-
亚马逊AWS云AppSync服务曝跨租户漏洞,可未授权访问资源
近日,亚马逊 AWS 云计算平台中解决了其平台中的一个跨租户安全漏洞,攻击者可以利用该安全漏洞获得对资源的未授权访问。 该漏洞与混淆代理问题有关,这是一种特权升级,在这种情况下,无…
-
戴尔等设备固件存在过时OpenSSL加密库,曝供应链安全问题
最近的网络安全研究中,对戴尔、惠普、联想等设备的固件映像进行的分析显示,其中存在过时版本的 OpenSSL 加密库,这凸显了软件供应链的安全风险。 根据中国网络安全行业门户极牛网(…
-
联想多款设备UEFI固件曝漏洞,可禁用安全启动加载恶意程序
最新的网络安全研究中,联想多款设备的UEFI统一可扩展固件接口固件曝出3个安全漏洞,影响联想 Yoga、IdeaPad 和 ThinkBook 等品牌设备。 根据中国网络安全行业门…
-
微软发布6个在野利用零日漏洞补丁,Exchange漏洞终于修复
在最近的网络安全观察中,微软发布了月度安全更新,其中修复了其旗下产品的 68 个安全漏洞,其中包括已被在野积极利用的6个零日漏洞的安全补丁。 根据中国网络安全行业门户极牛网(Gee…
-
知名 3 款工业控制软件曝高危安全漏洞,可篡改固件植入后门
美国网络安全和基础设施安全局 (CISA)发布了三份工业控制系统安全公告,涉及 ETIC Telecom、诺基亚和 Delta Industrial Automation 的软件中…
-
OpenSSL曝出2个远程代码执行高危安全漏洞,已发布安全补丁
OpenSSL曝出2个高危漏洞,这些漏洞可能导致拒绝服务 (DoS) 和远程代码执行,目前项目方已紧急推出修复程序。 根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,…
-
Apache开源库曝高危漏洞,可远程代码执行并拿到 Shell 连接
在最近的网络安全研究中,知名开源软件wordpress所属公司检测针对Apache Commons Text中新披露的漏洞的利用尝试。 根据中国网络安全行业门户极牛网(GeekNB…
-
Windows中 CLFS 日志服务曝漏洞,可通过越界写入实现提权
关于 Windows 通用日志文件系统 CLFS 中现已修补的安全漏洞的详细信息已披露,攻击者可利用该漏洞在受感染机器上提权。 该漏洞的漏洞号为 CVE-2022-37969(CV…
-
俄罗斯黑客组织Sandworm在乌克兰电信运营商投递恶意程序
最近的网络安全研究中发现,此前被认定为俄罗斯黑客组织的 Sandworm (沙虫)通过伪装成电信供应商在乌克兰传播恶意软件。 安全研究人员发现了隶属于 UAC-0113 的新基础设…
-
惠普笔记本UEFI固件存在多个高危漏洞,曝光数月后仍未修复
此前,惠普高端笔记本电脑曝光了多个固件安全漏洞,在公开披露数月后,目前惠普公司仍然没有对漏洞进行修复。 在2022年8月的 Black Hat USA 会议上,安全研究人员首次披露…
