构造的HTTP GET 请求发送到设备,利用该漏洞注入任意 shell 命令。该漏洞影响常被小企业使...
2024-11-11 18:33:57
448
转载 Palo Alto Networks:注意潜在的 PAN-OS RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络安全公司 Palo Alto Networks 提醒客户称,应限制对下一代防火墙的访问权限,因为PAN-OS 管理接口中可能存在一个远程代码执行漏洞。Palo Alto Networks 公司在上周五发布安全公告提到,尚未发现关于该漏洞的其它信息,并提到也并未检测到漏洞遭活跃利用的迹象。该公司提到,“Palo Alto Networks 公司...
2024-11-11 18:33:57
431
转载 HPE:Aruba Networking 访问点中存在严重的RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士HPE (慧与) 公司发布了 Instant AOS-8和AOS-10 软件更新,修复了位于 Aruba Networking Access Point 中的两个严重漏洞CVE-2024-42509和CVE-2024-47460,它们的CVSS评分分别是9.8和9.0。这两个漏洞可导致远程攻击者通过将特殊构造的数据包经由 UDP 端口8211发送...
2024-11-08 18:21:09
458
转载 供应链攻击利用以太坊智能合约分发多平台恶意软件
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Checkmarx 安全研究团队最近发布报告,披露了一起针对NPM生态系统的复杂供应链攻击。其中涉及一款恶意包 jest-fet-mock,它利用以太坊智能合约管理C2基础设施。该恶意软件针对 Windows、Linux 和 macOS 系统,表明了供应链攻击尤其是开发者环境中的一种新的复杂情况。该攻击最值得关注的一个方面是使用以太坊智能合约进行...
2024-11-08 18:21:09
410
转载 思科满分漏洞可使黑客以root身份运行任意命令
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科修复了一个CVSS评分为10分的漏洞 (CVE-2024-20418),它可导致攻击者以 root 权限在为工业无线自动化提供连接的易受攻击的 URWB 访问点上运行命令。该漏洞位于思科Unified Industrial Wireless Software 的 web 管理接口中。未认证的威胁行动者可在复杂度低的命令注入攻击中利用该漏洞,而...
2024-11-07 18:33:11
419
转载 Synology:速修复零点击RCE漏洞,影响数百万 NAS 设备
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Synology 已修复影响 DiskStation 和 BeePhotos 的一个严重漏洞,可导致远程代码执行后果,编号是CVE-2024-10443。该漏洞由 Midnight Blue 团队的研究员 Rick de Jager在 Pwn2Own 爱尔兰大赛中发现,被命名为 “RISK:STATION”。“RISK:STATION”是一个“未...
2024-11-06 17:53:53
392
转载 谷歌修复已遭利用的两个安卓 0day 漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌在十一月补丁更新中修复了两个已遭活跃利用的安卓 0day,共计修复51个漏洞。这两个漏洞是CVE-2024-43047和CVE-2024-43093,已被标记为遭有限的针对性攻击。CVE-2024-43047是位于安卓内核中闭源高通组件中的一个高危释放后使用漏洞,可用于提升权限。该漏洞由高通在2024年10月早些时候首次披露,表示它存在于 D...
2024-11-06 17:53:53
437
转载 PTZ摄像头中的严重0day漏洞遭利用
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士攻击者正在尝试利用 PTZOptics pan-tilt-zoom (PTZ) 实时流摄像头中的两个0day漏洞。这些摄像头用于工业、医疗、商业会议、政府和法庭等行业和组织机构。2024年4月,GreyNoise 的AI威胁检测工具 Sift 在蜜罐网络上检测到与任何已知威胁不批拍的异常活动后,发现了CVE-2024-8956和CVE-2024-...
