漏洞
漏洞最新快讯,36氪聚合所有漏洞相关的新闻快讯,并为你提供最新的相关资讯。
本次共找到 38 条【
漏洞
】相关快讯
腾讯安全科恩实验室发现特斯拉安全漏洞,马斯克表示感谢
近日,针对2016年9月特斯拉被曝出的 “无物理接触环境下可远程操控汽车”安全漏洞,埃隆·马斯克亲自写信向提交该漏洞的腾讯安全联合实验室科恩实验室表示感谢。腾讯安全联合实验室科恩实验室向特斯拉提交的漏洞,可以实现远程操控当时特斯拉已售和在售车型,包括在锁定状态下解锁、行驶过程中突然紧急刹车,以及行驶过程中关闭后视镜、打开车门及后备箱等多个直接威胁驾驶安全的行为。
2017-04-17
IBM网络安全报告:2016年新漏洞上万、泄露40亿条记录
据 IBM 2017 X-Force 威胁情报索引,2016 年的记录泄露数量激增 556%,达到了 40 亿条。除了 40 亿条记录泄露,去年还有上万软件漏洞被记录在案,达到了该机构 20 年来的最高值。这份报告还分析了网络犯罪趋势,其中过包括蹿升的垃圾消息。去年垃圾信息量增长达 400%,其中 44% 含有恶意附件,其中大多数为勒索软件。
2017-03-30
苹果:维基解密披露的iPhone漏洞早已修复
据新浪科技报道,北京时间3月24日消息,今天维基百科公布一批CIA文档,宣称CIA可以通过多种方法入侵苹果设备,上传数据。苹果随后发表声明称,经过初步评估,确认文档中提及的iPhone、Mac漏洞早在几年前就已经修复了。一些漏洞——比如NightSkies——能够让黑客窃取个人信息,包括通话记录、SMS信息,不过只有在获得物理访问的前提下才能入侵。
2017-03-24
“刷脸登录”有漏洞?专家:生物特征数据被盗更危险
据新华社报道,近期,“刷脸登录”存在的安全漏洞,在315维权活动中备受关注。不过,相关信息安全专家认为,比起数据在传输和认证过程中的安全漏洞,后台的生物特征数据一旦被盗,给用户带来的风险将会更大。有关专家表示,生物认证最大的共性是唯一性。每个人都有独一无二的脸、指纹和虹膜等。正是这种唯一性,让大家认为生物认证是安全的。但生物特征数据库一旦被攻破,大量的带有唯一性的生物特征数据被盗取,带来的风险要比‘盗刷’严重得多。这才是生物认证方式的真正‘痛点’。
2017-03-20
卡巴斯基:“维基解密”披露的软件漏洞早已堵上
“维基解密”日前曝光的美国中央情报局文件中提到,俄罗斯卡巴斯基实验室的数款防病毒软件存在可被黑客利用的漏洞。该公司8日在其官网通报说,文件中提到的几个软件漏洞已在数年前被发现并封堵,目前尚无证据显示有用户因这些漏洞而使其IT产品遭入侵。
2017-03-10
谷歌称已经修复很多被CIA利用的漏洞
昨天“维基解密”网站发布了美国中央情报局(CIA)文件黑客项目的数千份文件。 据外媒报道,谷歌公司今天表示,其已经修复了遭曝光CIA文件中确定的Chrome和Android平台中的很多漏洞。在谷歌提供给Recode的一份声明中,歌信息安全主管海泽・阿德金斯(Heather Adkins)表示,谷歌“认为Chrome和Android中的安全更新和保护已经组织了许多这些所谓的漏洞”,其针对剩余漏洞的分析仍在进行,谷歌还将“实施任何进一步必要的保护举措”。
2017-03-09
微软、谷歌宣布提高漏洞奖金:最高翻倍
据外媒报道,近日,微软和谷歌两家公司都宣布了提高漏洞悬赏奖金的消息。如果替谷歌找到了一个远程代码执行漏洞的话,那么可以得到31337美元的奖金(原先只有20000美元);如果找到了“无限制文件系统或数据库访问”漏洞的话,那么可以得到13337美元的奖金(原先只有10000美元)。
2017-03-07
94%的微软高危漏洞可通过关闭管理权限消除
根据端点安全公司 Avecto 的年度微软漏洞报告结论:94% 的微软软件高危漏洞可通过关闭管理权限消除;对于浏览器而言,100% 的 Internet Explorer 和 Edge 漏洞可通过关闭关闭管理权限消除。2016 年微软软件报告了 530 个漏洞,其中 36% (189) 被归类为高危漏洞;Windows 10 系统发现的漏洞最多,有 395 个,93% 的 Windows 10 漏洞可通过关闭管理权限消除;Microsoft Office 发现了 79 个漏洞,其中 17 个高危。
