网络信息台Valve修复Steam的零日漏洞 发言人称拒绝安全研究员是一个错误
1小欧 发布于 2019-08-23
这个零日漏洞是一个本地提权漏洞,会让恶意软件通过Steam客户端来获得管理员权限从而取得整个系统的控制权。这个漏洞由一名俄罗斯的安全研究员Vasily Kravets在六月份发现,并很快提交给了Valve,不过由于官方的不作为甚至禁止他参与官方的漏洞回报奖励计划,他最终在45天后...
阅读(6)评论(0)赞 (0)
安全
security
研究人员披露第二个 Steam 0day
小欧 发布于 2019-08-22
俄罗斯安全研究人员 Vasily Kravets 披露了 Steam 客户端的一个 0day 漏洞细节,这是他两周内公开的第二个 Steam 0day。他向 Valve 报告了第一个漏洞,试图让Valve 在披露前修复,但第二个 Steam 0day 他无法报告给 Valve,因...
阅读(8)评论(0)赞 (0)
Webmin 被植入后门长达一年多时间
小欧 发布于 2019-08-22
安全研究人员在最近举行的安全会议 DEFCON 上披露了 Webmin 的一个安全漏洞,而在漏洞正式披露前 Webmin 的开发者并没有收到通知。漏洞主要影响 Webmin 1.882 到 1.921,如果没有修改默认设置大部分版本其实是无法被利用的,只有 Version 1.8...
阅读(7)评论(0)赞 (0)
VLC 释出新版修复 13 个安全漏洞
小欧 发布于 2019-08-22
VideoLAN 项目释出了 VLC 3.0.8,修复了 13 个安全漏洞。漏洞类型从拒绝访问到远程代码执行,目前还没有漏洞正被利用的报告。这些漏洞都可以通过打开一个嵌入恶意代码的媒体文件利用,部分漏洞可以通过浏览器插件利用。 13 个漏洞中有 11 个书 Semmle 安全团队...
阅读(6)评论(0)赞 (0)
黑客利用假的 NordVPN 网站传播银行木马
小欧 发布于 2019-08-22
黑客被发现利用假的 NordVPN 网站传播银行木马。NordVPN 克隆网站是在 8 月 8 日上线的,使用了 Let’s Encrypt 签发的有效证书,吸引搜索 NordVPN 服务的用户下载安装程序,安装程序在安装 NordVPN 客户端的同时会丢下恶意负荷银行木马 Wi...
阅读(8)评论(0)赞 (0)
莫斯科区块链投票系统在使用前被破解
小欧 发布于 2019-08-22
法国安全研究人员 Pierrick Gaudry 发现(PDF)计划在下个月使用的莫斯科区块链投票系统存在严重漏洞,能根据公钥计算出私钥。该私钥和公钥被用于在选举中加密用户投票。漏洞主要在于密钥长度太短,现代计算机可以在很短时间内破解出来。攻击者可以利用密钥做什么暂时还不清楚,研...
阅读(7)评论(0)赞 (0)
苹果、Google 和 Mozilla 封杀哈萨克斯坦政府 CA
小欧 发布于 2019-08-21
苹果、Google 和 Mozilla 采取行动封杀了哈萨克斯坦政府上个月用于对加密流量发动中间人攻击的 CA。从今天开始, Chrome、Firefox 和 Safar 用户如果遇到使用哈萨克斯坦政府 CA 证书加密的 HTTPS 流量将会显示错误信息。主要浏览器开发商的这次协...
阅读(12)评论(0)赞 (0)
11 个 Ruby 库发现后门
小欧 发布于 2019-08-21
RubyGems 软件包仓库的维护者移除了 11 个 Ruby 库的 18 个恶意版本,其中包括流行的 rest-client 库的 4 个版本。rest-client 中的恶意代码会收集发送 URL 和环境变量到乌克兰的一台远程服务器上。后门中的代码还允许攻击者发回 cooki...
阅读(11)评论(0)赞 (0)
蓝牙漏洞可能会将设备数据暴露给黑客
1小欧 发布于 2019-08-16
每次连接两个蓝牙设备时,它们都会建立新的加密密钥。如果攻击者介入该设置过程,他们可能会欺骗两个设备使用相对较少的字符来生成加密密钥。攻击者仍然必须对其中一个设备执行暴力攻击以找出确切的密码,但由于这个缺陷,该攻击具有可行性,可以在较短的时间内发生。 但是似乎大多数人使用蓝牙设备时...
阅读(16)评论(0)赞 (0)
微软修复四个远程桌面服务高危漏洞
小欧 发布于 2019-08-14
微软修复了四个远程桌面服高危漏洞,漏洞允许恶意程序像蠕虫一样传播,整个过程无需用户操作。编号为 CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226允许未经授权的攻击者通过发送特制信息执行任意代码。漏洞影响 Windo...
阅读(21)评论(0)赞 (0)
最新评论
再次强调
买不起啊买不起