微软于周二发布了4月安全更新补丁,修复了76个从简单的欺骗攻击到远程执行代码的安全问题,产品涉及.NET Core、Adobe Flash Player、CSRSS、Microsoft Browsers、Microsoft Edge、Microsoft Exchange Server、Microsoft Graphics Component、Microsoft JET Database Engine、Microsoft Office、Microsoft Office SharePoint、Microsoft Scripting Engine、Microsoft Windows、Microsoft XML、Open Source Software、Servicing Stack Updates、Team Foundation Server、Windows Admin Center、Windows Kernel以及Windows SMB Server。
近日,Confluence官方发布了SSRF漏洞(CVE-2019-3395)及远程代码执行漏洞(CVE-2019-3396)的安全通告,攻击者利用漏洞可实现远程代码执行、服务器端请求伪造。此次通告的漏洞分别存在于WebDAV、及Widget连接器中。
绿盟科技发布了本周安全通告,周报编号NSFOCUS-19-14, 绿盟科技漏洞库 本周新增30条,其中高危13条。本次周报建议大家关注Apache HTTP Server本地权限提升安全漏洞,通过该漏洞,拥有MPM事件,worker或prefork,或在权限较低的子进程或线程(包括由进程内脚本解释器执行的脚本)中执行代码等低权限时,可以通过操作计分板(Scoreboard)来获取其父进程(通常为Root)权限并执行代码。目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。
近日,比特币交易平台Bitfinex显示,比特币短线大幅上涨19%,升破5000美元关口,创下四个月以来的新高,在经历了惨痛的2018年以后,币圈人士的春天又回来了。
上周跑模型的间隙,看到一个关于 Python Pickle 反序列化的 CTF 题,和以往见到的不太一样,感觉很有意思,遂打算研究一下。
我们知道,当我们控制了如 `pickle.loads`等序列化数据的输入接口时,我们可以通过构造恶意的 Payload 来达到任意代码执行的效果。这是因为, `pickle` 库在反序列化(unpickling)的过程中,默认会导入 Payload 中找到的任意类或者函数对象。所以,Python 的开发者也一直警告大家,不要轻易用 `pickle` 来反序列化没有经过数据清洗的输入数据。同时,还推荐开发者通过实现自己的 `Unpickler`,来限制反序列化过程中能够 import 的类或函数,参考:https://docs.python.org/3.7/library/pickle.html#restricting-globals 。
防护网络安全事件是一个跟黑客赛跑的过程只要抢占先机,在攻击者利用漏洞攻击前修复漏洞,就可以有效防止此类攻击。而抢占先机的前提就是关注厂商发布的漏洞和事件预警,在第一时间做好防范工作。
近日,Apache官方发布通告修复了一个HTTP Server中存在的提权漏洞(CVE-2019-0211)。通过该漏洞,拥有MPM事件,worker或prefork,或在权限较低的子进程或线程(包括由进程内脚本解释器执行的脚本)中执行代码等低权限时,可以通过操作计分板(Scoreboard)来获取其父进程(通常为Root)权限并执行代码。
安全之路任重而道远,前端安全是众多安全中的一个分支。随着互联网的发达,各种WEB应用也变得越来越复杂,满足了用户的各种需求,但是随之而来的就是各种网络安全的问题。
LockerGoga不是Lady Gaga的变体而是一种勒索病毒的变体
据报道,3月18日,挪威海德鲁公司(Norsk Hydro)在美国和欧洲的业务受到严重的勒索软件攻击,随后该公司被迫关闭了几条自动化生产线。发现问题后,安全人员隔离了所有工厂和操作,并切换到手动操作模式,以确保系统安全运行。有关该公司网络攻击的新闻报道致使该公司股价在全球现货市场铝价上涨超1%的情况下反而下跌近3%。挪威网络安全主管机构——挪威国家安全局向媒体证实:LockerGoga勒索软件是本次感染的源头。Norsk Hydro号称旗下拥有世界最大炼铝厂,此次勒索软件攻击很有可能导致全球铝市场面临动荡。
近日,国外研究员公布了关于Microsoft Edge和Internet Explorer浏览器的0-day漏洞。攻击者可以利用该漏洞绕过这2款浏览器的同源策略(Same-Origin Policy),在用户点击了攻击者提供的恶意链接后,造成通用型跨站脚本攻击(UXSS),盗取用户的敏感信息。
2019年3月绿盟科技安全漏洞库共收录209漏洞, 其中高危漏洞83个,微软高危漏洞15个。微软高危漏洞数量和绿盟科技收录高危漏洞数量与前期相比均有下降。
近日,国外研究员发现了UC浏览器潜在的一个漏洞,可能会影响全球范围内上亿用户。研究人员发现UC浏览器中存在一个隐藏功能,该功能绕过了一些应用商店限制,可以从网上下载一些备用组件并执行。该功能用于给客户端添加新功能或者升级,但是也可以被中间人攻击利用。例如,当用户使用UC浏览器下载一份PDF文件并尝试打开浏览时,攻击者可以利用中间人攻击使浏览器下载一个恶意的文件并最终执行。