代码卫士

科技

NuGet供应链攻击中出现60个新恶意包

,威胁软件供应链原文链接https://thehackernews.com/2024/07/60-new-malicious-packages-uncovered-in.html题图:Pexels
7月12日 下午 6:32
其他

CocoaPods 严重漏洞导致 iOS 和 macOS 应用易受供应链攻击

payload。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读利用
7月2日 下午 5:27
其他

WordPress 插件被安后门,用于发动供应链攻击

插件,但目前证据表明攻陷仅局限于此前提到的五款插件。后门操作和IoC受感染插件中的恶意代码试图创建新的管理员账户并将SEO垃圾内容注入受陷网站。Wordfence
6月26日 下午 5:35
其他

Rapid7:0day攻击和供应链攻陷剧增,MFA利用率仍较低

指出,“这是我们三年中第二次看到大规模攻陷事件呈现增长态势。”MOVEit(去年5月被利用,6月初被披露)、Barracuda
5月28日 下午 5:41
其他

JAVS庭审录制软件被植入后门 用于发动供应链攻击

还对所有系统进行了完全审计并重置了所有密码,确保密码如被盗,不会被用于其它攻陷事件中。该公司提到,“通过与网络当局的监控和协作,我们发现有人通过受陷文件取代
5月27日 下午 5:24
其他

AI Python 包中存在缺陷 “Llama Drama” ,威胁软件供应链

上的6000多个AI模型,凸显AI平台和开发人员解决供应链安全挑战的必要性。值得注意的是,该漏洞是由一名网络安全研究员率先发现的。该漏洞的编号是CVE-2024-34359,是因对
5月23日 下午 5:31
其他

谷歌紧急修复周内第3个已遭利用的0day

引擎中界外读引发的高危漏洞。远程攻击者可使用特殊构造的HTML页面访问所分配内存缓冲区以外的数据,导致堆损坏,从而提取敏感信息。CVE-2024-4671:位于负责处理浏览器中渲染和显示内容的
5月16日 上午 11:38
其他

RSAC 2024观察:软件供应链安全进入AI+时代

AI”两方面的实践。应加快软件物料清单(SBOM)相关的研究和应用我国的国家标准《软件物料清单数据格式》即将公开征求意见,4月份刚发布的《GB/T
5月15日 下午 6:00
其他

PyPI 恶意包假冒合法包,在PNG文件中隐藏后门

Strike的开源C2框架,供网络安全专业人员用语红队演练。Sliver因了解的人少也更不容易被检测到,因此得到越来越多的威胁行动者的青睐。“requests-darwin-lite”的创建者将
5月14日 下午 5:34
其他

谷歌修复今年第五个 Chrome 0day漏洞

组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究人员发现并报送,谷歌表示可能已遭活跃利用。谷歌在安全公告中表示,“谷歌发现
5月11日 下午 5:33
其他

国家黑客组织利用思科两个0day攻击政府网络

活动并发现攻击者至少在2023年6月就已测试并开发了相关利用。思科防火墙后门这两个漏洞可导致攻击者在受陷的ASA和FTD设备上部署此前未知的恶意软件并维护可持久性。其中一个恶意软件植入是
4月25日 下午 5:28
其他

思科修复IMC 高危根提权漏洞

root。要利用该漏洞,攻击者必须在受影响设备上拥有只读或更高权限。”该漏洞的编号是CVE-2024-20295,由对用户提供输入的验证不足引发,可在复杂度较低的攻击中使用构造的CLI
4月18日 下午 5:34
其他

CISA:Sisense事件也影响关键基础设施,或引发供应链攻击

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
4月12日 下午 5:09
自由知乎 自由微博
其他

供应链攻击滥用 GitHub 特性传播恶意软件

中来躲避检测,在构建项目时自动执行”。因此,除非通过专门搜索才能发现,因为一般用户可能不会这样做。为了建立恶意软件的可持久性,攻击者创建了在凌晨4点运行且无需任何用户确认或交互的调度任务。而该代码与
4月11日 下午 5:34
其他

Hugging Face 等AI即服务平台易受严重漏洞影响,遭AI供应链攻击

公司调查显示,不到一般的组织机构认为它们能够以安全的方式使用AI,71%的受访组织机构担心实现前的数据隐私和安全问题,61%的受访组织机构担心内部数据质量问题。尽管AI工具如
4月9日 下午 5:48
其他

思科提醒注意Small Business路由器中的XSS漏洞

交换机受思科0day影响原文链接https://securityaffairs.com/161540/security/cisco-eof-routers-xss.html题图:Pixabay
4月7日 下午 5:38
其他

