漏洞

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞

周三，苹果发布了针对iOS、iPadOS、macOS、tvOS和watchOS的软件补丁，以解决影响其平台的一系列安全漏洞。 这包括至少37个漏洞，这些漏洞跨越iOS和macOS中的不同组件，从权限提升到任意代码执行，从信息泄露到拒绝服务。 其中最主要的是CVE-2022-2294，这是Google本月早些时候披露的WebRTC组件中的内存损坏漏洞，该漏洞在针对Chrome浏览器用户的真实攻击中被利用

2016年8月12日，1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞，与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞，只是攻击的位置不同。 2016年8月12日，Zabbix软件被爆jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞，同时官方公布修复了latest.php的toggle_ids参数insert方式的SQL注入漏洞，攻击者无需登录即可通过script等功能直接获取服务器的操作系统权限，经过分析发现Zabbix默认开启了guest权限，且默认密码为空。

据The Hacker News消息，中国台湾公司威联通（QNAP） 本周透露，旗下部分网络附加存储 (NAS) 设备正受到最近披露的开源 OpenSSL 加密库中的一个漏洞影响。 据报道，该漏洞被跟踪为CVE-2022-0778（CVSS 评分：7.5），是OpenSSL 中的一个无限循环漏洞，其原因与解析安全证书以触发拒绝服务条件，并远程使未打补丁的设备崩溃时出现的错误有关。如果被利用，该漏洞允许攻击者进行拒绝服务攻击

此外，Nexus 固件映像档也已经发布到 Google Developers 网站上。详情请参阅常见问题与解答一节。 我们的合作伙伴在 2015 年 11 月 2 日当天或更早之前已收到有关这些问题的通知和更新资讯

8月24日，F5官方发布安全公告，修复了一个TMUI（流量管理用户界面，也称为配置实用程序）存在远程命令执行漏洞，该漏洞CVE编号：CVE-2021-23025。攻击者可利用该漏洞通过BIG-IP管理端口对TMUI进行攻击，实现任意命令执行。建议受影响用户及时更新至安全版本进行防护，做好资产自查以及预防工作，以免遭受黑客攻击

根据其自我报告的版本，Cisco TelePresence Collaboration Endpoint 软件受到 Cisco TelePresence CE 视频端点 xAPI 中的一个漏洞的影响，该漏洞可能允许未经身份验证的远程攻击者在受影响设备上执行目录遍历攻击。此漏洞是未充分验证用户提供的输入所致。攻击者可通过将构建的请求发送到 xAPI 来利用此漏洞

来源：网信办发布时间：2021-07-01访问次数：315 微软在2021年6月的安全更新中修复了其Windows操作系统后台打印服务Windows Print Spooler的远程代码执行漏洞（CVE-2021-1675），Windows Print Spooler管理所有本地和网络打印队列，控制所有打印工作。攻击者利用该漏洞可绕过安全检查在目标设备上安装恶意驱动程序。鉴于漏洞危害较大且相关漏洞利用代码已公开，请各单位排查是否部署了受影响的微软产品，及时安装官方补丁程序，做好风险防范，以免发生安全事件

昨日，Joomla! 发布了新版本3.8.0，其中修复了一个存在多达8年之久的LDAP注入漏洞，该漏洞影响3.7.5及其之前的所有版本。通过该漏洞，攻击者可以通过盲注（blind injection）的技巧来获取管理员账户密码，从而控制配整个Joomla!。使用版本1.5至3.7.5并且配置了LDAP验证的Joomla!均受该漏洞影响

[行业动态]iOS 13刚刚发布便被曝有严重的安全漏洞？ 据用户Thanamite和createdbyeric透露，当用户添加信用卡信息后，便会发现保存到他们个人资料中的信息并不是自己的，而是来自一个完全陌生的人的。信息包括了姓名、账单地址以及信用卡号码的最后四位数字，这让他们面临着严重的风险。 在发现这一漏洞后，createdbyeric联系了苹果，苹果迅速将问题升级到更高级别并承认问题的严重性

Intel 各型处理器，继去年年初被发现其分支预测执行单元存有称为“Spectre”和“Meltdown”的严重资安漏洞后，近日又被发现另一个类似的资安漏洞，可导致在 CPU 内存取的敏感资料遭到窃取。 骇侵者可利用这个资安漏洞，以“旁路攻击”（Side-channel attack）方式滥用一种称为 SWAPGS 的指令，取得处理器核心内存中的敏感资料，例如密码、token、加密密钥等。 这个漏洞虽然和先前的 Spectre、Meltdown 很类似，但先前各操作系统厂商发行的资安修补程式，对此一漏洞是无效的，必须另行安装新的更新修补程式

漏洞描述 Microsoft SharePoint是美国微软（Microsoft）公司的一套企业业务协作平台。该平台用于对业务信息进行整合，并能够共享工作、与他人协同工作、组织项目和工作组、搜索人员和信息。 Microsoft SharePoint Server存在欺骗漏洞

5G网络所具备的大带宽、广连接、低时延等特征，让万物可联、万物可算，也让信息触手可及、智能无处不在。但我们在享受5G网络便捷的同时，也不可忽视其安全问题。 近日，据外媒报道，美国普渡大学与爱荷华大学的科研人员发现了多个5G安全漏洞，黑客可利用这些漏洞对用户进行实时定位，甚至还能神不知鬼不觉地让用户的5G手机掉线

安全软件公司Secunia公布了年度PC软件漏洞评论报告，软件扫描发现86%的漏洞来自于第三方开发商，而不是微软的Windows操作系统或应用。而大多数发现的漏洞在检测出时已发布了修复补丁。在50个最流行的Windows程序中，发现漏洞最多的是Google Chrome和Mozilla Firefox，各自检测出291和257个漏洞，第三是 Apple iTunes，243个检测漏洞，之后是Adobe Flash Player有67个，Oracle Java JRE SE发现66个，Adobe AIR 56个，Windows 7 50个，Adobe Reader 43个，Internet Explorer有41个，Apple Quicktime 29个