【预警通告】Oracle全系产品2018年1月关键补丁更新

当地时间2018年1月16日,Oracle官方发布了2018年1月关键补丁更新公告(cpu),安全通告以及第三方安全公告等公告内容,修复了237个不同程度的漏洞,包括针对Intel处理器漏洞(Meltdown,Spectre)的相关修复。各产品受影响情况以及可用补丁情况见附录表格。

阅读全文 “【预警通告】Oracle全系产品2018年1月关键补丁更新” »

【处置手册】Jackson-databind远程代码执行漏洞处置手册(CVE-2017-17485)

Jackson-databind在2018年初又被爆出了一个远程代码执行漏(CVE-2017-17485),受影响的版本有:2.9.3、2.7.9.1、2.8.10及之前的版本。该漏洞是由于Jackson黑名单过滤不完整,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。目前针对该漏洞利用的POC已经公开,请受影响的用户及时更新版本进行修复。

阅读全文 “【处置手册】Jackson-databind远程代码执行漏洞处置手册(CVE-2017-17485)” »

【邮件安全】收到特朗普发来的邮件之后,你该怎么办?

在日常工作中,我们的邮箱每天会有大量邮件的往来。然而,由于邮件客户端本身的漏洞,一些风险就蕴藏在其中,需要引起大家足够的关注。

这不,在今天下午,我的邮箱就收到了好几封来自TeLangPu@whitehouse.gov的邮件。具体的邮件内容,涉及到我和美国总统之间的隐私,在此忽略不提。但我们看到,在Outlook的界面,发件人确实显示的是来自白宫的官方域名。那么,这是什么原因造成的,我们是否能有效进行防范呢?

阅读全文 “【邮件安全】收到特朗普发来的邮件之后,你该怎么办?” »

【预警通告】macOS本地用户任意密码解锁App store

近日,macOS 10.3被曝出存在一个bug,任何本地用户可以使用几乎任何密码来解锁App Store的偏好设置。这个bug只适用于本地管理员身份的用户,在非管理员的本地用户登录时,不能使用任意密码解锁偏好设置。

虽然这并不像最近那个可以通过不重复地输入密码来获得macOS root权限的bug那样严重,但它确实证明macOS中有一些关于如何使用密码的严重问题。

阅读全文 “【预警通告】macOS本地用户任意密码解锁App store” »

【预警通告】Microsoft Office内存破坏漏洞 (CVE-2018-0802)

本周二微软发布的月度安全更新中修复了一个最新的Office漏洞(CVE-2018-0802)。该漏洞为Office公式编辑器的最新漏洞,源于对象在内存中的处理不当(微软Office内存破坏漏洞),用户在打开由攻击者特制的一份Office文档时会直接触发该漏洞。

阅读全文 “【预警通告】Microsoft Office内存破坏漏洞 (CVE-2018-0802)” »