思科IOS 漏洞可导致未认证的远程DoS 攻击

随后发布告警,建议管理员尽快更新系统。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读思科修复
4月1日 下午 5:42
其他

XZ Utilѕ 工具库恶意后门植入漏洞(CVE-2024-3094)安全风险通告

Linux是在3月26日至3月29日期间更新过的任何Kali安装https://www.kali.org/blog/about-the-xz-backdoor/OpenSUSE是Tumbleweed
3月31日 下午 9:49
其他

谷歌修复 Pwn2Own 2024大赛发现的两个 Chrome 0day

Edge浏览器。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读Mozilla
3月28日 下午 5:29
其他

开源AI框架 Ray 的0day已用于攻陷服务器和劫持资源

CVE-2023-6019、CVE-2023-6020、CVE-2023-6021和CVE-2024-48023。不过该公司并未修复第5个漏洞即严重的RCE漏洞
3月27日 下午 5:14
其他

Mozilla 修复Pwn2Own大赛发现的两个 Firefox 0day

3汽车。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读Pwn2Own
3月26日 下午 5:58
其他

Pwn2Own 2024温哥华大赛落幕 Master of Pwn 诞生

团队,使用一个UAF转RCE漏洞在Edge和Chrome浏览器的渲染器中执行利用,获得8.5万美元和9个积分点。成功Valentina
3月25日 下午 5:29
科技

AWS修复 Airflow 服务中严重的 “FlowFixation” 漏洞

(DAGS)。在某些条件下,这些操作可导致MWAA的基础、横向移动到其它服务的实例上实现RCE。”该漏洞的根因在于AWS
3月25日 下午 5:29
其他

“会话溢出”网络攻击绕过 AI 安全攻击企业高管

的使用增多,尤其是针对高管人员的攻击更是如此,他们遭受的QR码钓鱼攻击要比一般员工高42倍。这类攻击技术的出现表明我们需要保持警醒,Kowski
3月20日 下午 5:44
其他

软件供应链投毒 — NPM 恶意组件分析(二)

供应链事件后,美国考虑实施软件安全评级和标准机制找到软件供应链的薄弱链条GitHub谈软件供应链安全及其重要性揭秘新的供应链攻击:一研究员靠它成功入侵微软、苹果等
3月15日 下午 5:22
其他

研究员开发出AI蠕虫,可在AI系统之间自动传播

联合发布关于保护AI系统开发安全新指南谷歌发布漏洞奖励计划和其它举措,保护AI安全原文链接https://gbhackers.com/created-ai-worm/题图:Pixabay
3月4日 下午 5:39
其他

思科修复 Data Center OS 中的多个高危漏洞

3000和9000系列交换机的端口信道子界面访问控制列表编程中,可在无需认证的情况下被远程用于绕过ACL防护。周三还修复了第五个漏洞,它影响Intersight
3月1日 下午 5:50
其他

俄罗斯政府软件被安装后门,传播恶意软件

文件。当该文件启动时会触发感染序列来建立与C2服务器的连接来等待进一步的指令。该RAT具有的能力包括文件传输和命令执行,据称早在2014年就投入使用,且之前被朝鲜其它黑客组织如APT37
2月26日 下午 5:52
其他

WiFi漏洞导致安卓和Linux设备易受攻击

模块受严重漏洞影响原文链接https://thehackernews.com/2024/02/new-wi-fi-vulnerabilities-expose.html题图:Pexels
2月22日 下午 6:39
其他

Linux glibc 漏洞可导致攻击者在主要发行版本获得 root 权限

公司的安全研究人员指出,“缓冲区溢出漏洞具有重大威胁,因为它可触发本地提权,导致低权限用户通过将输入构造到应用这些日志记录功能的应用,获得完整的
1月31日 下午 5:46
其他

思科提醒注意通信软件中的严重 RCE 漏洞

是一体化解决方案,提供企业级语音、视频和消息服务以及客户参与和管理。该公司已发布安全公告提醒注意该漏洞,它可导致未认证的远程攻击者在受影响设备上执行任意代码。该漏洞由
1月26日 下午 6:45
其他

首届Pwn2Own 汽车大赛落幕,Master of Pwn 诞生

SEC-3100。不过由于其中一个漏洞此前已知,结果获得2.25万美元的赏金和4.5个积分点。(2)成功使用一个缓冲溢出利用
1月26日 下午 6:45
其他

全球软件供应链安全指南和法规概览

发布了两份备忘录即22-18和23-16,它们都关注软件供应链安全并开始提出要求,如要求所有向美国联邦政府出售产品的软件供应商开始自我认证如下软件安全开发实践:如NIST
1月22日 下午 6:25
其他