2017-02-27
ofo小黄车机械锁漏洞:记住密码可无限次免费骑车
近日有消息称,校园里很多人把ofo单车藏起来,因为车辆采用机械锁,4位数的密码永远不变,用户开一次锁得知密码以后,只要不被人骑走,就不需要再花钱开锁了。而网上更是已经出现ofo密码共享群。对此,ofo公关总监史少晨接受采访表示,这样的不文明行为“应该是极少数”,内部有简单的规避机制,依靠用户举报以及线下运维师监管,对用户出台了信用体系,也会联合公安及时报案,目前北京市已经有几个案子立案。
2017-02-23
漏洞赏金平台 HackerOne 获 4000 万美元 C 轮融资
HackerOne 宣布获 4000 万美元 C 轮融资,由 Dragoneer 投资集团领投。HackerOne 成立于 2012 年旧金山,其是一个漏洞识别平台,能帮助将有安全意识的企业与漏洞攻击者连接起来,并为安全研究人员提供现金激励,来帮助公司识别其在线系统中的弱点。 HackerOne 将从通过该平台的交易中,收取 20 %的佣金。
2017-02-09
麦当劳官网漏洞或致用户密码被盗:请慎用“记住密码”功能
很多人信赖麦当劳的汉堡,但是你别太指望其网站能够保障用户密码的安全。来自荷兰的独立软件工程师 Tijme Gommers 发现,这家快餐连锁企业的主站(McDonalds.com)上存在一个仍然活跃的漏洞,可被攻击者利用来获取用户敏感信息。Gommers 在博客中解释到:该漏洞归咎于输入环境的疏忽(本该是一项标准的保护措施),别有用心的人可以借其抓取用户的登录凭证等敏感信息。
2017-01-17
支付宝回应修改密码漏洞:仅在特定情况下实现,已提高安全等级
针对网友曝出的修改密码漏洞,支付宝方面1月10日回应称,这一方式仅在特定情况下才会实现,且一旦用户支付宝在其他设备被登录,本人设备会收到通知提醒。为提升用户安全感,在接到网友反映后,今日上午,支付宝进一步提高了风控系统的安全等级。目前仅在用户自己的手机上,才能通过识别近期购买商品以及识别本人好友来找回登录密码,通过其他手机设备是无法应用这一方式找回登录密码。
2017-01-10
2016年报告漏洞最多的软件产品-Android
根据CVE Details公布的最新报告,2016年报告存在安全漏洞最多的软件产品是Android系统,共计为523处。目前行业内通常使用CVE编号对漏洞进行追踪,一旦发现软件存在漏洞,发现者就可以请求CVE号码用于追踪该漏洞。CVE Details网站则是追踪所有CVE,而且每年都会根据漏洞总数来报告前50名软件产品。
2017-01-03
苹果iOS系统曝新漏洞,或导致手机卡死
据台湾《中时电子报》日前报道,iPhone iOS 8 – iOS 10.2.1系统曝出漏洞,特定操作下可导致应用瘫痪,手机卡死。报料人拍摄的视频显示,用户点击某条iMessage信息后,先是信息应用无响应,当用户继续双击Home键,试图将信息应用在后台关闭再重启时,手机白屏卡死。
2016-12-31
研究人员发现苹果iOS漏洞:可绕过“激活锁”功能
北京时间12月3日凌晨消息,研究人员发现了一个可被用于绕过苹果公司“激活锁”功能的漏洞,这个漏洞能让黑客进入基于最新版本iOS操作系统运行的iPhone和iPad的主显示屏。该漏洞已至少有两种变体,一种可用于攻破iOS 10.1移动操作系统,另一种则可用于攻破最新的iOS 10.1.1系统。
2016-12-03
高通推出漏洞赏金计划,最高奖1.5万美金
据英国媒体报道,高通公司推出了一个新的漏洞赏金计划,以提高Snapdragon处理器、LTE调制解调器及相关技术的安全性。高通公司将与HackerOne共同运作这个计划,并称该计划将成为芯片供应商的第一个漏洞赏金计划。该计划邀请安全研究人员寻找漏洞,每个漏洞的奖金最高达1.5万美元(约合人民币10.3万元)。40余名曾做过漏洞披露的安全研究人员将受邀参加。
2016-11-22
微软已修复Google发现的Windows 10提权漏洞
在本月的补丁星期二活动中,微软如约修复了此前Google公开的安全漏洞。在本月活动中,该漏洞补丁被标记为“重要”,主要内容为修复了多个提权漏洞,此外还公布了6个关键级别漏洞和8个其他“重要”级别漏洞,包括IE浏览器和Edge浏览器的累积更新。