2024-11-05 18:29:59
394
转载 用户名太长的坏处:Okta 修复认证绕过漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Okta 修复了一个认证绕过漏洞,影响拥有长用户名或长域名的用户。该漏洞可导致犯罪分子仅通过一个用户名就通过 Okta 公司的 AD/LDAP 授权验证。不过,只有当满足了一系列条件时,该漏洞才会被利用。其中一个条件是用户名为52个字符或更长。虽然这么长的字符不常见,但一些用户会将邮件地址作为用户名,从而造成了这种可能性。Okta 在安全公告中提...
2024-11-05 18:29:59
361
转载 从Naptime到Big Sleep:通过大语言模型捕获真实代码中的漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士如下是谷歌 Project Zero 发布的一篇文章,详述了 Big Sleep 项目如何发现了传统模糊测试无法发现的0day漏洞,探讨了大语言模型在漏洞研究方面的潜力。引言我们(谷歌Project Zero团队)在之前的一篇文章《Naptime 项目:评估大语言模型的进攻性安全能力》中介绍了大语言模型 (LLMs) 协助下的漏洞研究框架,以及通...
2024-11-04 21:47:42
370
转载 LottieFile 供应链攻击使用户密币钱包易被盗
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士LottieFiles 的一个开发者账户遭攻陷,被用于洗劫用户的密币钱包。LottieFiles 的热门网站动画插件 LittiePlayer 最为人所知,其联合创始人兼首席信息官 Nattu Adnan 在本周四证实称,攻击者利用被盗会话令牌访问了一个高权限开发者的账户并将恶意代码推送给用户。他提到,该代码旨在让 LottieFiles 用户将...
2024-11-01 17:05:45
434
转载 开源客户端qBittorrent 修复已存在14年的RCE漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士qBittorrent 修复了该应用中负责管理下载的组件 DownloadManager 中因 SSL/TLS 验证失败引发的远程代码执行漏洞。该漏洞在2010年4月6日中的一个提交中引入,在14年之后的2024年10月8日的最新发布版本5.0.1中修复。qBittorrent 是一款免费的开源客户端,用于通过 BitTorrent 协议下载和共...
2024-11-01 17:05:45
475
转载 谷歌修复由苹果报送的严重 Chrome 漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周二,谷歌和 Mozilla 宣布为 Chrome 和 Firefox web 浏览器发布安全更新,其中一些漏洞为严重级别。谷歌发布 Chrome 130,修复了两个漏洞。其中一个漏洞是CVE-2024-10487,是位于 WebGPU 标准跨平台实现Dawn 中的一个严重的界外写问题。该漏洞由苹果公司的安全工程和架构 (SEAR) 团队在一周...
2024-10-31 18:13:55
355
转载 这个已存在18年的提权漏洞影响 X.Org 服务器
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士X.Org 服务器中存在一个提权漏洞CVE-2024-9632,它已存在18年之久。该漏洞在2006年发布的 X.Org Server 1.1.1版本中引入,影响 X.Org Server 和 XWayland。向 X.Org Server 提供修改过的 bitmp,就会触发基于堆的缓冲区溢出提权漏洞。该漏洞位于 _XkbSetCompatMap...
2024-10-30 17:47:58
361
转载 研究员在开源AI和ML模型中发现30多个漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士多个开源人工智能 (AI) 和机器学习 (ML) 模型中存在30多个漏洞,其中一些可导致远程代码执行和信息盗取后果。这些漏洞位于多款工具中如 ChuanhuChatGPT、Lunary和LocalAI 中,通过 Protect AI 的 Huntr 漏洞奖励计划报送。其中最严重的是影响大语言模型生产工具包 Lunary的两个漏洞:CVE-2024...
2024-10-30 17:47:58
364
转载 美澳联合发布软件安全部署指南
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国和澳大利亚政府机构强调称,软件制造商应当执行软件安全部署计划,支持和增强产品和部署环境的安全性和质量。美国网络安全机构CISA、FBI和澳大利亚网络安全中心 (ACSC) 为了帮助软件制造商确保产品的可靠性和安全性,设立了软件安全部署流程,同时旨在将高效部署作为软件开发生命周期 (SDLC) 的一部分。这些机构提到,“安全部署流程并非始于第一...
