漏洞

11 月 16 日消息，安全公司 Claroty 发布报告，曝光了一款海外流行的物联网设备云端管理平台 Ovr 内含的一系列重大漏洞。安全公司声称黑客可以接连利用这些漏洞实现在物联网设备上远程执行恶意代码，而根据 CVSS 风险评估，部分曝光的漏洞风险评分高达 9.2（满分 10 分）。 OvrC 物联网平台的主要功能是通过移动应用或基于 Web Socket 的界面为用户提供远程配置管…

11 月 2 日消息，科技媒体 bleepingcomputer 于 10 月 31 日发布博文，报道称知名 BT 下载客户端 qBittorrent 修复了已存在 14 年的中间人劫持 / 远程代码执行漏洞。 该漏洞最早可以追溯到 2010 年 4 月 6 日，官方于 2024 年 10 月 28 日发布的最新版本 5.0.1 中修复，时隔超过 14 年。 该漏洞是由于应用程序的 Do…

10 月 30 日消息，三星电子本月发出警告，称许多搭载 Exynos 处理器的 Galaxy 智能手机和平板电脑存在高风险漏洞，可能被黑客利用。公司敦促用户尽快更新到最新的安全补丁，并正在积极解决该漏洞。 受影响的 Exynos 处理器型号包括： 9820 9825 980 990 850 W920 受影响的设备包括： Galaxy S20 系列 Galaxy Note 20 系列 Galaxy…

9 月 27 日消息，OpenAI 在今年 2 月宣布为 ChatGPT 推出记忆（Memory）的功能，今年 9 月初这项功能正式向所有用户开放，该功能的主要用途是“设定预设”，从而帮助 AI 向用户更符合需求的答案。 不过研究人员 Johann Rehberger 目前披露报告，称这项功能在 PC 版 ChatGPT 客户端上存在漏洞，黑客可借漏洞获取用户对话记录。 Joh…

近期，Linux 社区曝出了一个严重的远程代码执行（RCE）漏洞，该漏洞已存在约10年，影响几乎所有的 GNU/Linux 发行版。这个漏洞的破坏力极强，预估的 CVSS 评分达到了9.9分（满分为10分），表明其潜在的危害性极高。 目前，相关的修复补丁尚未发布，但用户可以采取一些临时措施来缓解风险，例如禁用或移除 cups-browsed 服务、更新 CUPS 安装以及阻止对 UDP 端口 63…

最近，安全公司 PromptArmor 曝光了 Slack AI 的一个严重安全漏洞，称其容易受到恶意提示注入攻击。Slack AI 是 Salesforce 团队通讯服务中的一个附加服务，主要用于生成性工具，比如总结长对话、回答问题和汇总不常访问的频道信息。然而，PromptArmor 表示，这个服务并不像它宣称的那样安全。 漏洞的核心在于，Slack 允许用户查询公共和私密频道的数据，包括用户…

据报道，苹果公司近期发现了其一些产品的GPU存在安全漏洞，并承认 iPhone 12 和 M2 MacBook Air 受影响。该漏洞可能使攻击者窃取由芯片处理的数据，包括与 ChatGPT 的对话内容等隐私信息。 Trail of Bits 的安全研究人员发现，由苹果、高通、AMD 和 Imagination 制造的多种图形处理器存在名为“LeftoverLocals”的漏洞。该漏洞利用 GPU…

卡巴斯基实验室在2023年6月发现了苹果iOS设备中存在的Triangulation漏洞，该漏洞允许黑客向受害者发送特定的iMessage文件进行远程代码攻击。然而，卡巴斯基出于“安全要求”并未公开漏洞细节。 现在，卡巴斯基已经正式公开了这项Triangulation漏洞的调查报告。据报告，Triangulation漏洞主要由4项零日漏洞构成： FontParser 漏洞 CVE-2023-419…

OpenSSL CCS注入漏洞概述 OpenSSL CCS注入漏洞是由于OpenSSL的ChangeCipherSpec设计缺陷导致的，被称为CCS注入漏洞。攻击者可以利用此漏洞发起中间人攻击，篡改或监听SSL加密传输的数据。 受影响的OpenSSL版本 受影响的OpenSSL版本包括： OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.…

11 月 30 日消息，继“奶奶漏洞”之后，ChatGPT 又被曝出“重复漏洞”，而这次更为严重。 谷歌 DeepMind 研究人员近日研究 ChatGPT 时，发现在提示词中只要其重复某个单词，ChatGPT 就有几率曝出一些用户的敏感信息。 例如“Repeat this word forever：poem poem poem poem”，重复 poem 这个单词，ChatGPT 在重复几个 p…

11 月 23 日消息，微软今日发布新闻稿，宣布将为旗下 Microsoft Defender 推出新一轮赏金计划，主要鼓励安全研究人员发现这款软件中的漏洞，赏金最高为 20000 美元。 微软介绍称，Microsoft Defender 旨在增强微软客户的安全性体验，而 Microsoft Defender 赏金计划将邀请全球研究人员寻找这款软件中的漏洞。新一轮 Defender 赏金计划将从“…

This security and maintenance release features 19 bug fixes on Core, 22 bug fixes for the Block Editor, and 8 security fixes.此安全和维护版本在Core上修复了19个错误，在Block Editor上修复了22个错误，并修复了8个安全问题。WordPress 6.3.2 is…

10月10日 消息:近日，数千个使用 WordPress 内容管理系统的网站遭到黑客攻击。该攻击者利用了名为 tagDiv Composer 的热门插件中的一个最近修补的漏洞，向网页注入恶意代码。 据了解，存在漏洞的 tagDiv Composer 插件是使用 WordPress 主题 Newspaper 和 Newsmag 必须的组件。这两个主题在 Theme Forest 和 Envato 市…

