Cisco Firepower Management Center会话劫持漏洞（CVE-2016-6394）

2016年10月21日 9 阅读

Cisco Firepower Management Center会话劫持漏洞（CVE-2016-6394）发布日期：2016-09-12更新日期：2016-09-16受影响系统：Cisco FireSIGHT System Software < 6.1.0Cisco Firepower Management Center描述：CVE（CAN） ID: CVE-2016-6394Cisco Firepower是高级防火墙系列产品。Cisco Fire...

利用后门小米能在你的手机上安装任意应用

2016年10月21日 9 阅读

荷兰的一位小米4用户发现手机预装了一个叫 AnalyticsCore.apk（com.miui.analytics）的应用，会自动在后台运行，他不喜欢未经许可收集用户信息的应用，因此对它进行了逆向工程。他发现该应用每24小时会访问小米官方服务器检查更新，在发送请求时它会同时发送设备的识别信息，包括手机的IMEI、型号、MAC地址、Nonce、包名字和签名。如果服务器上有名叫Analytics.apk的更新应用，它会自动下载和安装，整个过程无需用户干预。应用...

高通让双镜头手机开发更简易

2016年10月21日 9 阅读

高通这个名为「Clear Sight」的模组，可以提供有意打造双镜头手机的厂家一套简易的解决方案。Clear Sight 的两颗镜头比较接近华为 P9 的那样，是一颗彩色，一颗黑白的组合，而不像 iPhone 7 Plus 是一颗广角一颗长镜头。黑白感光器可以提供更高的低光细节，所以将黑白和彩色照片重合的话，可以得到比较好的夜拍照片呢。目前这个模组仅支持高端的 Snapdragon 820 或 821 SoC，也就是说大概只有旗舰机才用得到了。不过谁知道呢...

Microsoft Edge脚本引擎内存破坏漏洞（CVE-2016-3377）（MS16-105）

2016年10月21日 9 阅读

Microsoft Edge脚本引擎内存破坏漏洞（CVE-2016-3377）（MS16-105）发布日期：2016-08-12更新日期：2016-09-18受影响系统：Microsoft Edge描述：BUGTRAQ ID: 92797CVE（CAN） ID: CVE-2016-3377Edge是内置于Windows 10版本中的网页浏览器。Microsoft Edge处理内存对象中，Chakra JavaScript引擎渲染方式存在内存破坏漏洞，远程攻...

Microsoft Office内存破坏漏洞（CVE-2016-3381）（MS16-107）

2016年10月21日 9 阅读

Microsoft Office内存破坏漏洞（CVE-2016-3381）（MS16-107）发布日期：2016-08-12更新日期：2016-09-18受影响系统：Microsoft Excel 2016Microsoft Excel 2013 SP1Microsoft Excel 2013 RT SP1Microsoft Excel 2010 SP2Microsoft Excel 2007 SP3Microsoft Office Compatibili...

Microsoft Exchange权限提升漏洞（CVE-2016-3379）（MS16-108）

2016年10月21日 10 阅读

Microsoft Exchange权限提升漏洞（CVE-2016-3379）（MS16-108）发布日期：2016-08-12更新日期：2016-09-18受影响系统：Microsoft Exchange Server 2016 Cumulative Update 2Microsoft Exchange Server 2016 Cumulative Update 1描述：BUGTRAQ ID: 92836CVE（CAN） ID: CVE-2016-337...

Mozilla 计划下周二释出更新修复中间人攻击漏洞

2016年10月21日 9 阅读

Mozilla 计划于9月20日（下周二）释出更新修复 Firefox 能被中间人利用向目标用户发送恶意代码的漏洞。漏洞与Mozilla实现的证书绑定（Certificate pinning）保护机制有关。证书绑定设计确保浏览器只接受特定域名或子域名的特定证书，防止伪造证书，即使那些证书是浏览器信任的CA签发的。但研究人员发现Mozilla的实现有漏洞，允许中间人攻击者使用浏览器信任的CA签发伪造的Mozilla扩展addons.mozilla.org服务...

