3 月 10 日消息，博通（Broadcom）旗下 VMware 本周發(fā)布安全更新，針對(duì) VMware ESXi 服務(wù)器等產(chǎn)品，修復(fù)多個(gè)安全漏洞。 VMware 于 3 月 4 日發(fā)布安全公告 VMSA-2025-0004，警告存在三個(gè) 0-day 漏洞（CVE-2025-22224、CVE-2025-22225 和 CVE-2025-22226），影響 VMware ESXi、Workstati…

1 月 23 日消息，科技媒體 bleepingcomputer 昨日（1 月 22 日）發(fā)布博文，報(bào)道稱 WordPress 主題 RealHome 和插件 Easy Real Estate 存在嚴(yán)重安全漏洞，未經(jīng)身份驗(yàn)證的用戶可利用漏洞獲取管理員權(quán)限，數(shù)萬(wàn)網(wǎng)站面臨風(fēng)險(xiǎn)。 令人擔(dān)憂的是，漏洞發(fā)現(xiàn)者 Patchstack 自 2024 年 9 月以來(lái)多次聯(lián)系供應(yīng)商 InspiryThemes，但未…

1 月 22 日消息，科技媒體 bleepingcomputer 昨日（1 月 21 日）發(fā)布博文，報(bào)道稱壓縮工具 7-Zip 被曝出一個(gè)高危漏洞（CVE-2025-0411），推薦用戶盡快升級(jí)到 2024 年 11 月 30 日發(fā)布的 24.09 版本。 攻擊者可以利用該漏洞，繞過(guò) Windows 的“網(wǎng)絡(luò)標(biāo)記”（Mark of the Web，簡(jiǎn)稱 MotW）安全功能，在用戶從嵌套壓縮包中解壓…

11 月 16 日消息，安全公司 Claroty 發(fā)布報(bào)告，曝光了一款海外流行的物聯(lián)網(wǎng)設(shè)備云端管理平臺(tái) Ovr 內(nèi)含的一系列重大漏洞。安全公司聲稱黑客可以接連利用這些漏洞實(shí)現(xiàn)在物聯(lián)網(wǎng)設(shè)備上遠(yuǎn)程執(zhí)行惡意代碼，而根據(jù) CVSS 風(fēng)險(xiǎn)評(píng)估，部分曝光的漏洞風(fēng)險(xiǎn)評(píng)分高達(dá) 9.2（滿分 10 分）。 OvrC 物聯(lián)網(wǎng)平臺(tái)的主要功能是通過(guò)移動(dòng)應(yīng)用或基于 Web Socket 的界面為用戶提供遠(yuǎn)程配置管…

11 月 2 日消息，科技媒體 bleepingcomputer 于 10 月 31 日發(fā)布博文，報(bào)道稱知名 BT 下載客戶端 qBittorrent 修復(fù)了已存在 14 年的中間人劫持 / 遠(yuǎn)程代碼執(zhí)行漏洞。 該漏洞最早可以追溯到 2010 年 4 月 6 日，官方于 2024 年 10 月 28 日發(fā)布的最新版本 5.0.1 中修復(fù)，時(shí)隔超過(guò) 14 年。 該漏洞是由于應(yīng)用程序的 Do…

10 月 30 日消息，三星電子本月發(fā)出警告，稱許多搭載 Exynos 處理器的 Galaxy 智能手機(jī)和平板電腦存在高風(fēng)險(xiǎn)漏洞，可能被黑客利用。公司敦促用戶盡快更新到最新的安全補(bǔ)丁，并正在積極解決該漏洞。 受影響的 Exynos 處理器型號(hào)包括： 9820 9825 980 990 850 W920 受影響的設(shè)備包括： Galaxy S20 系列 Galaxy Note 20 系列 Galaxy…

