Google呼吁政府参与和保护关键开源项目 避免Log4j漏洞重演

......。这就是为什么关键基础设施和国家安全系统的许多方面都采用了它。但没有官方的资源分配,也没有什么正式的要求或标准来维护该关键代码的安全。事实上,大多数维护和加强开源安全的工作,包括修复已知的漏洞,都是在临时的、自愿的基础上完成的”。长期以来,开源开发的资金和资源短缺一直被作为一个安全问题提出来,在发现 Log4j Java 库的一个严重漏洞后,这个问题再次成为一个关键问题,该漏洞迅速成为近年...

2G网络漏洞威胁大 新版Android加入开关允许用户手动关闭

以轻松拦截用户的电信及短信,甚至不需要发送任何数据包就能黑进手机。其次,2G网络中没有基站认证技术,所以伪基站盛行,很多人接收到的垃圾短信及骚扰电话很可能就是伪基站做的,诈骗很多。从4G网络开始,这些漏洞逐渐被修复,但是有基站模拟器可以降级到2G网络,继续使用之前的漏洞,所以现在也有手机用户可能遭遇2G的安全问题。针对这个问题,谷歌在新版安卓系统中已经加入了新的选择,在SIM卡设置中可以启用或者禁用“...

国外少年发现特斯拉漏洞:无需钥匙可开走 已入侵25辆

日前,据报道,国外一少年发现了特斯拉一处软件漏洞,入侵后可解锁车窗,控制车内安全警报,甚至无需钥匙就开走车辆。19岁的德国安全研究人员大卫·科伦坡(David Colombo)日前表示,他在特斯拉的系统中发现一处软件漏洞,并通过该漏洞远程入侵了13个国家的逾25辆特斯拉电动汽车,使其关闭安全系统。科伦坡自称为“信息技术专家”,当地时间周二在Twitter上称,特斯拉汽车的该软件漏洞允许他远程打开门窗,...

19岁少年远程入侵25辆特斯拉汽车 称利用软件漏洞

据报道,19岁的德国安全研究人员大卫·科伦坡(David Colombo)日前表示,他在特斯拉的系统中发现一处软件漏洞,并通过该漏洞远程入侵了13个国家的逾25辆特斯拉电动汽车,使其关闭安全系统。科伦坡自称为“信息技术专家”,当地时间周二在Twitter上称,特斯拉汽车的该软件漏洞允许他远程打开门窗,无需钥匙就能启动汽车,还能关闭车辆的安全系统。科伦坡还称可以看到车内是否有司机,打开车辆的音响系统,并...

微软发布补丁 修复HTTP协议堆栈远程执行代码漏洞

针对近期曝光的 Windows 桌面和服务器高危漏洞,微软在本月的补丁星期二活动日中发布了一个补丁。该漏洞存在于 HTTP 协议栈(HTTP.sys)中,只需向利用 HTTP 协议栈(http.sys)处理数据包的目标服务器发送一个特制的数据包就可以被利用。攻击者甚至不需要经过认证。幸运的是,目前还没有 CVE-2022-21907 的概念验证代码被发布,而且也没有证据表明该漏洞已经被黑客利用。在 W...

CISA主管:Log4j漏洞影响巨大 安全业面临一场持久战

美国网络安全与基础设施安全局(CISA)高级官员周一表示,安全专业人员将在很长一段时间内,与严重的 Log4j 安全漏洞作斗争。如果未打补丁或无视修复,一个月前在 Apache Log4j 中曝光的 Java 日志库安全漏洞,将给互联网带来巨大的风险。网络攻击者可利用广泛使用的软件中的漏洞,接管受害计算机和服务器,进而使消费电子产品和政企系统全面沦陷。(截图 via NIST)在周一的电话会议期间,C...

微软公开macOS漏洞“Powerdir”细节 苹果已更新修复

Microsoft's 365 Defender Research 团队今天上午公开了称之为“Powerdir”的 macOS 漏洞细节,该漏洞让攻击者绕过 Transparency、Consent 和 Control(TCC)技术,获得对受保护数据的未授权访问。在 12 月发布的 macOS Monterey 12.1 更新中,苹果已经解决了 CVE-2021-30970 漏洞,因此已经更新到最新版...

密苏里州州长仍坚持要起诉分享教育部门网站安全漏洞的记者

据Techdirt报道,密苏里州州长迈克·帕森仍坚持要起诉分享该州教育部门网站安全漏洞的记者。《圣路易斯邮报》记者近日发现,该州初等和中等教育部门(DESE)网站的程序设计非常不安全,其漏洞可以让任何人发现系统中每个教师和管理人员的社会安全号码(包括那些不再受雇的人)。对该漏洞的报道完全是按照道德披露的最佳做法进行的--获得足够的漏洞证据,提醒州政府注意这个问题,在漏洞被修复之前不发表任何东西。美国联...

复旦教授发现400多个Android漏洞 谷“鸽”16个月后才修复

去年 9 月向谷歌提交的 400 多个漏洞,一直拖到今年年底才修复完。而且还不是一般的小漏洞,是让“市面所有活着的安卓设备变砖头”的高危漏洞。这些漏洞由复旦大学计算机学院的一位教授杨珉与他的同事们一起整理提交。杨珉教授公开了几封与Android安全团队之间的往来邮件,表示自漏洞提交到被Google修复以来,不知道收到了多少次 Delay:嗯,就像是这样的:不幸的是,为了确保这个漏洞在发布前被完全解决,...

微软发布导致Exchange服务器故障的FIP-FS Y2K22漏洞修复方案

就在前天跨年时,微软的Exchange用户被一个2022年虫影响,该错误阻止了电子邮件的发送。FIP-FS反恶意软件扫描器中的"2022年"日期移出错误导致系统提示"FIP-FS扫描过程初始化失败。这个错误让许多系统管理员的跨年夜庆祝活动戛然而止,微软在假期也没有闲着,短短两天就针对这一问题发布了一个官方修复。任何遇到该问题的人都可以手动应用该修复程序,或使用自动脚本来处理故障。微软在其支持论坛的帖子...
© 2022 LMLPHP 关于我们 联系我们 友情链接 耗时0.021518(s)
2022-01-28 19:36:05 1643369765