cve

Envoy 和 Istio 容易受到几个新发现的漏洞的攻击： CVE-2021-28683： Envoy 包含一个可远程利用的 NULL 指针取消引用，并在收到未知 TLS 警报代码时在 TLS 中崩溃。 CVE-2021-28682： Envoy 包含一个可远程利用的整数溢出，其中非常大的 grpc-timeout 值会导致意外的超时计算。 CVE-2021-29258： Envoy 包含一个可远程利用的漏洞，其中带有空元数据映射的 HTTP2 请求可能导致 Envoy 崩溃

当地时间4月17日，北京时间4月18日凌晨，Oracle官方发布了4月份的关键补丁更新CPU（Critical Patch Update）其中包含一个高危的Weblogic反序列化漏洞(CVE-2018-2628)，通过该漏洞，攻击者可以在未授权的情况下远程执行代码。 该漏洞由绿盟科技研究员首先发现，并及时上报给了Oracle官方，关于该漏洞的更多信息以及绿盟科技的技术防护方案将随后发布，请关注绿盟科技博客。 Oracle官方已经在今天的关键补丁更新（CPU）中修复了该漏洞，强烈建议受影响的用户尽快升级更新进行防护

为保障顾客的安全，在完成调查并提供修补程式或更新版本之前，Apple 将不会披露、讨论或确认安全性问题。最近更新版本已列于 Apple 安全性更新网页。 Apple 安全性文件于安全漏洞方面会尽可能参照 CVE-ID

- macOS Zoom 和 RingCentral 用户端中有一个弱点，可允许未经验证的远端攻击者强制使用者在摄影机启用的情况下加入视讯通话。此弱点是因为未充分授权控制，无法检查哪些系统可能与在连接埠 19421 上执行的本机 Zoom Web 服务器通讯。攻击者可建立恶意网站，造成 Zoom 用户端自动加入攻击者设定的会议，进而恶意利用此弱点

0x01 漏洞详情VMware Spring Cloud Config是美国威睿（VMware）公司的一套分布式系统的配置管理解决方案。该产品主要为分布式系统中的外部配置提供服务器和客户端支持。 近日VMware官方发布通告，修复了一个VMware Spring Cloud Config中的目录遍历漏洞（CVE-2020-5410）

微软资安专家发出警讯，指出目前正有一场大规模垃圾邮件攻击事件，会夹带内含恶意程式码的 RTF 档案。 微软资安专家指出，这些垃圾邮件中夹带的 RTF 档，内含多种不同语言的程式码；一但用户开启 RTF 档，程式码就会在用户无法查觉的情形下自动执行。 恶意程式码执行后，会安装一个后门木马程式，导致用户的资料外流，甚至遭远端遥控

为保障客户的安全，Apple 在进行调查并提供修补程式或版本之前，不会揭露、讨论或确认安全性问题。最新版本列于“Apple 安全性更新”页面上。 Apple 安全性文件会尽可能以 CVE-ID 参照安全漏洞

转发 国家资安资讯分享与分析中心 NISAC-ANA-202211-0044 研究人员发现Google Chrome、Microsoft Edge、Brave及Vivaldi等以Chromium为基础之浏览器， 皆存在Chrome V8 JavaScript引擎之类型混淆(Type Confusion)漏洞(CVE-2022-3723)，此漏洞已遭开采利用，远端攻击者可藉以执行任意程式码。 一、请更新Google Chrome浏览器至107.0.5304.87(含)以后版本，更新方式如下： 二、请更新Microsoft Edge浏览器至107.0.1418.26(含)以后版本，更新方式如下： 三、请更新Brave浏览器至1.45.116(含)以后版本，更新方式如下： 四、请更新Vivaldi浏览器至5.5.2805.42(含)以后版本，更新方式如下：

远端 Red Hat 主机缺少一个或多个安全性更新。 现已提供适用于 Red Hat Enterprise Linux 7 的 qemu-kvm 更新。Red Hat 产品安全性团队已将此更新评等为具有低安全性影响

谷歌已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84，以解决一个被实际利用的高严重性零日漏洞。 浏览器供应商在周五发布的安全公告中说：谷歌知道CVE-2022-1096的一个漏洞被利用。 99.0.4844.84版本已经在稳定的桌面频道中向全球推出，谷歌表示，直到它到达整个用户群可能需要一个星期的时间