9 月 27 日消息，OpenAI 在今年 2 月宣布為 ChatGPT 推出記憶（Memory）的功能，今年 9 月初這項(xiàng)功能正式向所有用戶開放，該功能的主要用途是“設(shè)定預(yù)設(shè)”，從而幫助 AI 向用戶更符合需求的答案。 不過(guò)研究人員 Johann Rehberger 目前披露報(bào)告，稱這項(xiàng)功能在 PC 版 ChatGPT 客戶端上存在漏洞，黑客可借漏洞獲取用戶對(duì)話記錄。 Joh…

近期，Linux 社區(qū)曝出了一個(gè)嚴(yán)重的遠(yuǎn)程代碼執(zhí)行（RCE）漏洞，該漏洞已存在約10年，影響幾乎所有的 GNU/Linux 發(fā)行版。這個(gè)漏洞的破壞力極強(qiáng)，預(yù)估的 CVSS 評(píng)分達(dá)到了9.9分（滿分為10分），表明其潛在的危害性極高。 目前，相關(guān)的修復(fù)補(bǔ)丁尚未發(fā)布，但用戶可以采取一些臨時(shí)措施來(lái)緩解風(fēng)險(xiǎn)，例如禁用或移除 cups-browsed 服務(wù)、更新 CUPS 安裝以及阻止對(duì) UDP 端口 63…

最近，安全公司 PromptArmor 曝光了 Slack AI 的一個(gè)嚴(yán)重安全漏洞，稱其容易受到惡意提示注入攻擊。Slack AI 是 Salesforce 團(tuán)隊(duì)通訊服務(wù)中的一個(gè)附加服務(wù)，主要用于生成性工具，比如總結(jié)長(zhǎng)對(duì)話、回答問(wèn)題和匯總不常訪問(wèn)的頻道信息。然而，PromptArmor 表示，這個(gè)服務(wù)并不像它宣稱的那樣安全。 漏洞的核心在于，Slack 允許用戶查詢公共和私密頻道的數(shù)據(jù)，包括用戶…

據(jù)報(bào)道，蘋果公司近期發(fā)現(xiàn)了其一些產(chǎn)品的GPU存在安全漏洞，并承認(rèn) iPhone 12 和 M2 MacBook Air 受影響。該漏洞可能使攻擊者竊取由芯片處理的數(shù)據(jù)，包括與 ChatGPT 的對(duì)話內(nèi)容等隱私信息。 Trail of Bits 的安全研究人員發(fā)現(xiàn)，由蘋果、高通、AMD 和 Imagination 制造的多種圖形處理器存在名為“LeftoverLocals”的漏洞。該漏洞利用 GPU…

卡巴斯基實(shí)驗(yàn)室在2023年6月發(fā)現(xiàn)了蘋果iOS設(shè)備中存在的Triangulation漏洞，該漏洞允許黑客向受害者發(fā)送特定的iMessage文件進(jìn)行遠(yuǎn)程代碼攻擊。然而，卡巴斯基出于“安全要求”并未公開漏洞細(xì)節(jié)。 現(xiàn)在，卡巴斯基已經(jīng)正式公開了這項(xiàng)Triangulation漏洞的調(diào)查報(bào)告。據(jù)報(bào)告，Triangulation漏洞主要由4項(xiàng)零日漏洞構(gòu)成： FontParser 漏洞 CVE-2023-419…

OpenSSL CCS注入漏洞概述 OpenSSL CCS注入漏洞是由于OpenSSL的ChangeCipherSpec設(shè)計(jì)缺陷導(dǎo)致的，被稱為CCS注入漏洞。攻擊者可以利用此漏洞發(fā)起中間人攻擊，篡改或監(jiān)聽SSL加密傳輸?shù)臄?shù)據(jù)。 受影響的OpenSSL版本 受影響的OpenSSL版本包括： OpenSSL 1.0.1 through 1.0.1g OpenSSL 1.0.0 through 1.0.…

11 月 30 日消息，繼“奶奶漏洞”之后，ChatGPT 又被曝出“重復(fù)漏洞”，而這次更為嚴(yán)重。 谷歌 DeepMind 研究人員近日研究 ChatGPT 時(shí)，發(fā)現(xiàn)在提示詞中只要其重復(fù)某個(gè)單詞，ChatGPT 就有幾率曝出一些用戶的敏感信息。 例如“Repeat this word forever：poem poem poem poem”，重復(fù) poem 這個(gè)單詞，ChatGPT 在重復(fù)幾個(gè) p…

