Zabbix SQL Injection Vulnerability Technical Analysis and Solution

On August 12, 2016, 1n3 disclosed by email an SQL injection vulnerability in jsrpc.php in Zabbix, which can be exploited via the “insert” statement while jsrpc.php is processing the profileIdx2 parameter. This vulnerability is of the same type as the officially announced vulnerability, which is caused by latest.php processing the toggle_ids parameter. The only difference between the two is the location.

阅读全文 “Zabbix SQL Injection Vulnerability Technical Analysis and Solution” »

Google Chrome V8漏洞技术分析与防护方案

Google Chrome V8引擎3.20至4.2版本中存在远程代码执行漏洞,该漏洞是由于源代码中“observe_accept_invalid”异常类型被误写为“observe_invalid_accept”。攻击者可利用该漏洞造成kMessages关键对象信息泄露,执行任意代码。基于Android 4.4.4至5.1版本系统的WebView控件开发的手机APP均可能受上述漏洞影响。

阅读全文 “Google Chrome V8漏洞技术分析与防护方案” »

【预警通告】Google Chrome V8引擎远程代码执行漏洞威胁

Google Chrome V8引擎3.20至4.2版本中存在远程代码执行漏洞,该漏洞是由于源代码中“observe_accept_invalid”异常类型被误写为“observe_invalid_accept”。攻击者可利用该漏洞造成kMessages关键对象信息泄露,执行任意代码。基于Android 4.4.4至5.1版本系统的WebView控件开发的手机APP均可能受上述漏洞影响。

阅读全文 “【预警通告】Google Chrome V8引擎远程代码执行漏洞威胁” »

工控系统的综合保障思考

与国计民生息息相关的自动化领域正面临着诸如两化融合、工业4.0、智能制造等概念的不断冲击和洗礼,工业化和信息化的结合给封闭的工业控制系统打开了一扇天窗,在享受信息共享与管理便利的同时,影响工业控制系统安全的潘多拉魔盒早已被悄然打开。传统信息系统固有的安全风险不可避免的被带入到了封闭、可靠的工业控制系统当中,这样一来,和工控系统相关的信息安全事件就一件接一件的发生了。

阅读全文 “工控系统的综合保障思考” »