全部標(biāo)簽

安全漏洞

網(wǎng)絡(luò)裝機(jī)工具iVentoy曝內(nèi)核級(jí)安全漏洞開(kāi)發(fā)者24小時(shí)內(nèi)發(fā)布修復(fù)補(bǔ)丁

事件背景5月7日，科技媒體borncity披露知名裝機(jī)工具iVentoy 1.0.2版本存在重大安全隱患。該工具系開(kāi)源項(xiàng)目Ventoy（全球裝機(jī)量超500萬(wàn)次的USB啟動(dòng)盤制作工具）開(kāi)發(fā)者于2024年6月推出的網(wǎng)絡(luò)裝機(jī)系統(tǒng)，采用PXE協(xié)議實(shí)現(xiàn)多設(shè)備并發(fā)安裝操作系統(tǒng)，支持Windows/Linux/VMware等110余種系統(tǒng)鏡像。漏洞詳情據(jù)Reddit技術(shù)社區(qū)與GitHub開(kāi)發(fā)者論壇反饋，該版本…
IT資訊
- 40
- 0
主機(jī)幫5月8日
PHP 開(kāi)源項(xiàng)目 ADOdb 發(fā)布 v5.22.9 版本，修復(fù) CVSS 滿分嚴(yán)重安全漏洞

5 月 5 日消息，PHP 開(kāi)源項(xiàng)目 ADOdb 于上周推出 v5.22.9 版本。該版本著重修復(fù)了一項(xiàng)極為嚴(yán)重的安全漏洞 ——CVE-2025-46337，其 CVSS 風(fēng)險(xiǎn)評(píng)分達(dá)到滿分 10 分。官方指出，該漏洞 “可能波及全球 280 萬(wàn)個(gè)已安裝 ADOdb 的環(huán)境”，影響范圍廣泛，情況不容樂(lè)觀。作為廣受歡迎的 PHP 數(shù)據(jù)庫(kù)抽象層組件，ADOdb 憑借統(tǒng)一的 API 接口，為開(kāi)發(fā)者提供…
IT資訊
- 23
- 0
主機(jī)幫5月6日
Power Pages 被曝高危安全漏洞

2 月 21 日消息，科技媒體 bleepingcomputer 昨日（2 月 20 日）發(fā)布博文，報(bào)道稱微軟公司發(fā)布安全公告，披露 Power Pages 平臺(tái)存在一個(gè)高危權(quán)限提升漏洞，且有證據(jù)表明該漏洞已被黑客利用進(jìn)行零日攻擊。該漏洞追蹤編號(hào)為 CVE-2025-24989，影響 Microsoft Power Pages，屬于訪問(wèn)控制不當(dāng)問(wèn)題，允許未授權(quán)用戶提升其在網(wǎng)絡(luò)上的權(quán)限并繞過(guò)用戶注…
IT資訊
- 34
- 0
主機(jī)幫2月21日
微軟示警 ASP.NET 重大安全漏洞，攻擊者正利用網(wǎng)上公開(kāi)的 ASP.NET 靜態(tài)密鑰，通過(guò) ViewState 代碼注入攻擊部署惡意軟件

2 月 7 日消息，科技媒體 bleepingcomputer 昨日（2 月 6 日）發(fā)布博文，報(bào)道稱微軟發(fā)出示警，有攻擊者正利用網(wǎng)上公開(kāi)的 ASP.NET 靜態(tài)密鑰，通過(guò) ViewState 代碼注入攻擊部署惡意軟件。微軟威脅情報(bào)專家近期發(fā)現(xiàn)，一些開(kāi)發(fā)者在軟件開(kāi)發(fā)中使用了在代碼文檔和代碼庫(kù)平臺(tái)上公開(kāi)的 ASP.NET validationKey 和 decryptionKey 密鑰（這些密鑰原…
IT資訊
- 50
- 0
主機(jī)幫2月7日
斯巴魯被曝存在安全漏洞：可通過(guò)員工網(wǎng)站可控制車輛

1 月 26 日消息，斯巴魯近期被曝出一起嚴(yán)重的安全漏洞，雖然漏洞已經(jīng)修復(fù)，但仍暴露了當(dāng)前汽車在隱私保護(hù)方面的重大問(wèn)題。據(jù) Engadget 昨日?qǐng)?bào)道，安全研究人員 Sam Curry 和 Shubham Shah 發(fā)現(xiàn)，斯巴魯?shù)膯T工網(wǎng)頁(yè)門戶存在安全隱患，黑客可以通過(guò)該漏洞遠(yuǎn)程控制車輛并查看位置數(shù)據(jù)。研究人員警告稱，斯巴魯并非唯一存在車輛數(shù)據(jù)安全問(wèn)題的公司，其他品牌也可能面臨類似漏洞。漏洞被發(fā)…
IT資訊
- 26
- 0
主機(jī)幫1月26日
Impact-Pack 插件曝存在嚴(yán)重安全漏洞被黑客植入了加密貨幣挖礦病毒