Microsoft Edge内存破坏漏洞（CVE-2016-3294）（MS16-105）

2016年10月21日 9 阅读

Microsoft Edge内存破坏漏洞（CVE-2016-3294）（MS16-105）发布日期：2016-08-12更新日期：2016-09-19受影响系统：Microsoft Edge描述：CVE（CAN） ID: CVE-2016-3294Microsoft Edge是内置于Windows 10版本中的网页浏览器。Microsoft Edge版本存在内存破坏漏洞，远程攻击者通过构造的网站，可执行任意代码或造成拒绝服务。<*来源：Microso...

Apple Xcode otool 拒绝服务漏洞（CVE-2016-4704）

2016年10月21日 9 阅读

Apple Xcode otool 拒绝服务漏洞（CVE-2016-4704）发布日期：2016-09-18更新日期：2016-09-19受影响系统：Apple XCode < 8描述：CVE（CAN） ID: CVE-2016-4704Xcode是苹果机器上所使用的开发工具。Apple Xcode < 8版本，otool中存在安全漏洞。本地用户利用此漏洞可获取提升的权限或造成拒绝服务。<*来源：Apple *>建议：厂商补丁：A...

Cisco IOS XR拒绝服务漏洞（CVE-2016-1433）

2016年10月21日 9 阅读

Cisco IOS XR拒绝服务漏洞（CVE-2016-1433）发布日期：2016-09-18更新日期：2016-09-19受影响系统：Cisco IOS XR 6.0.1Cisco IOS XR 6.0描述：CVE（CAN） ID: CVE-2016-1433Cisco IOS是多数思科系统路由器和网络交换机上使用的互联网络操作系统。NCS 6000设备上，Cisco IOS XR 6.0、6.0.1版本存在安全漏洞。可使远程攻击者通过构造的OSPFv...

Apple Xcode otool 拒绝服务漏洞（CVE-2016-4705）

2016年10月21日 9 阅读

Apple Xcode otool 拒绝服务漏洞（CVE-2016-4705）发布日期：2016-09-18更新日期：2016-09-19受影响系统：Apple XCode < 8描述：CVE（CAN） ID: CVE-2016-4705Xcode是苹果机器上所使用的开发工具。Apple Xcode < 8版本，otool中存在安全漏洞。本地用户利用此漏洞可获取提升的权限或造成拒绝服务。<*来源：Apple *>建议：厂商补丁：A...

Apple iOS Assets中间人攻击漏洞（CVE-2016-4741）

2016年10月21日 9 阅读

Apple iOS Assets中间人攻击漏洞（CVE-2016-4741）发布日期：2016-09-18更新日期：2016-09-19受影响系统：Apple iOS < 10描述：BUGTRAQ ID: 92932CVE（CAN） ID: CVE-2016-4741iOS是由苹果公司为移动设备所开发的操作系统，支持的设备包括iPhone、iPod touch、iPad、Apple TV。Apple iOS 10之前版本，Assets组件存在安全漏洞...

Apple iOS Mail 信息泄露漏洞（CVE-2016-4747）

2016年10月21日 9 阅读

Apple iOS Mail 信息泄露漏洞（CVE-2016-4747）发布日期：2016-09-18更新日期：2016-09-19受影响系统：Apple iOS < 10描述：CVE（CAN） ID: CVE-2016-4747iOS是由苹果公司为移动设备所开发的操作系统，支持的设备包括iPhone、iPod touch、iPad、Apple TV。Apple iOS 10之前版本，Mail错误处理了证书，中间人攻击者利用此漏洞可获取邮件凭证。&l...