2024-10-29 18:15:52
440
转载 Mozilla:十六进制代码可用于操纵 ChatGPT 写 exp
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士一种新型提示符注入技术可导致任何人绕过 OpenAI 最高阶的语言学习模型中的安全防御措施。今年5月13日发布的 GPT-4o 要比之前的模型更快、更高效、功能更丰富。它能够以数十种语言处理多种不同形式的输入数据,之后以微秒的速度给出回应。它可参与实时对话、分析实时摄像头内容,并维持对用户长时间对话中上下文的理解。然而,在用户生成内容管理方面,G...
2024-10-29 18:15:52
323
转载 因“合规要求”,Linux Kernel 清除了11名俄罗斯开发者的维护者身份
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Linux Kernel 社区正在热议11名开发人员被从子系统维护人员清单中除名一事。这些开发者一般与俄罗斯公司之间存在关联。稳定分支维护人员 Greg Kroah-Hartman 提起了这项变化,表示“多种合规要求”是此举原因,但并未给出具体详情。这种缺乏透明度的做法引发一些社区成员的担忧。一名卓越的 Linux 开发人员 Geert Uytt...
2024-10-28 17:49:45
446
转载 Pwn2Own 2024爱尔兰黑客大赛落下帷幕 Master of Pwn 诞生
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士为期四天的Pwn2Own 爱尔兰黑客大赛落下帷幕。主办方ZDI为所发现的70多个唯一0day共颁发1066625美元的赏金。这是第四次总赏金超过100万美元的大赛。最终,Viettel Cyber Security 团队以33个积分点和205000美元的赏金拔得头筹。如下是对各团队每天的比赛情况概述。第一天比赛情况战绩战队战况成功+成功+成功Vi...
2024-10-28 17:49:45
461
转载 苹果创建 Private Cloud Compute VM 助力漏洞挖掘
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士苹果创建了一个虚拟研究环境,供研究员测试其Private Cloud Compute(PCC,私有云计算)系统的安全,并发布一些“关键组件”的源代码,帮助研究员分析该脚骨的隐私和安全特性。苹果公司还希望改进系统安全性,并将其最高漏洞赏金提升至100万美元,条件是这些漏洞可攻陷“PCC的根本安全和隐私保证”。PCC 是一款云情报系统,用于对用户设备...
2024-10-25 17:40:51
469
转载 思科紧急修复已遭利用的 ASA 和 FTD 软件漏洞
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周三,思科表示修复ASA中一个拒绝服务(DoS)漏洞CVE-2024-20481(CVSS评分5.8)。该漏洞影响思科 ASA 和 FTD 软件的远程访问VPN (RAVPN) 服务,因资源耗尽造成,可被未认证的远程攻击者用于在RAVPN 服务中引发 DoS。思科在安全公告中提到,“攻击者可将大量 VPN 认证请求发送给受影响设备,利用该漏洞,...
2024-10-25 17:40:51
462
转载 CISA 提出安全新要求,保护政府和个人数据安全
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士美国网络安全和基础设施安全局 (CISA) 正在提出新的安全要求,阻止敌对实例访问美国人的个人数据以及政府相关信息。这些要求的对象是参与涉及大量美国敏感个人信息或与美国政府相关数据的受限交易,尤其是该信息被暴露给“令人担心的国家”或“涉及的人员”。这项提案与行政令14117的执行有关。该行政令由美国总统拜登在今年早些时候签署,旨在解决可影响或放大...
2024-10-24 17:29:17
478
转载 谷歌:三星0day漏洞已遭活跃利用
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士三星移动处理器中存在一个0day漏洞 (CVE-2024-44068),正被用于利用链中,实施任意代码执行。该漏洞的CVSS评分为8.1,已在三星十月安全更新中修复。美国标准技术局(NIST)发布安全公告提到,“该漏洞存在于三星 Mobile Processor 和 Wearable Processor Exynos 9820、9825、980、...
2024-10-24 17:29:17
404
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人