近日，ComfyUI社區(qū)廣受歡迎的插件 Impact-Pack 被曝存在嚴(yán)重安全漏洞，導(dǎo)致其依賴的 Ultralytics 包（版本8.3.41和8.3.42）被黑客植入了加密貨幣挖礦病毒。由于 Impact-Pack 是幾乎每位用戶都會(huì)安裝的插件，許多人可能因此受到了影響。病毒通過(guò)惡意修改的 Ultralytics 包自動(dòng)下載并執(zhí)行惡意程序，連接到可疑的礦池地址（connect.consren…
IT資訊
- 111
- 0
主機(jī)幫24年12月6日
百度云防護(hù)解決網(wǎng)安掃描網(wǎng)站的安全漏洞問(wèn)題

最近，有一位客戶聯(lián)系上主機(jī)邦，需要解決網(wǎng)站漏洞問(wèn)題，原因他們公司的網(wǎng)站因?yàn)楸划?dāng)?shù)鼐W(wǎng)安掃描到有高危安全問(wèn)題，被要求整改，但由于他們公司的網(wǎng)站是找別人做的，沒(méi)有程序員，不知道如何修改，所以聯(lián)系上主機(jī)邦，看怎么處理。可別小看了這個(gè)整改通知，這個(gè)整改具有強(qiáng)制性的，根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》第五十九條，網(wǎng)絡(luò)運(yùn)營(yíng)者不履行網(wǎng)絡(luò)安全保護(hù)義務(wù)的，由有關(guān)主管部門責(zé)令改正，給予警告；拒不改正或者導(dǎo)致危害網(wǎng)絡(luò)安全…
經(jīng)驗(yàn)教程
- 78
- 0
主機(jī)幫24年11月20日
知名郵件代理程序Exim爆出嚴(yán)重安全漏洞：150萬(wàn)臺(tái)服務(wù)器受影響！

Exim是一款廣泛使用的郵件傳輸代理（MTA）軟件，主要用于類Unix系統(tǒng)，如Linux和macOS。近期，Exim被曝出存在多個(gè)嚴(yán)重的安全漏洞，這些漏洞使得攻擊者能夠繞過(guò)郵件服務(wù)器的安全保護(hù)機(jī)制，向用戶發(fā)送惡意軟件。漏洞詳情最新的漏洞編號(hào)為CVE-2024-39929，影響超過(guò)150萬(wàn)臺(tái)SMTP郵件服務(wù)器。該漏洞源于Exim在解析RFC-2231標(biāo)頭時(shí)的錯(cuò)誤，這種標(biāo)頭負(fù)責(zé)管理電子郵件附件中文…
IT資訊
- 72
- 0
主機(jī)幫24年7月15日
微軟發(fā)現(xiàn)一個(gè)命名為“Dirty Stream”的嚴(yán)重安全漏洞

5月5日消息，國(guó)外媒體報(bào)道稱，微軟近期披露了一個(gè)被命名為“Dirty Stream”的重大安全漏洞，該漏洞使得攻擊者能夠控制應(yīng)用程序并竊取用戶的敏感信息。微軟指出，這一問(wèn)題并非孤立事件，許多廣泛使用的Android應(yīng)用程序普遍存在這類漏洞，包括下載量超過(guò)10億次的小米文件管理器和大約5億次下載的WPS Office。目前，這兩家軟件供應(yīng)商均已確認(rèn)其產(chǎn)品中存在的安全隱患。微軟的研究團(tuán)隊(duì)強(qiáng)調(diào)了受影響…
IT資訊
- 99
- 0
主機(jī)幫24年5月5日
GitHub被曝安全漏洞，可被黑客利用偽裝成“微軟”分發(fā)惡意軟件