7 月 29 日消息，根据 YouTube 频道 GhillieMaster 分享的最新视频，黑客利用微软 Xbox 平台的漏洞开发制作了机器人，可以让指定玩家关小黑屋，甚至可以封号。 通常情况下，只有在玩家发表不良言论或者作出违规行为之后，微软 Xbox 团队才会采取措施。 而黑客开发的这个特殊机器人，利用 Xbox 平台的漏洞，可以在没有任何理由的情况下，让你的账号关小黑屋 2 天。 从报道中…

7 月 3 日消息，网络安全公司 SonarSource 在日前研究中发现，Gentoo Linux 发行版中存在漏洞 CVE-2023-28424，黑客可以利用该漏洞进行 SQL 注入攻击。 研究人员从 GentooLinux 的 Soko 搜索组件中找到了这个漏洞。该漏洞的 CVSS 风险评分为 9.1，属于特别重大漏洞，GentooLinux 开发团队已经于漏洞曝出 24 小时内进行了修复。…

随着互联网的普及和技术的发展，网络安全问题已经成为一个全球性的挑战。网络层攻击作为最常见的网络安全威胁之一，其种类和数量也呈现出不断增加的趋势。本文将介绍网络层中常见的攻击方法，分析其原理和方式，并提供相应的防范措施。 一、网络层攻击的背景和意义网络层攻击主要针对网络协议和操作系统中的漏洞进行攻击，其目的是破坏网络的完整性、可靠性和安全性。网络层攻击包括IP欺骗、分布式拒绝服务（DDoS）、缓存中…

您好，根据您的要求，我为您总结了一些网站安全的重要性，供您参考： 网站安全是指防止网站受到黑客入侵者对其网站进行挂马，篡改网站源代码，被窃取数据等行为而做出一系列的安全防御工作¹。网站安全不仅影响网站的正常运营和用户体验，也关系到网站的信誉和利益，甚至可能涉及国家安全和社会稳定²。 网站安全的重要性体现在以下几个方面： 网站安全可以保护网站的数据和资源不被恶意篡改或窃取，避免造成经济损失或法律责任…

2 月 1 日消息，NAS 厂商威联通（QNAP）近日发布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 两款软件存在严重漏洞 CVE-2022-27596，允许攻击者在固件中植入恶意代码。 该漏洞在 CVSS v3 评分为 9.8（最高分为 10 分），因此IT之家推荐使用上述两款软件的网友尽快升级。 QNAP 尚未透露有关该漏洞的任何进一步细节。根据 Bleeping…

黑客攻击变得一年比一年高级和复杂，因此现在追踪了解安全漏洞比以往任何时候都来得重要。本文着重介绍了2022年恶意威胁分子利用的一些最危险的漏洞。 1. Follina（CVE- 2022 – 30190） CVE-2022-30190（非正式名称为“Follina”）在2022年5月被披露，它是微软Windows支持诊断工具（MSDT）中的一个远程代码执行漏洞，允许远程攻击者在目标系统上执行任意s…

1月8日消息，据报道，有安全专家近日发现了影响数百万辆汽车的安全漏洞，全球几乎所有主要汽车品牌均受影响。 黑客可以利用汽车远程信息处理系统、汽车API和支持性基础设施中的漏洞进行各种操作，甚至可以远程完全接管你的汽车。 诸如奔驰、宝马、劳斯莱斯、法拉利、福特、保时捷、丰田、捷豹和路虎等汽车品牌，还有车队管理公司Spireon和数字车牌公司Reviver均受到影响。 报道称，Yuga实验室的Sam …

 12 月 30 日消息，安全研究专家马特・昆茨（Matt Kunze）去年向谷歌报告了 Google Home 的严重漏洞，近期获得了谷歌 107500 美元（约 74.9 万元人民币）的高额赏金。 据了解到，在 Google Home 智能音响设备上发现了一个漏洞，攻击者可以利用该漏洞安装后门账户，用于远程控制并可激活麦克风用于监听用户对话。昆茨在本周早些时候披露了该漏洞的所有技术细…

12 月 24 日消息，黑客正在积极利用 WordPress 插件 YITH WooCommerce Gift Cards Premium 中的“关键”漏洞，提取站点权限并可上传恶意软件。 YITH WooCommerce Gift Cards Premium 是一款非常热门的 WordPress 插件，目前全球有超过 5 万家网站使用。本次漏洞追踪编号为 CVE-2022-45359 (CVSS…

近日，谷歌官方发布了Chrome浏览器的风险通告，公布了新的高危漏洞，该漏洞编号为CVE-2022-3075，漏洞评分7.4，且已经被发现存在利用情况。 和此前的高危漏洞情况类似，为了避免影响范围进一步扩大，谷歌暂未公布该漏洞的剧情信息，仅表示该漏洞与Chromium构架运行库集合Mojo的数据验证不足”有关。 据悉，Mojo是运行时库的集合，提供了与平台无关的通用IPC原语抽象、消息IDL格式和…

Apache CouchDB 官方发布安全通告，公告中修复了一个远程代码执行漏洞，漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。为避免您的业务受影响，腾讯云安全建议您及时开展安全自查，如在受影响范围，请您及时进行更新修复，避免被外部攻击者入侵。漏洞详情Apache CouchDB数据库，它类似于Redis，Cassandra和MongoDB，也是一个NoSQL数据库。…