2016-11-09
谷歌突然公布Windows重大漏洞,微软措手不及
报道称,谷歌在10月31日公布了Windows的一处安全漏洞,距离谷歌将该漏洞通知给微软仅10天时间。谷歌称,已经发现这一重大Windows漏洞被黑客利用。该漏洞允许黑客对本地权限进行升级,使黑客可以从Windows的安全沙箱中逃脱出来,并执行任意代码。谷歌此举引发了微软的强烈谴责,后者称在发布补丁前就披露这样的漏洞很危险。
2016-11-02
中国科大首次实验检验无相容性漏洞的量子互文性
从中国科学院官网获悉,中国科学院院士郭光灿领导的中国科学院量子信息重点实验室在量子力学基本问题的研究中取得新进展。该实验室李传锋、柳必恒、韩永建等人首次实验检验了无相容性漏洞的Kochen-Specker(KS)量子互文性。该成果在无漏洞量子互文性的实验检验方向上迈出了重要一步。
2016-10-26
研究者发现Intel芯片漏洞,60毫秒绕过ASLR保护
来自两所美国大学的信息安全研究人员发现,利用Intel Haswell CPU架构中BTB组件的漏洞可以快速绕过ASLR保护。ASLR是大多操作系统(Windows、Linux、macOS、iOS和Andriod)长期使用的系统防御机制,研究人员已经在Intel Haswell CPU的Linux设备上利用漏洞做了测试,“攻击所花时间非常短,只需60毫秒就足够收集必需的样本数。”研究人员称可行的是鼓励操作系统厂商在代码功能层面实现ASLR保护修复漏洞。
2016-10-20
Android被曝两个高危漏洞,部分机型无法修复
据悉,第一个漏洞风险比较大,可以被攻击者通过多种方式利用,比如攻击者可以在不需要使用者开放权限就能执行恶意程序,或者提升自己的权限进行更多的操作。第二个性质与Stagefright相似,能被攻击者通过发送恶意图像文件等方式利用。这个漏洞中,恶意代码能被隐藏在图像嵌入的Exif数据中。被攻击者不进行任何操作的情况下都会遭到黑客攻击。消息称,谷歌应该很快推出新版系统来修复这样危险的漏洞,但是一些不支持新系统的机型,或者只能换个机了。
2016-09-12
Android出现两个高危漏洞,部分机型得不到修复
根据外媒消息,Android系统最近被曝光了两个高度危险的漏洞,不仅影响了很多设备,而且其中一部分将永远得不到修复的机会了。这里两个漏洞分别是谷歌Project Zero安全团队公布的CVE 2016-3861,另一个编号为CVE 2016-3862。前者漏洞风险比较大,可以通过多种方式利用,允许攻击者开始执行恶意程序,不需要使用者开放权限,或者提升自己的权限进行更多的操作。
2016-09-11
因新漏洞问题,Firefox 49发布时间将延期一周
据外媒报道,Mozilla于本周宣布,它将要延迟Firefox 49的推送时间,原因是他们还要用一周的时间来解决两个他们没有预料到的漏洞。Firefox原定于9月13日发布,现在,它要推迟到9月20日才会跟用户见面。为此,Firefox的工程师们则向用户提供了另外一个选择--Firefox 49 RC 3,他们希望借此来测试漏洞并从中收集反馈意见。
2016-09-11
谷歌发布更新封堵Quadrooter漏洞:影响9亿高通设备
8月初,信息安全研究公司Check Point报告了高通处理器安卓手机的4个漏洞,合称Quadrooter,影响超9亿手机和平板。公司强调,黑客可以欺骗用户安装恶意应用,同时并不需要请求任何特别的权限。在应用安装后,黑客可以获得根权限,随后完全控制受影响的Android设备,包括其中的数据和硬件,例如摄像头和麦克风。
2016-09-07
苹果紧急通知用户更新系统,高危漏洞可致被监听
苹果近日匆匆地发布了一个iOS系统软件补丁,并建议所有用户予以更新,因为旧有系统里存在的高危漏洞,可能导致iPhone被入侵者完全控制。目前苹果iOS系统已经推送了iOS9.3.5版本更新,以修复旧系统存在的3个高危漏洞。这3个高危漏洞被研究人员称作“三叉戟”。如果你点击黑客发来的链接,就可能导致手机被远程控制,聊天记录、密码泄露。英国金融时报说,黑客可利用这些漏洞获得对iPhone的几乎全部控制权。
2016-08-29