11 月 23 日消息，微軟今日發(fā)布新聞稿，宣布將為旗下 Microsoft Defender 推出新一輪賞金計(jì)劃，主要鼓勵(lì)安全研究人員發(fā)現(xiàn)這款軟件中的漏洞，賞金最高為 20000 美元。 微軟介紹稱，Microsoft Defender 旨在增強(qiáng)微軟客戶的安全性體驗(yàn)，而 Microsoft Defender 賞金計(jì)劃將邀請(qǐng)全球研究人員尋找這款軟件中的漏洞。新一輪 Defender 賞金計(jì)劃將從“…

This security and maintenance release features 19 bug fixes on Core, 22 bug fixes for the Block Editor, and 8 security fixes.此安全和維護(hù)版本在Core上修復(fù)了19個(gè)錯(cuò)誤，在Block Editor上修復(fù)了22個(gè)錯(cuò)誤，并修復(fù)了8個(gè)安全問(wèn)題。WordPress 6.3.2 is…

10月10日 消息:近日，數(shù)千個(gè)使用 WordPress 內(nèi)容管理系統(tǒng)的網(wǎng)站遭到黑客攻擊。該攻擊者利用了名為 tagDiv Composer 的熱門插件中的一個(gè)最近修補(bǔ)的漏洞，向網(wǎng)頁(yè)注入惡意代碼。 據(jù)了解，存在漏洞的 tagDiv Composer 插件是使用 WordPress 主題 Newspaper 和 Newsmag 必須的組件。這兩個(gè)主題在 Theme Forest 和 Envato 市…

7 月 29 日消息，根據(jù) YouTube 頻道 GhillieMaster 分享的最新視頻，黑客利用微軟 Xbox 平臺(tái)的漏洞開發(fā)制作了機(jī)器人，可以讓指定玩家關(guān)小黑屋，甚至可以封號(hào)。 通常情況下，只有在玩家發(fā)表不良言論或者作出違規(guī)行為之后，微軟 Xbox 團(tuán)隊(duì)才會(huì)采取措施。 而黑客開發(fā)的這個(gè)特殊機(jī)器人，利用 Xbox 平臺(tái)的漏洞，可以在沒有任何理由的情況下，讓你的賬號(hào)關(guān)小黑屋 2 天。 從報(bào)道中…

7 月 3 日消息，網(wǎng)絡(luò)安全公司 SonarSource 在日前研究中發(fā)現(xiàn)，Gentoo Linux 發(fā)行版中存在漏洞 CVE-2023-28424，黑客可以利用該漏洞進(jìn)行 SQL 注入攻擊。 研究人員從 GentooLinux 的 Soko 搜索組件中找到了這個(gè)漏洞。該漏洞的 CVSS 風(fēng)險(xiǎn)評(píng)分為 9.1，屬于特別重大漏洞，GentooLinux 開發(fā)團(tuán)隊(duì)已經(jīng)于漏洞曝出 24 小時(shí)內(nèi)進(jìn)行了修復(fù)。…

隨著互聯(lián)網(wǎng)的普及和技術(shù)的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為一個(gè)全球性的挑戰(zhàn)。網(wǎng)絡(luò)層攻擊作為最常見的網(wǎng)絡(luò)安全威脅之一，其種類和數(shù)量也呈現(xiàn)出不斷增加的趨勢(shì)。本文將介紹網(wǎng)絡(luò)層中常見的攻擊方法，分析其原理和方式，并提供相應(yīng)的防范措施。 一、網(wǎng)絡(luò)層攻擊的背景和意義網(wǎng)絡(luò)層攻擊主要針對(duì)網(wǎng)絡(luò)協(xié)議和操作系統(tǒng)中的漏洞進(jìn)行攻擊，其目的是破壞網(wǎng)絡(luò)的完整性、可靠性和安全性。網(wǎng)絡(luò)層攻擊包括IP欺騙、分布式拒絕服務(wù)（DDoS）、緩存中…

