来自尼泊尔的安全研究人员近日在Meta的Facebook、Instagram等应用的登录系统中发现新的漏洞,任何人都可以绕过Facebook的双因素身份验证。研究员GtmMänôz向TechCrunch表示:“任何人都可以利用这个漏洞,只要在知道对方电话号码的情况下,就能绕过基于SMS的双因素认证”。Mänôz表示这个漏洞存在于Meta集团的统一登录系统中,用户在输入用于登录其帐户的双因素代码时,Meta没有设置尝试限制。这就意味着只需要了解攻击目标的电话号码或者电子邮件,那么攻击者就可以通过暴力破解的方式来输入双因素短信代码。一旦攻击者获得正确的验证码,那么攻击者就可以展开后续的攻击行为。据
BleepingComputer网站披露,软件供应商SAP发布了19个漏洞的安全更新,其中5个被评为高危漏洞。此次修复的安全漏洞影响多款SAP产品,其中高危漏洞主要影响SAPBusinessObjectsBusinessIntelligencePlatform(CMC)和SAPNetWeaver。此次修复的五个高危漏洞如下:CVE-2023-25616: SAPBusinessIntelligencePlatform中存在的高危(CVSSv3:9.9)代码注入漏洞,允许攻击者访问仅对特权用户开放的资源,影响版本420和430。CVE-2023-23857:严重程度(CVSSv3:9.8)的信息
3月15日消息,谷歌安全团队ThreatAnalysisGroup在最新发布的博文中表示,在微软的SmartScreen中发现安全漏洞,允许攻击者分发Magniber勒索软件。微软在今天的3月补丁星期二活动日中,已经为 Win10 和 Win11 系统发布了累积更新,修复了上述漏洞。关于该漏洞,IT之家翻译谷歌博文内容如下:攻击者使用无效但特制的Authenticode签名,签署并分发了MSI文件。这个格式错误的签名会导致SmartScreen返回错误,在访问包含网络标记(MotW)的不信任文件之后,该错误可以导致绕过向用户显示的安全警告对话框,这表明已从Internet下载了潜在的恶意文件。
近日,根据Fortinet最新报告:不明来源的的攻击者利用零日漏洞针对政府和大型组织,导致操作系统和文件损坏以及数据丢失。Fortinet于2023年3月7日发布了安全更新,以解决这个高危安全漏洞(CVE-2022-41328),该漏洞可以让攻击者执行未经授权的代码或命令。该公司在公告中说:FortiOS中的路径名对受限目录漏洞的不当限制(路径穿越)[CWE-22]允许有特权的攻击者通过CLI命令读取和写入任意文件。受影响的产品包括FortiOS6.4.0至6.4.11版本,FortiOS7.0.0至7.0.9版本,FortiOS7.2.0至7.2.3版本,以及FortiOS6.0和6.2的所
根据安全机构FlashPoint官方博文,在密码管理器Bitwarden的浏览器扩展程序中发现了一个高危漏洞,可以泄露用户的密码信息。恶意网站可以利用该漏洞,在受信任页面中嵌入IFRAME代码。用户访问这些恶意网站,并使用Bitwarden自动填充之后,就可以获取用户的凭证信息。IT之家从博文中获悉,导致这个漏洞的关键是Bitwarden以非典型方式处理网页中的嵌入式iframe。浏览器通过同源策略,分开iframe嵌入页面和父页面。也就是说,iframe嵌入页面和父页面应该是互相隔离的状态,无法访问其内容。目前包括Firefox、Chrome等主要浏览器均采用了这个安全概念。Bitwarde
3月11日消息,根据国外科技媒体BornCity和BleepingComputer报道,Win10、Win11 以及服务器版本存在一个严重的漏洞,可能导致巨大的安全灾难。报告中指出攻击者可以通过创建“模拟文件夹”(mockfolders)的方式,来存储恶意软件。在没有用户账户控制(UAC)提示的情况下,攻击者可以获得管理员权限,绕过AppLocker或软件限制策略(简称SRP或SAFER),安装和执行恶意软件。安全公司SentinelOne在最新博文中解释了该攻击的工作原理,攻击者可以在系统中植入RemcosRAT恶意软件。IT之家根据博文内容汇总如下:攻击者首先发送包含tar.lz压缩格式附
研究人员发现在NIST选定的抗量子密码算法中发现安全漏洞。2022年7月,美国国家标准和技术研究所(NIST)宣布选定的4个抗量子加密算法,其中CRYSTALS-Kyber用于通用加密,CRYSTALS-Dilithium、FALCON和SPHINCS+用于数字签名。CRYSTALS-Kyber被加入到美国国家安全局推荐的应用于国家安全系统的加密算法套件中。2022年12月,瑞典皇家理工学院研究人员发文称在CRYSTALS-Kyber特定实现中发现一个安全漏洞,攻击者利用该漏洞可以发现侧信道攻击。侧信道攻击是通过物理参数的评测和分析来从加密系统中窃取秘密信息。侧信道攻击常用的参数包括电源电流、
TheHackerNews网站消息,可信平台模块(TPM)2.0参考库规范中爆出一个严重安全漏洞,这些漏洞可能会导致设备信息泄露或权限提升。漏洞或影响数十亿物联网设备2022年11月,网络安全公司Quarkslab发现并报告漏洞问题,其中一个漏洞被追踪为CVE-2023-1017(涉及越界写入),另一个漏洞追踪为CVE-2023-1018(可能允许攻击者越界读取)。Quarkslab指出,使用企业计算机、服务器、物联网设备、TPM嵌入式系统的实体组织以及大型技术供应商可能会受到这些漏洞的影响,并一再强调,漏洞可能会影响数十亿设备。可信平台模块(TPM)可信平台模块(TPM)技术是一种基于硬件的
相信大部分读者跟我一样,每天都在写各种API为Web应用提供数据支持,那么您是否有想过您的API是否足够安全呢?Web应用的安全是网络安全中不可忽视的关键方面。我们必须确保其Web应用与后台通信的安全,以防止数据泄露,因为这可能导致重大的财务损失和声誉受损。而在Web应用的安全问题中,最常见的漏洞之一是不安全的直接对象引用,简称:IDOR。即:当应用程序允许用户访问他们不应该访问的资源时,就会发生IDOR漏洞。比如:SaaS软件的用户A访问到了用户B的数据,这样的漏洞是灾难性的,因为用户将不再信任您提供的服务。那么如何方便、快捷的检测IDOR漏洞呢?今天就给大家推荐一个好用的开源工具:IDOR
在微软Edge浏览器110稳定版发布几周后,于周六发布了浏览器的 110.0.1587.56版本更新,修复了多项Chromium安全漏洞。微软的安全页面列出了Edge更新中已修复的八个问题。其中之一CVE-2023-0941被CVE程序标记为“严重”。该页面指出:“在110.0.5481.177之前的Chrome的提示(Prompts)免费使用中,将允许远程攻击者通过精心设计的HTML潜在利用堆损坏页。”网站上列出的其他问题被列为“高”或“中”安全问题。Edge浏览器预计会自动更新到最新版本。如果大家不想等待自动更新,还可以从新版Edge浏览器。
