安全漏洞

最近，有一位客户联系上主机邦，需要解决网站漏洞问题，原因他们公司的网站因为被当地网安扫描到有高危安全问题，被要求整改，但由于他们公司的网站是找别人做的，没有程序员，不知道如何修改，所以联系上主机邦，看怎么处理。 可别小看了这个整改通知，这个整改具有强制性的，根据《中华人民共和国网络安全法》第五十九条，网络运营者不履行网络安全保护义务的，由有关主管部门责令改正，给予警告；拒不改正或者导致危害网络安全…

Exim是一款广泛使用的邮件传输代理（MTA）软件，主要用于类Unix系统，如Linux和macOS。近期，Exim被曝出存在多个严重的安全漏洞，这些漏洞使得攻击者能够绕过邮件服务器的安全保护机制，向用户发送恶意软件。 漏洞详情 最新的漏洞编号为CVE-2024-39929，影响超过150万台SMTP邮件服务器。该漏洞源于Exim在解析RFC-2231标头时的错误，这种标头负责管理电子邮件附件中文…

5月5日消息，国外媒体报道称，微软近期披露了一个被命名为“Dirty Stream”的重大安全漏洞，该漏洞使得攻击者能够控制应用程序并窃取用户的敏感信息。微软指出，这一问题并非孤立事件，许多广泛使用的Android应用程序普遍存在这类漏洞，包括下载量超过10亿次的小米文件管理器和大约5亿次下载的WPS Office。目前，这两家软件供应商均已确认其产品中存在的安全隐患。 微软的研究团队强调了受影响…

4 月 23 日消息，代码托管网站 GitHub 被曝高危严重漏洞，存在于 comment 文件上传系统中，黑客利用该漏洞可以分发各种恶意软件。 用户可以将文件上传到指定 GitHub comment 中（即便该条 comment 并不存在），也会自动生成下载链接。此链接包括存储库的名称及其所有者，可能会诱使受害者认为该文件是合法的。 而且该漏洞并不需要任何复杂的专业技术，只需要上传恶意文件到指定…

根据最新消息，网络安全公司 Varonis Threat Labs 近日发布博文，披露了存在于微软 SharePoint 中的两个漏洞，被黑客利用后可下载日志文件。 博文中介绍了两种攻击方式，第一种方法是攻击者使用 PowerShell 脚本结合 SharePoint 的客户端对象模型来尝试下载文件，不过这种操作实际上不会下载文件，而是访问相关日志，因此管理员很难检测到未经授权的数据下载。 第二种…

事件概述 近期，多款已停止支持的D-Link网络附加存储（NAS）设备被曝出存在严重的安全漏洞。这个漏洞的追踪编号为CVE-2024-3273，它主要涉及到通过“system”参数的命令注入问题，以及针对硬编码账户（用户名：“messagebus”和空密码）的后门，可以在设备上执行远程攻击命令。 影响设备 据研究，受影响的设备型号包括DNS-320L Version 1.11, Version 1…

9 月 16 日消息，美国国家标准及技术研究所（NIST）近日发布安全公告，发现谷歌推出的 WebP 图片格式存在堆缓冲区溢出漏洞。 这个漏洞追踪编号为 CVE-2023-4863，谷歌表示目前已经发现了相关证据，表明有黑客利用该漏洞发起攻击。 这个漏洞是由于在 Webp 的逻辑处理中没有正确实现哈夫曼表，BuildHuffmanTable 函数中存在越界写入问题，攻击者可能通过构造恶意数据执行任…

6月10日 消息:根据一项最新研究显示，英伟达的人工智能软件中的一个功能存在安全限制的漏洞，可以被操控以透露私人信息。 英伟达开发了一个名为「NeMoFramework」的系统，允许开发人员使用各种大型语言模型，这些模型是生成式AI产品（如聊天机器人）的核心技术。 这款芯片制造商的框架旨在被企业采用，比如将公司的专有数据与语言模型结合起来，以提供对问题的回答。例如，它可以复制客服代表的工作或为寻求…

TLS 1.3(Transport Layer Security version 1.3)是TLS协议的最新版本，于2018年发布。TLS是一种用于在客户端和服务器之间提供安全通信的协议，通常用于Web浏览器和服务器之间的数据传输。TLS 1.3主要是为了解决TLS 1.0和TLS 1.1中的一些安全漏洞而发布的。 TLS 1.3的主要特性包括： 安全性增强 :TLS 1.3引入了新的安全机制，如…

3月30日 消息:据外网消息，目前主流的 Java EE轻量级开源框架Spring被曝JNDI注入漏洞，该CVE编号为0day，漏洞评级为高危。 据了解，受漏洞影响条件包括：1、JDK 版本号 9 及以上的；2、使用了Spring 框架或衍生框架。建议开发者进行JDK版本号（注：如果版本号小于等于8，则不受漏洞影响）和Spring框架使用情况进行排查。 业内人士分析，本次Sprintboot漏洞严…

一个月前，GitHub 开始和社区讨论对安全研究、恶意软件和漏洞相关政策的调整，目的是启用、欢迎和鼓励 GitHub 上双重用途安全研究和合作。这个讨论得到了安全研究社区、项目维护者和开发者的广泛支持，他们通过 pull request（PR）分享了反馈意见，并针对这个主题进行了深入的探讨。 GitHub 根据社区的反馈意见，对政策进行了一些关键性变化： ● 明确允许双重用途的安全技术和与研究漏洞…

在 Windows 10 计算机上，微软部署了名为 CET 的控制流缓解措施，以实现硬件增强的堆栈保护。现在，Google Chrome 浏览器也借鉴了这一方案，为所有兼容设备引入了增强型的漏洞利用防护特性。据悉，这项措施能够阻止攻击者在 Windows 10 2004 及以上版本的英特尔 11 代 / AMD Zen 3 处理器上利用相关安全漏洞。 （来自：Tech Community） 硬件强…

据外媒报道，日前，许多Twitter用户突然无法访问该服务平台。虽然老Twitter用户还记得这个社交媒体网站的“fail whale(故障的鲸鱼)”经常出现的时候，但现阶段它通常是稳定的，最近一次重大问题则是因7月份的安全漏洞而出现过。 现在Twitter的API状态页面报告指出，该公司正在“调查Twitter API的违规行为”，而据中断跟踪器Down Detector称，在美国东部时间下午5…

漏洞奖励平台HackerOne日前宣布，截至 2020 年 5 月 26 日，已经向全世界的白帽黑客支付了 1 亿美元的奖励。 该平台CEOMårten Mickos表示，自从HackerOne开始向客户提供漏洞报告以来， 漏洞赏金猎人已经发现了大约 17 万个安全漏洞。其中，超过 70 万名白帽黑客已经为超过 1900 名HackerOne客户的产品提交安全漏洞获得报酬。 数据显示，Hacker…