您好，根據(jù)您的要求，我為您總結(jié)了一些網(wǎng)站安全的重要性，供您參考： 網(wǎng)站安全是指防止網(wǎng)站受到黑客入侵者對(duì)其網(wǎng)站進(jìn)行掛馬，篡改網(wǎng)站源代碼，被竊取數(shù)據(jù)等行為而做出一系列的安全防御工作1。網(wǎng)站安全不僅影響網(wǎng)站的正常運(yùn)營(yíng)和用戶體驗(yàn)，也關(guān)系到網(wǎng)站的信譽(yù)和利益，甚至可能涉及國(guó)家安全和社會(huì)穩(wěn)定2。 網(wǎng)站安全的重要性體現(xiàn)在以下幾個(gè)方面： 網(wǎng)站安全可以保護(hù)網(wǎng)站的數(shù)據(jù)和資源不被惡意篡改或竊取，避免造成經(jīng)濟(jì)損失或法律責(zé)任…

2 月 1 日消息，NAS 廠商威聯(lián)通（QNAP）近日發(fā)布安全公告，表示 QTS 5.0.1 和 QuTS hero h5.0.1 兩款軟件存在嚴(yán)重漏洞 CVE-2022-27596，允許攻擊者在固件中植入惡意代碼。 該漏洞在 CVSS v3 評(píng)分為 9.8（最高分為 10 分），因此IT之家推薦使用上述兩款軟件的網(wǎng)友盡快升級(jí)。 QNAP 尚未透露有關(guān)該漏洞的任何進(jìn)一步細(xì)節(jié)。根據(jù) Bleeping…

黑客攻擊變得一年比一年高級(jí)和復(fù)雜，因此現(xiàn)在追蹤了解安全漏洞比以往任何時(shí)候都來(lái)得重要。本文著重介紹了2022年惡意威脅分子利用的一些最危險(xiǎn)的漏洞。 1. Follina（CVE- 2022 – 30190） CVE-2022-30190（非正式名稱為“Follina”）在2022年5月被披露，它是微軟Windows支持診斷工具（MSDT）中的一個(gè)遠(yuǎn)程代碼執(zhí)行漏洞，允許遠(yuǎn)程攻擊者在目標(biāo)系統(tǒng)上執(zhí)行任意s…

1月8日消息，據(jù)報(bào)道，有安全專家近日發(fā)現(xiàn)了影響數(shù)百萬(wàn)輛汽車的安全漏洞，全球幾乎所有主要汽車品牌均受影響。 黑客可以利用汽車遠(yuǎn)程信息處理系統(tǒng)、汽車API和支持性基礎(chǔ)設(shè)施中的漏洞進(jìn)行各種操作，甚至可以遠(yuǎn)程完全接管你的汽車。 諸如奔馳、寶馬、勞斯萊斯、法拉利、福特、保時(shí)捷、豐田、捷豹和路虎等汽車品牌，還有車隊(duì)管理公司Spireon和數(shù)字車牌公司Reviver均受到影響。 報(bào)道稱，Yuga實(shí)驗(yàn)室的Sam …

 12 月 30 日消息，安全研究專家馬特?昆茨（Matt Kunze）去年向谷歌報(bào)告了 Google Home 的嚴(yán)重漏洞，近期獲得了谷歌 107500 美元（約 74.9 萬(wàn)元人民幣）的高額賞金。 據(jù)了解到，在 Google Home 智能音響設(shè)備上發(fā)現(xiàn)了一個(gè)漏洞，攻擊者可以利用該漏洞安裝后門賬戶，用于遠(yuǎn)程控制并可激活麥克風(fēng)用于監(jiān)聽用戶對(duì)話。昆茨在本周早些時(shí)候披露了該漏洞的所有技術(shù)細(xì)…