思科修复另一个Shadow Brokers 漏洞

2016年10月21日 9 阅读

思科修复了另一个正被利用的密钥交换0day漏洞。该漏洞是黑客组织Shadow Brokers上个月公开NSA网络武器时披露的。漏洞影响思科所有版本的Cisco PIX防火墙和多个版本的 Cisco IOS软件。漏洞存在于处理 IKEv1包的代码中，IKE（互联网密钥交换、 Internet Key Exchange）被用于IPSec协议，帮助在两个端点之间建立安全连接，思科在多个VPN产品使用了它。漏洞允许远程攻击者获取内存内容，可能导致敏感信息泄漏。...

Apple iOS Keyboards 信息泄露漏洞（CVE-2016-4746）

2016年10月21日 9 阅读

Apple iOS Keyboards 信息泄露漏洞（CVE-2016-4746）发布日期：2016-09-18更新日期：2016-09-21受影响系统：Apple iOS < 10描述：CVE（CAN） ID: CVE-2016-4746iOS是由苹果公司为移动设备所开发的操作系统，支持的设备包括iPhone、iPod touch、iPad、Apple TV。Apple iOS 10之前版本，Keyboards组件未正确使用auto-correct...

libarchive 多个整数溢出漏洞（CVE-2015-8931）

2016年10月21日 9 阅读

libarchive 多个整数溢出漏洞（CVE-2015-8931）发布日期：2016-09-18更新日期：2016-09-21受影响系统：libarchive libarchive <= 3.2.0描述：CVE（CAN） ID: CVE-2015-8931libarchive是多种格式的存档文件及压缩库。libarchive 3.2.0及更早版本，archive_read_support_format_mtree.c内的get_time_t_max...

libarchive bsdtar拒绝服务漏洞（CVE-2015-8930）

2016年10月21日 9 阅读

libarchive bsdtar拒绝服务漏洞（CVE-2015-8930）发布日期：2016-09-18更新日期：2016-09-21受影响系统：libarchive libarchive <= 3.2.0描述：CVE（CAN） ID: CVE-2015-8930libarchive是多种格式的存档文件及压缩库。libarchive 3.2.0及更早版本，bsdtar中存在安全漏洞。远程攻击者通过本身为目录成员的ISO，可造成拒绝服务。<*来...

Apache Shiro远程安全限制绕过漏洞（CVE-2016-6802）

2016年10月21日 9 阅读

Apache Shiro远程安全限制绕过漏洞（CVE-2016-6802）发布日期：2016-09-18更新日期：2016-09-21受影响系统：Apache Group Shiro < 1.3.2描述：BUGTRAQ ID: 92947CVE（CAN） ID: CVE-2016-6802Apache Shiro是用于执行认证、授权、加密和会话管理的Java安全框架。Apache Shiro < 1.3.2使用非根servlet上下文路径中存在...

libarchive bsdtar 函数拒绝服务漏洞（CVE-2015-8917）

2016年10月21日 9 阅读

libarchive bsdtar 函数拒绝服务漏洞（CVE-2015-8917）发布日期：2016-09-18更新日期：2016-09-21受影响系统：libarchive libarchive <= 3.2.0描述：CVE（CAN） ID: CVE-2015-8917libarchive是多种格式的存档文件及压缩库。libarchive 3.2.0及更早版本，bsdtar中存在安全漏洞。远程攻击者通过cab文件名称内无效的字符，可造成拒绝服务。&...

Canonical为Ubuntu系统发布Linux Kernel安全更新

2016年10月21日 9 阅读

Ubuntu 安全公告 USN-3084-1 声称，目前已经发现三个安全漏洞会影响到 Ubuntu 16.04 LTS（Xenial Xerus）系统、更高版本，以及其衍生系统。第一个漏洞发现于 Linux Kernel 的审核子系统，它可以允许本地攻击者中断系统调用的审核或损坏审核日志。第二个安全问题关系到 Linux Kernel 的 KVM（基于内核的虚拟机）虚拟机管理程序实现，它没有在 PPC64 （PowerPC 64-bit）和PowerPC（...