-
K8s持续部署工具 Argo 曝零日漏洞,可窃取密钥等敏感信息
最近的网络安全研究发现,Kubernetes 的持续部署 (CD) 工具 Argo 存在提取密码和API密钥等敏感信息的零日漏洞。该漏洞号为 CVE-2022-24348(CVSS…
-
针对 Office 365 的大规模网络钓鱼,窃取凭据并通过邮件传播
最近的网络安全研究中,微软披露了一个大规模、多阶段网络钓鱼活动的详细信息,该活动使用被盗凭据在网络上注册账号,以进一步传播垃圾邮件并扩大感染池。 根据网络安全行业门户「极牛网」GE…
-
Zoom软件爆出2个重大零日漏洞,影响客户端和MMR服务器
对视频会议软件 Zoom 的零点击攻击面的研究产生了2个以前未公开的重大安全漏洞,这些漏洞可能被利用来使服务崩溃、执行恶意代码,甚至泄露其内存的任意区域。 根据网络安全行业门户「极…
-
VMware多款虚拟化产品爆重大堆溢出漏洞,可执行任意代码
最新的网络安全研究发现,VMware修复了其ESXi、Workstation 和 Fusion 产品的重大安全漏洞,黑客可以将其武器化用以控制整个系统。 根据网络安全行业门户「极牛…
-
微软Exchange爆2022版”千年虫”漏洞,导致电子邮件系统瘫痪
微软紧急发布了一个补丁程序,用于修复其Exchange电子邮件系统由于年末的日期验证错误产生的安全漏洞,类似千年虫漏洞问题,将导致电子邮件系统的瘫痪。 微软官方表示,该漏洞与新年的…
-
Apache Log4j爆出第 5 个安全漏洞,影响该日志库的所有版本
Apache 软件基金会周二推出了新补丁,以修复包含 Log4j 中的任意代码执行漏洞,攻击者可以利用该漏洞在受影响的系统上运行恶意代码,这是一个月以来 Log4j 中发现的第 5…
-
微软AD域控制器爆重大安全漏洞,可以接管AD域控最高权限
微软Active Directory域控制器爆出2个安全漏洞,漏洞已于11月解决,并在12月公布PoC概念验证代码。 这2个安全漏洞的漏洞号分别为 CVE-2021-42278 和…
-
通过WebSocket作为新的攻击媒介,Log4Shell漏洞攻击面扩大
最近的安全研究发现,攻击者可以使用一种全新的攻击媒介通过 JavaScript WebSocket 连接在本地利用服务器上的 Log4Shell 漏洞。 根据网络安全行业门户「极牛…
-
Apache Log4j2漏洞第二弹,Log4Shell漏洞持续影响全球网络
最近披露的重大安全漏洞Log4Shell漏洞发布安全补丁修复后,第二个漏洞很快被爆出,第二个漏洞号为CVE-2021-45046,CVSS评分为 3.7 分,并影响从 2.0-be…
-
Apache Log4j2漏洞的排查方法和缓解措施
建议用户彻底排查所使用的应用是否引入了Apache Log4j2 Jar包,特别是各单位在历史招标建设中明确要求采用 Log4j 或 SLF4J 记录日志的信息系统,若存在引入则可…
