Adobe Flash Player内存破坏漏洞（CVE-2015-0310）（APSB15-02）

2016年10月21日 9 阅读

发布日期：2015-01-22更新日期：2015-01-23受影响系统：Adobe Flash Player < 16.0.0.257Adobe Flash Player < 13.0.0.260Adobe Flash Player < 11.2.202.429不受影响系统：Adobe Flash Player 16.0.0.287Adobe Flash Player 13.0.0.262Adobe Flash Player 11.2.2...

Google披露了三个OS X 0day漏洞

2016年10月21日 9 阅读

过去两天，Google的Project Zero披露了三个OS X 0day漏洞（一、二和三）。三个漏洞不算是高危漏洞，要利用这些漏洞攻击者需要首先能访问目标计算机。过去几周，Google因先后公开多个未修复微软Windows操作系统漏洞而引发了不小的争议，同时搜索巨人对旧版Android漏洞的态度也饱受人非议。在Google看来，修复操作系统漏洞就像修复网站跨站脚本漏洞一样简单：它在17天内修复了一个跨站脚本漏洞，微软90天内都没修复还有什么理由可说？但...

Google 再次抢先公布OS X系统漏洞

2016年10月21日 9 阅读

早前 Google Project Zero 在 Microsoft 推出修复更新前，抢先公布了 Windows 8.1 的漏洞，并被 Microsoft 指责，这次轮到 Apple 的 OS X Yosemite 了。Project Zero 这次公布了三个 Yosemite 系统漏洞，而且它们的严重程度均被界定为高的。Google 表示他们早在去年十月已经私下告知了 Apple 有关漏洞，不过 Project Zero 的系统是会在九十日后自动将漏洞资...

Oracle VM VirtualBox本地安全漏洞（CVE-2014-6590）

2016年10月21日 9 阅读

发布日期：2015-01-20更新日期：2015-01-25受影响系统：Oracle VM VirtualBox 〈 4.3.20描述：BUGTRAQ ID: 72213CVE（CAN） ID: CVE-2014-6590VirtualBox是一种x86的虚拟化产品。Oracle VM VirtualBox在VMSVGA device子组件的实现上存在本地安全漏洞，经身份验证的本地攻击者可利用此漏洞影响受影响组件的完整性、可用性。该漏洞影响的版本包括：4....

dpkg parse_error_msg函数格式字符串漏洞

2016年10月21日 11 阅读

发布日期：2014-11-06更新日期：2015-01-27受影响系统：Debian dpkg 1.16.13描述：CVE（CAN） ID: CVE-2014-8625dpkg是为“Debian” 专门开发的套件管理系统，方便软件的安装、更新及移除。dpkg 1.17.22之前版本，parsehelp.c的parse_error_msg函数存在多个格式字符串漏洞，远程攻击者通过package或architecture名称内的格式字符...

Siemens SIMATIC S7-1200 CPU开放重定向漏洞（CVE-2015-1048）

2016年10月21日 8 阅读

发布日期：2015-01-22更新日期：2015-01-27受影响系统：Siemens SIMATIC S7-1200 CPU < V4.1描述：BUGTRAQ ID: 72282CVE（CAN） ID: CVE-2015-1048SIMATIC S7-1200是可编程控制器，可实现简单却高度精确的自动化任务。Siemens SIMATIC S7-1200 CPU设备（固件4.1之前版本）的集成Web服务器（端口80/tcp及端口443/tcp）存在...

Google Chrome 40.0.2214.91多个安全漏洞

2016年10月21日 9 阅读

发布日期：2015-01-21更新日期：2015-01-27受影响系统：Google Chrome 40.0.2214.91描述：BUGTRAQ ID: 72288CVE（CAN） ID: CVE-2014-7923,CVE-2014-7924,CVE-2014-7925,CVE-2014-7926,CVE-2014-7927,CVE-2014-7928,CVE-2014-7930,CVE-2014-7931,CVE-2014-7929,CVE-2014-...

Adobe Flash Player拒绝服务漏洞（CVE-2015-0311）（apsa15-01）

2016年10月21日 9 阅读

发布日期：2015-01-22更新日期：2015-01-27受影响系统：Adobe Flash Player < 13.0.0.262Adobe Flash Player 16.0.0.287Adobe Flash Player 15.xAdobe Flash Player 14.xAdobe Flash Player 11.2.202.438描述：BUGTRAQ ID: 72283CVE（CAN） ID: CVE-2015-0311Adobe Fl...

OpenStack Glance图形处理用户存储配额绕过漏洞

2016年10月21日 9 阅读

发布日期：2015-01-19更新日期：2015-01-27受影响系统：openstack Glance 2014.2.x （Juno）openstack Glance 2014.1.x （Icehouse）描述：CVE（CAN） ID: CVE-2014-9623OpenStack Glance是OpenStack图形服务，提供虚拟磁盘图像的搜索、注册和递送服务。OpenStack Glance 2014.1.x （Icehouse） 2014.1.3之...

Bugzilla命令注入及安全限制绕过漏洞

2016年10月21日 9 阅读

发布日期：2014-10-20更新日期：2015-01-27受影响系统：Bugzilla Bugzilla描述：CVE（CAN） ID: CVE-2014-8630Bugzilla是一个开源的缺陷跟踪系统。Bugzilla没有正确过滤某些输入，这可导致注入并执行任意shell命令，要成功利用此漏洞需要 "editcomponents" 权限；WebServices模块没有正确限制XML及JSON APIs内的API方法，这可导致访问受限制功能。<*来...

kwallet密码加密本地安全漏洞

2016年10月21日 9 阅读

发布日期：2013-07-24更新日期：2015-01-27受影响系统：KDE kwallet < 5.6.0描述：BUGTRAQ ID: 67716CVE（CAN） ID: CVE-2013-7252kwallet是管理KDE系统上密码的工具。KDE 14.12.0之前版本，KWallet中的kwalletd在加密密码库时，使用ECB模式的而非CBC模式的Blowfish加密密码库，这可使攻击者通过码本攻击，利用此漏洞猜测密码。<*来源：It...