TensorFlow CI/CD 漏洞使供应链易遭投毒攻击

权限更改为只读。研究人员提到,“随着越来越多的组织机构将其CI/CD进程自动化,类似的CI/CD攻击正在增长。AI/ML企业的工作流要求大量计算力,而
1月19日 下午 5:29
其他

Pwn2Own 2024温哥华大赛目标和奖金公布

特性。服务器类别2024年的服务器类别稍有减少,本次大赛主要关注服务器组件。这些服务器经常受到勒索团伙、国家黑客组织等的青睐,因此这些组织手中存在
1月18日 下午 6:07
其他

谷歌修复2024年首个已遭利用的 Chrome 0day 漏洞

(120.0.6099.224)。尽管谷歌表示需要几天或几周的时间才能将安全更新推送给所有受影响用户,不过现在已推出。选择自动更新的用户可依靠
1月18日 下午 6:07
其他

思科称严重的 Unity Connection 漏洞可导致攻击者获得root权限

设备。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读罗克韦尔自动化称
1月11日 下午 5:35
其他

FTC 推出AI声音克隆欺诈检测挑战赛,最高奖励2.5万美元

指出,“声音克隆技术存在重大风险:家庭和小企业可能遭欺诈性勒索攻击;创意性专业人员如声音艺术家的声音可能被剽窃从而导致生活可能受到威胁,公众可能会遭到欺骗。”FTC
1月8日 下午 5:36
其他

CISA:注意 Chrome 和 Excel 解析库中已遭利用的开源漏洞

中的漏洞。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读谷歌紧急修复今年第8个已遭利用的
1月4日 下午 9:08
其他

速修复!开源通信框架 FreeSWITCH 受严重漏洞影响

进行通话的服务器遭受大规模的拒绝服务攻击。1.10.10及以下版本均受影响。强烈建议用户升级至1.10.11或后续版本。新版本中包含的修复方案释放来自未验证地址的数据包,增强了
2023年12月26日
其他

微软:新后门 “FalseFont” 正在攻击国防行业

组织在2023年2月至7月之间攻击全球数千家组织机构,主要针对的是卫星、国防和制药行业。微软提到,该组织的最终目的是收集符合伊朗国家利益的情报信息。该组织至少活跃于2013年。谷歌旗下公司
2023年12月25日
其他

Mozilla 修复Firefox 漏洞,可导致RCE和沙箱逃逸

方法易受堆缓冲溢出漏洞影响。该漏洞可导致攻击者进行远程代码执行和沙箱逃逸。”其次严重性最高的是CVE-2023-6135,与渲染易受
2023年12月22日
其他

OpenAI 推出的 ChatGPT 数据泄露漏洞补丁不完整

Thief!”的GPT,可将会话数据提取到由研究员操纵的一个外部URL。数据盗取涉及镜像标记渲染和提示注入,因此攻击要求受害者提交攻击者直接提供的恶意提示,或者贴到某个受害者发现和使用的地方。就像
2023年12月22日
其他

Outlook 漏洞链可导致零点击 RCE

漏洞补丁的详情。该漏洞编号为CVE-2023-23397,由微软在2023年3月修复,当时该漏洞已被俄罗斯国家黑客组织利用一年左右。未认证攻击者可发送包含非恶意通知链接的邮件提醒,诱骗
2023年12月21日
其他

谷歌紧急修复今年第8个已遭利用的 Chrome 0day

聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌紧急修复今年年初以来已遭利用的第8个在野
2023年12月21日
其他

Terrapin 攻击可降低 OpenSSH 连接的安全性

攻击的更多详情。代码卫士试用地址:https://codesafe.qianxin.com开源卫士试用地址:https://oss.qianxin.com推荐阅读OpenSSH
2023年12月20日
其他

黑客滥用 GitHub 躲避检测并控制失陷主机

GitHub,专门攻击研究员原文链接https://thehackernews.com/2023/12/hackers-abusing-github-to-evade.html题图:Pexels
2023年12月20日
其他

NSA 发布关于集成SBOMs 提升网络安全的指南

提供了所有的软件组件如开源组件以及组件之间的关系。NSA发布的这项指南按照美国政府之前给出的
2023年12月19日
其他

微软:热门源代码管理平台 Perforce Helix Core Server 中存在RCE漏洞

的系统。余下的三个漏洞严重性较低,可导致DoS攻击,但仍然可导致运营中断,从而在大型部署中造成重大经济损失。防护建议除了从厂商的下载门户下载最新版本的
2023年12月19日
其他

新3年旧3年又3年,堪比 Spring4Shell 的 GWT RCE 漏洞仍无补丁

提到,与之相反,自2015年GWT问题被首次提及以来,代码维护人员并未采取以上任何一种措施。他在文章中详细说明了易受攻击的
2023年12月19日