攻击者

Atlassian Confluence是Atlassian公司出品的专业的企业知识管理与协同软件，可用于构建企业文库等。2021年8月26日Atlassian官方发布公告，披露了CVE-2021-26084 Atlassian Confluence 远程代码执行漏洞。2021年8月31日，互联网上公开了相关漏洞利用脚本，攻击者可在无需登录的情况下构造恶意请求，执行任意代码，控制服务器

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞

Hackernews 编译，转载请注明出处： 趋势科技（Trend Micro）本周宣布发布安全补丁，以解决其Apex One端点安全产品中的多个漏洞，包括一个零日漏洞，跟踪为CVE-2022-40139（CVSS 3.0评分7.2），该漏洞正在被积极利用。 CVE-2022-40139漏洞是与回滚功能相关的不正确验证问题，代理可以利用该漏洞下载未经验证的回滚组件并执行任意代码。 趋势科技发布的公告表示：“我们已经确认，用于Apex One和Apex One SaaS的回滚功能的某些组件中存在不正确的验证漏洞

对抗点击劫持新武器：X-Frame-Options 点击劫持 (Clickjacking) 是一种诱使用户点击一个看似无害的超链接或按钮，实际上却是点击在另一个网页上的一个超链接或按钮。后果可能是泄露了机密的资料，或无缘无故“赞好”一个网站，甚至开启电脑内置的镜头和麦克风。网站开发人员当然有希望保护用户不受攻击，可用的手段主要有 Framekiller 和 X-Frame-Options，前者并不可靠，尤其在 IE 上可以轻易被攻击者破解 (IE 的安全问题真是罄竹难书)，后者只是浏览器自设的措施，并非业界标准

Zoom用户需要尽早更新应用，以免受黑客攻击。如最近所公布的，黑客可以利用Zoom应用程序劫持会议。该漏洞允许攻击者窥探在线会议、收集数据、操纵消息和破坏会议

- Microsoft Office 不当泄漏其内存的内容时，存在资讯泄漏弱点。攻击者可利用此弱点，使用这些资讯危害使用者电脑或资料。(CVE-2020-1445) - 当 Microsoft Word 软件无法正确处理内存中的物件时，存在远端程式码执行弱点

本文摘要：的必要硬件采访功能，而不是自定义 Linux 内核代码。同时，Jann Horn 还认为，三星减少的一些自定义功能是不必要的，如果它们被移除了，也会影响设备的安全性。 据 Jann Horn 的推断，PROCA 是为了容许早已取得内核读写访问权限的攻击者

2016年8月12日，1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞，与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞，只是攻击的位置不同。 2016年8月12日，Zabbix软件被爆jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞，同时官方公布修复了latest.php的toggle_ids参数insert方式的SQL注入漏洞，攻击者无需登录即可通过script等功能直接获取服务器的操作系统权限，经过分析发现Zabbix默认开启了guest权限，且默认密码为空。

奇虎科技 360 Safe Router P0等都是中国奇虎科技公司的一款无线路由器。 多款奇虎科技产品中存在注入漏洞。远程攻击者可借助特制参数利用该漏洞在系统上执行任意命令

今年以来，作为稳增长、培育新动能的重要力量，以5G基建、大数据中心、人工智能、工业互联网等为代表的“新基建”备受关注，目前已有20多个省份公布了建设计划。在全国政协委员、中科院信息工程研究所所长孟丹看来，“新基建”带来新的发展机遇，也对网络空间安全带来了全新挑战。 根据国家互联网应急中心2019年的调查统计，国家信息安全漏洞共享平台新收录通用软硬件漏洞数量创下历史新高