漏洞类别：Ubuntu 漏洞等级： 漏洞信息 It was discovered that QEMU incorrectly handled VirtFS directory sharing. It was discovered that QEMU incorrectly handled the Cirrus VGA device. It was discovered that QEMU incorrectly handled the Cirrus VGA device when being used with a…

漏洞类别：Ubuntu 漏洞等级： 漏洞信息 It was discovered that libytnef incorrectly handled malformed TNEF streams. 漏洞危害 If a user were tricked into opening a specially crafted TNEF attachment, an attacker could cause a denial of service or possibly execute arbitrary code. 解决方…

漏洞类别：Ubuntu 漏洞等级： 漏洞信息 It was discovered that the Git restricted shell incorrectly filtered allowed commands. 漏洞危害 A remote attacker could possibly use this issue to run an interactive pager and access sensitive information. 解决方案 Refer to Ubuntu advisory USN-3…

漏洞类别：Ubuntu 漏洞等级： 漏洞信息 It was discovered that the KDE-Libs Kauth component incorrectly checked services invoking D-Bus. 漏洞危害 A local attacker could use this issue to gain root privileges. 解决方案 Refer to Ubuntu advisory USN-3286-1 for affected packages and patch…

漏洞类别：Ubuntu 漏洞等级： 漏洞信息 Multiple security issues were discovered in Thunderbird. Multiple security issues were discovered in Thunderbird. A flaw was discovered in the DRBG number generation in NSS. 漏洞危害 If a user were tricked in to opening a specially crafted m…

漏洞类别：RedHat 漏洞等级： 漏洞信息 The kernel packages contain the Linux kernel, the core of any Linux operating system. A race condition flaw was found in the N_HLDC Linux kernel driver when accessing n_hdlc.tbuf list that can lead to double free. A local, unprivileged u…

漏洞类别：SUSE 漏洞等级： 漏洞信息 SUSE has released security update for ghostscript-library to fix the vulnerabilities. Affected Products: SUSE Linux Enterprise Software Development Kit 11-SP4 SUSE Linux Enterprise Server 11-SP4 漏洞危害 This vulnerability could be exploited t…

漏洞类别：SUSE 漏洞等级： 漏洞信息 SUSE has released security update for bash to fix the vulnerabilities. Affected Products: SUSE Linux Enterprise Software Development Kit 12-SP2 SUSE Linux Enterprise Server 12-SP2 SUSE Linux Enterprise Desktop 12-SP2 漏洞危害 Malicious users c…

漏洞类别：SUSE 漏洞等级： 漏洞信息 SUSE has released security update for mariadb to fix the vulnerabilities. Affected Products: SUSE Linux Enterprise Software Development Kit 12-SP2 SUSE Linux Enterprise Software Development Kit 12-SP1 SUSE Linux Enterprise Server 12-SP2 SU…

背景内容 在分析iOS平台上与沙盒逃逸有关的攻击面时，我们在iCloud钥匙串同步功能的OTR实现中发现了一个严重的安全漏洞。 iCloud钥匙串同步功能允许用户以一种安全的方式跨设备共享自己的密码。该协议与其他跨设备密码共享机制（例如谷歌Chrome的密码同步功能）相比，安全性有显著的提升，因为它所采用的端到端加密使用了设备绑定型（device-specific）密钥，而这种加密方式能够显著提升iCloud钥匙串同步机制的安全性，即使用户的密码被盗或者iCloud后台服务器受到攻击，用户的安全也能够得到有效的保障…

*本文原创作者：tocttou，本文属FreeBuf原创奖励计划，未经许可禁止转载 HSTS是让浏览器强制使用HTTPS访问网站的一项安全策略。HSTS的设计初衷是缓解中间人攻击带来的风险。本文主要介绍HSTS及其他Web功能带来的一些隐私问题，比如如何利用它们来探测浏览器的用户历史纪录。 一、背景：什么是HSTS HSTS的英文全称是HTTP Strict Transport Security，中文译作HTTP严格传输安全。2012年11月IETF发布RFC 6797，在这篇文档中正式定义了HSTS。HSTS的开…

作者：360代码卫士 翻译：360代码卫士 投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿 当Windows用户都在担心操作系统遭受想哭勒索蠕虫劫持时，苹果用户还在高枕无忧地认为恶意软件的攻击奈何不了他们。但实际并非如此，苹果产品也并非刀枪不入，一本电子书就能黑掉Mac、iPhone和iPad。 周一，苹果为iOS、macOS、Safari、tvOS、iCloud、iTunes和watchOS发布软件更新，修复了共69个安全漏洞，其中很多漏洞都可被用于在受影响系统上执行远程代码。 其中包含多个…

作者：华为未然实验室 翻译：华为未然实验室 预估稿费：200RMB 投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿 前言 影响互操作技术的漏洞是一类较为有趣的安全漏洞，这是因为这些漏洞通常会影响使用该技术的任何应用程序，无论应用程序实际执行什么操作。同样，在很多情况下，开发人员难以在不使用该技术的情况下推出缓解措施，但有时候却做不到。 我发现.NET的组件对象模型（COM）互操作性层存在此类漏洞，这使.NET跨权限边界用于分布式COM（DCOM）本质上是不安全的。本文将描述一些可对此进行滥用的…

前言 Joomla！是世界上最受欢迎的内容管理系统（CMS）解决方案之一。它可以让用户自定义构建网站实现强大的在线应用程序。据不完全统计互联网上超过3％的网站运行Joomla！，同时它占有全球9%以上的CMS市场份额。 截止至2016年11月，Joomla！的总下载量超过7800万次。目前Joomla！官方还提供了超过7800个扩展插件（含免费、收费插件）及其他的可用资源可供下载。 漏洞描述 漏洞等级：严重 漏洞类型：sql 注入 利用难度：简单 利用方式：远程 影响版本：Joomla! 3.7.0 Core 漏洞…