Cisco Unified Communications Manager文件泄露漏洞（CVE-2014-8008）

2016年10月21日 9 阅读

发布日期：2015-01-21更新日期：2015-01-28受影响系统：Cisco Unified Communications Manager描述：BUGTRAQ ID: 72263CVE（CAN） ID: CVE-2014-8008Cisco Unified Communications Manager是企业级IP电话呼叫处理系统。Cisco Unified Communications Manager （CUCM）的Real-Time Monitor...

GNU glibc 爆 gethostbyname 缓冲区溢出漏洞

2016年10月21日 9 阅读

GNU glibc 标准库的 gethostbyname 函数爆出缓冲区溢出漏洞，漏洞编号：CVE-2015-0235，漏洞详情请看这里。Glibc 是提供系统调用和基本函数的 C 库，比如open, malloc, printf等等。所有动态连接的程序都要用到它。Debian 7.6下升级glibc至2.15 http://www.linuxidc.com/Linux/2014-09/106751.htmDebian 用 GLIBC 替代 EGLIBC ...

危险！GHOST（幽灵）漏洞曝光

2016年10月21日 9 阅读

"GNU C库（Glibc）是GNU系统的三大基础组件（Linux内核，GCC编译器，GLIBC库），一个名为GHOST（幽灵）的glibc高威胁漏洞已经曝光。这个漏洞影响到了自从2000年以来的几乎所有的 GNU/Linux 发行版，攻击者可以利用 glibc 中的 __nss_hostname_digits_dots（） 函数的堆缓冲区溢出漏洞对GNU/Linux进行远程攻击。这个函数由被大量程序使用的 _gethostbyname（） 函数所调用的。...

一黑客非法窃取交友网站的2000万用户数据

2016年10月21日 9 阅读

泄露数据包括Gmail、Hotmail以及Yahoo邮箱一名黑客非法窃取了在线交友网站Topface一个包含2000万用户资料的数据库。目前并不清楚这些数据是否已经公开，但是根据某些未公开页面的消息说，某个网名为“Mastermind”的人声称掌握着这些数据。泄露数据列表涵盖了全世界数百个域名此人号称泄露数据的内容100%真实有效，而Easy Solutions的CTO，Daniel Ingevaldson 周日在一篇博客中说道，泄...

BusyBox本地安全限制绕过漏洞（CVE-2014-9645）

2016年10月21日 9 阅读

发布日期：2015-01-27更新日期：2015-01-28受影响系统：BusyBox BusyBox描述：BUGTRAQ ID: 72324CVE（CAN） ID: CVE-2014-9645BusyBox是很多标准Linux工具的一个可执行实现。BusyBox在basename模块参数的实现上存在本地安全限制绕过漏洞，攻击者可利用此漏洞加载任意模块，执行未授权操作。<*来源：Matthias Krause*>建议：厂商补丁：BusyBox-...

LibTIFF越界写拒绝服务漏洞（CVE-2014-8128）

2016年10月21日 9 阅读

发布日期：2015-01-24更新日期：2015-01-28受影响系统：LibTIFF LibTIFF描述：BUGTRAQ ID: 72326CVE（CAN） ID: CVE-2014-8128LibTIFF是一个用来读写标签图像文件格式（简写为TIFF）的库。LibTIFF在多个工具中存在越界写漏洞，攻击者可利用此漏洞造成应用崩溃。<*来源：William Robinet*>建议：厂商补丁：LibTIFF-------目前厂商已经发布了升级补...

LibTIFF越界读拒绝服务漏洞（CVE-2014-8127）

2016年10月21日 9 阅读

发布日期：2015-01-24更新日期：2015-01-28受影响系统：LibTIFF LibTIFF描述：BUGTRAQ ID: 72323CVE（CAN） ID: CVE-2014-8127LibTIFF是一个用来读写标签图像文件格式（简写为TIFF）的库。LibTIFF在处理畸形的TIFF图形时存在越界读漏洞，攻击者可利用此漏洞造成应用崩溃。<*来源：William Robinet*>建议：厂商补丁：LibTIFF-------目前厂商已...

WebKit内存破坏漏洞（CVE-2014-4477）

2016年10月21日 9 阅读

发布日期：2015-01-27更新日期：2015-01-28受影响系统：WebKit Open Source Project WebKit描述：BUGTRAQ ID: 72331CVE（CAN） ID: CVE-2014-4477WebKit是一个开源的浏览器引擎，也是苹果Mac OS X 系统引擎框架版本的名称。WebKit在实现上存在内存破坏漏洞，攻击者可利用此漏洞在受影响应用上下文中执行任意代码。<*来源：lokihardt@ASRT链接：ht...

Apple iOS多个安全漏洞（APPLE-SA-2015-01-27-2）

2016年10月21日 9 阅读

发布日期：2015-01-27更新日期：2015-01-28受影响系统：Apple iOS不受影响系统：Apple iOS 8.1.3描述：BUGTRAQ ID: 72333CVE（CAN） ID: CVE-2014-8840,CVE-2014-4493,CVE-2014-4494,CVE-2014-4467iOS是由苹果公司为移动设备所开发的操作系统，支持的设备包括iPhone、iPod touch、iPad、Apple TV。Apple iOS 8.1...