高通CPU曝惊人漏洞 全球约9亿部安卓设备受牵连
8月8日早间消息,信息安全研究公司Check Point近期发现了高通处理器Android手机的4个新漏洞。通过这些漏洞,黑客可以完全控制受影响的手机。这些漏洞被称作“Quadrooter”,影响了超过9亿部手机和平板电脑。黑客可以欺骗用户安装恶意应用,同时并不需要请求任何特别的权限。在应用安装后,黑客可以获得根权限,随后完全控制受影响的Android设备,包括其中的数据和硬件,例如摄像头和麦克风。谷歌自主品牌的Nexus 5X、Nexus 6和Nexus 6P,以及三星Galaxy S7和S7 Edge都受到这一漏洞的影响。
2016-08-08
联想个人电脑中发现严重安全漏洞
这已经不是第一次了。据 Engadget,安全研究员 Dymtro “Cr4sh” Oleksiuk 称已发现联想机器的漏洞在于,攻击者可以绕过 Windows 系统的基本安全协议。根据他在 Github 上发布的内容,该脆弱的固件驱动程序出自 Intel,而令人担忧的是,除联想外,可能其他电脑厂商也采用了 Intel 的这项 BIOS 代码。联想方面已经着手调查该漏洞,并表示尽快修复。上一次在联想电脑中发现漏洞在去年 6 月,当时安全公司 IOActive 发布报告称,他们在联想电脑升级系统中发现重大安全漏洞。这个漏洞允许黑客绕过验证检查,用恶意软件取代合法的联想程序,并可远程运行命令。
2016-07-05
赛门铁克 / 诺顿产品存在严重的漏洞, 数百万用户受影响
周二,谷歌 Google Project Zero 研究员 Tavis Ormandy 警告称,安全公司赛门铁克的众多产品线包含大量漏洞,将数百万消费者、小型企业以及大型机构面临自我复制攻击,这些攻击可以完全控制它们的计算机。Tavis Ormandy 在博文中写道,“这些漏洞太糟糕。它们不需要任何用户交互,影响默认配置并且软件在可能的最高权限下运行。Windows 上的某些特定情况下,有漏洞的代码甚至会加载到内核中,导致远程内核内存崩溃。” 这篇博文于赛门铁克发布公告后不久发布,分别罗列了消费者和小型企业受感染的 17 款赛门铁克产品和 8 款诺顿产品。Ormandy 警告称,漏洞非常容易被利用,能在目标网络或甚至整个互联网从一台设备扩散至另一台设备。
2016-06-30
测试显示多数杀毒软件自身存在高危漏洞
针对市面上流行的杀毒软件自身是否有安全风险,来自西安的四叶草安全漏洞研究小组进行了为期两个月的挖掘与测试,结果发现全球大约 25 款杀毒软件中有 21 款均存在高危漏洞。测试报告显示,Panda Security Free Antivirus 漏洞最多,存在 5 个不同的本地提权漏洞。国产 360 杀毒存在 2 个漏洞,百度杀毒存在 4 个漏洞。研究人员随后将测试结果向各大产商进行了反馈。并收到了来自 ZDI、Avast、K7、360 和 百度的致谢回信。据悉,四叶草安全实验室 (CloverSec Labs) 是西安四叶草安全旗下的安全研究部门。实验室分为四个小组,分别是二进制漏洞研究小组、Web 安全研究小组、IoT 安全研究小组和移动终端安全研究小组。
2016-06-01
Galaxy S7 防水有漏洞
美国知名科技博客 9to5Mac 援引 Android 开发者论坛的消息称,三星 Galaxy S7 智能手机最强大的一项功能就是耐水性,不过,这款手机在太湿的情况下,会自动警告用户,此时不宜对手机充电。Android 开发者在论坛上声称,他们在将 Galaxy S7 智能手机从水中拿出的 4 个小时之后,尝试对这款手机进行充电,就在此时获得了一条警告信息,称 “充电端口检测到较大湿度”。从目前来看,这款手机需要等到足够干燥之后才能进行安全充电。Galaxy S7 为了美观,去掉了 microUSB 充电端口配置的防水盖,因而水分也就能够容易地进入了 Galaxy S7 手机内,而且还会残留到充电端口很深的部位。
2016-03-07
百度回应软件隐私安全质疑:漏洞已经修复
