博主呓语:

英特尔芯片漏洞曝光背后的故事:研究员一度不敢相信

Posted by 破冰 on 2018-1-5 16:22 Friday
路透社今日发表文章,详细揭秘英特尔近期的被曝出的芯片漏洞是怎么被发现的:一名 31 岁的信息安全研究员成功攻入自己计算机的 CPU 内部,并由此发现了英特尔的芯片漏洞。一天晚上,信息安全研究员丹尼尔·格鲁斯(Daniel Gruss)正在摆弄自己的电脑。他发现了过去 20 年中,英特尔大部分芯片都存在的一个严重漏洞。31 岁的格鲁斯是奥地利格拉茨技术大学的博士后研究员。他刚刚攻入了自己计算机 CPU 的内部,窃取了其中的保密信息。

阅读全文>>

英特尔芯片漏洞比想象中更严重:控制计算机无需密码

Posted by 破冰 on 2017-5-8 9:14 Monday
英特尔芯片出现一个远程劫持漏洞,它潜伏了7年之久。本周五,一名科技分析师刊文称,漏洞比想象的严重得多,黑客利用漏洞可以获得大量计算机的控制权,不需要输入密码。 上周一,有报道称绕开验证的漏洞寄居在英特尔主动管理技术(Active Management Technology,简称AMT)中。

阅读全文>>

SS7协议漏洞公开爆发:导致德国O2用户账户被盗

Posted by 破冰 on 2017-5-5 11:00 Friday
开发于上世纪70年代的电话网络(PSTN)通讯协议SS7,90年代调整后被800家移动运营商采用,现在越来越被行骗者利用来诈骗,安全研究员一直警告在SS7(Signalling System No. 7)的内部网络存有一个大型安全漏洞

阅读全文>>

有缺陷的在线教程导致了软件漏洞

Posted by 破冰 on 2017-4-24 16:22 Monday
在线教程中的示例代码经常会被人直接拷贝到程序中,然而问题是并非所有的在线教程示例代码经过了充分的安全评估。德国的研究人员检查了 GitHub 上 6.4 万多个项目的 PHP 代码,发现了 117 个与有缺陷的在线教程相关的漏洞

阅读全文>>

glibc安全漏洞CVE-2015-7547修复解决方法

Posted by 破冰 on 2016-2-22 16:44 Monday
glibc时隔一年再曝严重安全漏洞,此漏洞影响自glibc 2.9之后的所有版本,其他旧版本也可能受到影响,可能会导致Linux软件被攻击者劫持,glibc中处理DNS查询的代码中存在栈溢出漏洞,进而在Linux平台上执行任意代码

阅读全文>>

Java再曝任意代码漏洞 距上次修复还不到一周

Posted by 破冰 on 2013-1-21 11:05 Monday
  有着超过10亿安装量的Java,它覆盖了从你的电脑到温控器的一切,而且邪恶的黑客们已经盯上它了。自去年春天在Mac平台上兴风作浪的Flashback以来,攻击已经变得愈加汹涌,而且,最近的更新影响到了所有的平台。美国政府甚至建议用户禁用他们浏览器中的Java。现在看来,另外还有一个Java漏洞横行于世界上,尽管事实上它在上周才刚刚再次更新过。

阅读全文>>

Ruby on Rails再爆漏洞

Posted by 破冰 on 2013-1-10 9:09 Thursday
  该漏洞允许攻击者控制架在Ruby on Rails上的网站并执行任意代码,带来的危险将包括SQL注入或放置恶意代码等。数周前RoR曾有另一个安全隐患遭曝光。

阅读全文>>

Google奖励Chrome 20中的漏洞发现者11500美元

Posted by 破冰 on 2012-6-28 0:40 Thursday

  Chrome 20今天发布,Google今天将11500美元现金奖给了为这个稳定版安全方面做出贡献的安全研究人员,其中的7000美元给了一位名叫"miaubiz"的开发者,他一个人发现了7个bug,堪称神勇,其中一个重要漏洞涉及Chrome处理SVG图像过程中的问题。

阅读全文>>

All MariaDB and MySQL 严重漏洞

Posted by 破冰 on 2012-6-22 10:11 Friday

All MariaDB and MySQL 严重漏洞被发现,

涉及5.1.61, 5.2.11, 5.3.5, 5.5.22 版本,

Security vulnerability in MySQL/MariaDB 在知道用户名的情况下(如root)

阅读全文>>

PayPal将现金奖励漏洞提供者

Posted by 破冰 on 2012-6-22 9:27 Friday
  如果你设法在任何PayPal的产品中找到一个安全漏洞,就可享有现金奖励,Paypal今天效仿Mozilla和Google开办了赏金计划,提供现金给诚实的黑客,最高额度20000美元,而相比Mozilla为每一个漏洞提供3000美元。PayPal在博客表示,这有助于增加安全研究者的关注。

阅读全文>>

微软:新的IE零日攻击漏洞可劫持Gmail账户

Posted by 破冰 on 2012-6-14 9:56 Thursday

  国外媒体报道,一个新发布的IE浏览器零日攻击安全漏洞显然正在被攻击者利用劫持许多谷歌Gmail用户的账户。微软和谷歌都对这个问题发出了安全公告。当IE用户浏览一个被感染的网站时,这个安全漏洞就会被利用。

阅读全文>>

ASPCMS留言本数据库可插一句话漏洞

Posted by 破冰 on 2012-5-10 22:27 Thursday

ASPCMS主要是信息发布系统,影响版本为asp,主要用在企业建站方面。
漏洞成因,在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入数据库。
数据库默认配置为asp.目录在/data/data.asp下。

阅读全文>>

无忧网络文章管理系统(5UCMS)注入漏洞

Posted by 破冰 on 2012-5-10 22:17 Thursday

无忧(5UCMS)后台地址:admin/Login.asp

数据库默认路径:inc/db  目录下

阅读全文>>

Discuz NT 多个版本文件上传漏洞

Posted by 破冰 on 2012-5-9 9:44 Wednesday

受影响版本:貌似都受影响。

漏洞文件:tools/ajax.aspx

漏洞分析:这个页面里的ajax请求,都没有进行权限的验证,游客权限就可以调用其中的所有方法,很危险的写法,于是有了下面的漏洞。

阅读全文>>

最新的PHP5.3.12 和5.4.2 补丁并不能修复漏洞

Posted by 破冰 on 2012-5-7 0:30 Monday

  Moses 写道 "星期三, 一個 PHP 远程代码执行漏洞被意外公开在网上, 引发了利用此漏洞可对大量网站实施入侵的恐慌.

  该 bug 可以追溯到 2004 年, 在最近的 CTF 比赛中被暴露.

  当 PHP 以 CGI 模式运行时 (如 Apache 的 mod_cgid), php-cgi 会接受处理一個查询字符串作为命令行参数以开启某些功能,

阅读全文>>