前言 Burp Suite 在前段时间更新了v1.7.22版本，其中引入了一个新的模块： Mobile Assistant，它用于配合 Burp Suite 更方便地测试 iOS 应用程序。它可以修改 iOS 设备的系统代理设置，让 HTTP(S) 流量可以轻松重定位到电脑上正在运行的 Burp 。另外它还可以绕过你需要注入 App 的 SSL 证书的验证，拦截、检查和修改所有流量。 安装 Burp Suite Mobile Assistant 因为其功能的性质，需要依赖越狱设备上的软件包管理器 Cydia，并且要…

当全球忙于应对自动传播的WannaCry勒索软件所带来的威胁时 ，维基解密发布了“Vault 7”（第七号保险库）的新一轮中央情报局（CIA）机密信息，详细介绍了CIA明显针对微软的Windows平台的恶意软件框架。 这两个恶意软件框架名为“AfterMidnight”（“午夜之后”）和“Assassin”（“暗杀者”），主要用于监控和上报运行Windows操作系统的受感染远程计算机上的行动，并执行CIA下达的恶意行动。 自三月以来，维基解密已发布几十万份文档和机密的黑客工具，并宣称这些文档和工具来自CIA。本轮信…

E安全5月17日讯 ProofPoint公司的安全专家们发现，相当一部分设备之所以未受WannaCry影响，是因为其已经被Adylkuzz成功感染。 近期引发轩然大波的WannaCry勒索软件攻击事件并非首例与美国NSA“永恒之蓝”及“双脉冲星”黑客工具相关的安全问题。 Adylkuzz才是WannaCry勒索软件的大哥 Proofpoint公司的研究人员们已经发现，隐藏式矿工Adylkuzz才是首例利用永恒之蓝触发服务器消息块（简称SMB）协议内安全漏洞的实际威胁。 该僵尸网络利用永恒之蓝漏洞以提升恶意软件传播能…

全国人大常委会5月16日在中国人大网官网公布《中华人民共和国国家情报法（草案）》全文，公开征求意见，意见截止日期为2017年6月4日。 2016年12月19日在十二届全国人大常委会第二十五次会议上首次审议了国家情报法草案，全国人大常委会2017年立法工作计划中明确了将在2017年6月召开的全国人大常委会继续审议国家情报法。 草案全文共计五章28个条文，主要内容是明确了国家情报工作的任务和体制机制，明确了国家情报工作机构的职权，明确了国家情报工作保障，明确对国家情报工作的规范和监督。 该草案声明中写道：“国家情报工作…

北京时间5月12日以来，互联网上出现了针对Windows操作系统的Wannacry勒索软件蠕虫大范围感染事件，并在5月13日出现了传播感染高峰期，对我国互联网络构成较为严重的安全威胁。在经过突发重大网络安全事件应急协调处置工作后，5月14日下午以后Wannacry勒索软件蠕虫在全网的传播趋势已得到有效控制，但仍应保持高度关注。 通过对 Wannacry蠕虫所发动的SMB漏洞攻击态势的持续监测,CNCERT 发现自5月13 日至 5 月 14 日,发起 SMB 漏洞攻击尝试的主机(很可能已被Wannacry蠕虫感染)…

由工业和信息化部指导，国家互联网应急中心和中国通信学会联合主办，中国电子学会、中国互联网协会网络与信息安全工作委员会和中国通信学会通信安全技术委员会协办的2017中国网络安全年会（第14届）将于5月22日-24日在山东青岛举办。22日将举行第二届CNCERT国际合作论坛暨FIRST技术研讨会。 据组委会介绍，第二届CNCERT国际合作论坛暨FIRST技术研讨会面向2017中国网络安全年会的所有参会代表开放，与国际事件应急响应与安全组织（FIRST）成员、亚太地区计算机应急响应组织（APCERT）成员、东盟各国CER…

2017年5月17日，中国互联网协会、国家互联网应急中心在京联合发布《中国移动互联网发展状况及其安全报告（2017）》，这是国内针对中国移动互联网发展状况及其安全的顶级、专业、权威的研究报告，报告对中国移动互联网发展状况、移动互联网安全态势情况及移动互联网治理情况等方面进行了全面、综合、深入地统计、分析和研究。报告显示，在国家大力实施创新驱动发展、互联网+、宽带中国及大众创业、万众创新等战略下，中国移动互联网发展呈现出以下特征和趋势（根据CNCERT抽样监测结果统计）。 2016年中国境内活跃的手机上网码号数量达1…

漏洞类别：CGI 漏洞等级： 漏洞信息 Apache Hadoop is an open-source software framework used for distributed storage and processing of big data sets using the MapReduce programming model. Apache Hadoop versions prior to 2.7.0 contain the following vulnerabilities: CVE-2017-316…

漏洞类别：Fedora 漏洞等级： 漏洞信息 Fedora has released security update for kernel to fix the vulnerability. Affected OS: Fedora 25 漏洞危害 This vulnerability could be exploited to gain complete access to sensitive information. Malicious users could also use this vulnerabilit…

漏洞类别：Fedora 漏洞等级： 漏洞信息 Fedora has released security update for kernel to fix the vulnerability. Affected OS: Fedora 24 漏洞危害 This vulnerability could be exploited to gain complete access to sensitive information. Malicious users could also use this vulnerabilit…

漏洞类别：Fedora 漏洞等级： 漏洞信息 Fedora has released security update for libplist to fix the vulnerability. Affected OS: Fedora 24 Fedora 25 漏洞危害 This vulnerability can also be used to cause a limited denial of service in the form of interruptions in resource availabili…