【处置手册】Jackson-databind远程代码执行漏洞处置手册(CVE-2017-17485)

Jackson-databind在2018年初又被爆出了一个远程代码执行漏(CVE-2017-17485),受影响的版本有:2.9.3、2.7.9.1、2.8.10及之前的版本。该漏洞是由于Jackson黑名单过滤不完整,当开发人员在应用程序中通过ObjectMapper对象调用enableDefaultTyping方法时,程序就会受到此漏洞的影响,攻击者就可利用构造的包含有恶意代码的json数据包对应用进行攻击,直接获取服务器控制权限。目前针对该漏洞利用的POC已经公开,请受影响的用户及时更新版本进行修复。

阅读全文 “【处置手册】Jackson-databind远程代码执行漏洞处置手册(CVE-2017-17485)” »

【邮件安全】收到特朗普发来的邮件之后,你该怎么办?

在日常工作中,我们的邮箱每天会有大量邮件的往来。然而,由于邮件客户端本身的漏洞,一些风险就蕴藏在其中,需要引起大家足够的关注。

这不,在今天下午,我的邮箱就收到了好几封来自TeLangPu@whitehouse.gov的邮件。具体的邮件内容,涉及到我和美国总统之间的隐私,在此忽略不提。但我们看到,在Outlook的界面,发件人确实显示的是来自白宫的官方域名。那么,这是什么原因造成的,我们是否能有效进行防范呢?

阅读全文 “【邮件安全】收到特朗普发来的邮件之后,你该怎么办?” »

【干货分享】全球架构师峰会见闻

ArchSummit全球架构师峰会是InfoQ中国团队推出的面向高端技术管理者、架构师的技术大会。大会中展示了先进技术在行业中的最佳实践,以及技术在企业转型、发展中的推动作用。本篇文章分享了此次大会中的精华内容,包括企业IT架构改进和优化的思路、微服务架构模式,以及大数据平台的构想。

阅读全文 “【干货分享】全球架构师峰会见闻” »

【预警通告】macOS本地用户任意密码解锁App store

近日,macOS 10.3被曝出存在一个bug,任何本地用户可以使用几乎任何密码来解锁App Store的偏好设置。这个bug只适用于本地管理员身份的用户,在非管理员的本地用户登录时,不能使用任意密码解锁偏好设置。

虽然这并不像最近那个可以通过不重复地输入密码来获得macOS root权限的bug那样严重,但它确实证明macOS中有一些关于如何使用密码的严重问题。

阅读全文 “【预警通告】macOS本地用户任意密码解锁App store” »

【预警通告】Microsoft Office内存破坏漏洞 (CVE-2018-0802)

本周二微软发布的月度安全更新中修复了一个最新的Office漏洞(CVE-2018-0802)。该漏洞为Office公式编辑器的最新漏洞,源于对象在内存中的处理不当(微软Office内存破坏漏洞),用户在打开由攻击者特制的一份Office文档时会直接触发该漏洞。

阅读全文 “【预警通告】Microsoft Office内存破坏漏洞 (CVE-2018-0802)” »