此前百度被媒体爆出旗下一款移动应用统计分析工具可能涉及安全问题。百度官方于今天回应称,报道存在不实信息和误解,百度在收到Citizen Lab实验室的通报后已于2015年12月完成修复,最新版本已不存在该漏洞问题。百度介绍称,“百度Android软件开发套件”是一款向应用开发者提供的移动应用统计分析工具,旨在为开发者提供实时的统计服务,帮助开发者实现数据化、精细化运营,降低开发成本。该工具不会采集外媒提及的搜索关键词、网站访问记录,也不存在与第三方分享这些数据的情况。
2016-02-24
Twitter 密码恢复漏洞致使上万名用户邮箱和电话号码外泄
Twitter 在今天表示,公司的密码恢复系统出现的漏洞致使 1 万名用户的邮箱地址和电话号码信息在上周曝光了 24 小时。Twitter方面在官方博客上称,用户的密码和账户均安全,公司目前已经联系到了出现以上问题的账户。因此,目前没有接到通知的账户均未受到漏洞的影响。Twitter 表示,该漏洞虽然相对较小,但是建议用户彻查自己的账户安全。Twitter 曾在此前对网页、安卓系统和 iOS 系统开设了手机短信二重认证的功能。用户可以直接登入网页和手机版的“安全和隐私”页面进行账户安全设定。
2016-02-18
微软新浏览器Edge漏洞曝光:强行追踪用户
近日,微软的新浏览器Edge———Windows 10自带的的默认浏览器被爆会强行追踪用户。一名叫阿希什•辛格(Ashish Singh)的研究人员在Forensic Focus上撰文曝光了微软Edge的一个漏洞。Edge会在计算机的硬盘驱动器中存储用户访问过的网站记录,至在私密浏览模式下也是如此,如果存储文件被恢复,就等于建立了一份用户的网站访问历史档案。Edge被认为是IE的替代者,但根据Netmarketshare的统计数据,在当前的PC浏览器市场上,Edge只占据了约3%份额,而IE浏览器仍占有45%的市场份额。不过据The Verge报道,其他浏览器——包括Chrome、Safari、和Firefox,也曾有过类似的漏洞,这表明私密浏览模式并不意味着能够免于被跟踪。
2016-01-29
iOS 9.1存漏洞,连夜更新可致闹铃实效
据外媒Metro报道,苹果最新发布的iOS 9.1系统更新存在漏洞,采用“连夜更新”(Overnight updates)模式升级后,可导致设备闹铃失效。还有其他一些用户通过社交网站Twitter等方式,表达了他们对iOS 9.1上此处漏洞的不满情绪。苹果在上个月发布的iOS 9.0.1中,确实修复了几处跟闹铃有关的安全漏洞,但在最近发布的iOS 9.1上,仍旧出现了“连夜更新”漏洞。
2015-10-27
iOS 9.1正式发布,封堵越狱漏洞
苹果今天正式推出iOS 9.1版本系统更新,目前用户可使用在线更新和连接iTunes等多种方式进行升级。这次升级包容量维持在200MB至300MB之间,主要针对Live Photo功能进行优化,增加了对于即将推出的第四代Apple TV以及iPad Pro的兼容性支持,新增150多种表情符号,可更新手机涵盖包括iPhone 4S及以后的机型。此外,此次更新对越狱漏洞进行了封堵。
2015-10-22
网易官方回应漏洞:称邮箱不存在自身数据泄露问题
昨日网上出现报道,称网易邮箱出现数据泄露,随后网易官方发表声明,声明称本次事件经严密技术排查,网易邮箱不存在自身数据泄露问题。此次事件,是由于部分用户在其他网站使用了和网易邮箱相同的帐号密码,其他网站的帐号信息泄露,被不法分子利用,侥幸尝试登录网易邮箱造成。
2015-10-20
Adobe Flash 再爆安全漏洞,将影响所有版本
在刚发布了例行安全更新后,Adobe Flash 又爆出一个危险漏洞,有研究称这个这个漏洞来自某网络间谍,意在政府、NATO 和媒体。这个漏洞会影响Windows、Mac 和 Linux 平台上的每一个版本,攻击者可借此“破坏和控制受影响的系统”。Adobe 表示暂无立即可用的更新,预计推出时间为下周。在此之前,担心安全的用户可考虑在不必要时卸载掉 Adobe Flash。
2015-10-16
漏洞盒子宣布获上海金融发展投资基金领投 3000 万元 pre-A 轮融资
漏洞盒子安全测试与服务平台,宣布自己获得由上海金融发展投资基金领投,线性资本跟投的 3000 万元 pre-A 轮融资。据公司称,本轮融资将被主要用于新产品研发和人才引进。
2015-08-03
合作伙伴
36氪APP下载
iOS & Android