4 月 23 日消息，代碼托管網(wǎng)站 GitHub 被曝高危嚴(yán)重漏洞，存在于 comment 文件上傳系統(tǒng)中，黑客利用該漏洞可以分發(fā)各種惡意軟件。用戶可以將文件上傳到指定 GitHub comment 中（即便該條 comment 并不存在），也會(huì)自動(dòng)生成下載鏈接。此鏈接包括存儲(chǔ)庫(kù)的名稱及其所有者，可能會(huì)誘使受害者認(rèn)為該文件是合法的。而且該漏洞并不需要任何復(fù)雜的專業(yè)技術(shù)，只需要上傳惡意文件到指定…
IT資訊
- 88
- 0
主機(jī)幫24年4月27日
微軟 SharePoint 被曝安全漏洞，被黑客利用可訪問(wèn)、下載日志文件

根據(jù)最新消息，網(wǎng)絡(luò)安全公司 Varonis Threat Labs 近日發(fā)布博文，披露了存在于微軟 SharePoint 中的兩個(gè)漏洞，被黑客利用后可下載日志文件。博文中介紹了兩種攻擊方式，第一種方法是攻擊者使用 PowerShell 腳本結(jié)合 SharePoint 的客戶端對(duì)象模型來(lái)嘗試下載文件，不過(guò)這種操作實(shí)際上不會(huì)下載文件，而是訪問(wèn)相關(guān)日志，因此管理員很難檢測(cè)到未經(jīng)授權(quán)的數(shù)據(jù)下載。第二種…
IT資訊
- 109
- 0
主機(jī)幫24年4月15日
D-Link NAS 設(shè)備被曝高危安全漏洞

事件概述近期，多款已停止支持的D-Link網(wǎng)絡(luò)附加存儲(chǔ)（NAS）設(shè)備被曝出存在嚴(yán)重的安全漏洞。這個(gè)漏洞的追蹤編號(hào)為CVE-2024-3273，它主要涉及到通過(guò)“system”參數(shù)的命令注入問(wèn)題，以及針對(duì)硬編碼賬戶（用戶名：“messagebus”和空密碼）的后門，可以在設(shè)備上執(zhí)行遠(yuǎn)程攻擊命令。影響設(shè)備據(jù)研究，受影響的設(shè)備型號(hào)包括DNS-320L Version 1.11, Version 1…
IT資訊
- 105
- 0
主機(jī)幫24年4月8日
谷歌 WebP 圖片格式被曝堆緩沖區(qū)溢出漏洞

9 月 16 日消息，美國(guó)國(guó)家標(biāo)準(zhǔn)及技術(shù)研究所（NIST）近日發(fā)布安全公告，發(fā)現(xiàn)谷歌推出的 WebP 圖片格式存在堆緩沖區(qū)溢出漏洞。這個(gè)漏洞追蹤編號(hào)為 CVE-2023-4863，谷歌表示目前已經(jīng)發(fā)現(xiàn)了相關(guān)證據(jù)，表明有黑客利用該漏洞發(fā)起攻擊。這個(gè)漏洞是由于在 Webp 的邏輯處理中沒(méi)有正確實(shí)現(xiàn)哈夫曼表，BuildHuffmanTable 函數(shù)中存在越界寫(xiě)入問(wèn)題，攻擊者可能通過(guò)構(gòu)造惡意數(shù)據(jù)執(zhí)行任…
IT資訊
- 128
- 0
主機(jī)幫23年9月16日
英偉達(dá)人工智能軟件存在安全漏洞可被操控泄露個(gè)人信息

6月10日消息:根據(jù)一項(xiàng)最新研究顯示，英偉達(dá)的人工智能軟件中的一個(gè)功能存在安全限制的漏洞，可以被操控以透露私人信息。英偉達(dá)開(kāi)發(fā)了一個(gè)名為「NeMoFramework」的系統(tǒng)，允許開(kāi)發(fā)人員使用各種大型語(yǔ)言模型，這些模型是生成式AI產(chǎn)品（如聊天機(jī)器人）的核心技術(shù)。這款芯片制造商的框架旨在被企業(yè)采用，比如將公司的專有數(shù)據(jù)與語(yǔ)言模型結(jié)合起來(lái)，以提供對(duì)問(wèn)題的回答。例如，它可以復(fù)制客服代表的工作或?yàn)閷で?hellip;
IT資訊
- 161
- 0
主機(jī)幫23年6月10日
什么是tls1.3？

TLS 1.3(Transport Layer Security version 1.3)是TLS協(xié)議的最新版本，于2018年發(fā)布。TLS是一種用于在客戶端和服務(wù)器之間提供安全通信的協(xié)議，通常用于Web瀏覽器和服務(wù)器之間的數(shù)據(jù)傳輸。TLS 1.3主要是為了解決TLS 1.0和TLS 1.1中的一些安全漏洞而發(fā)布的。 TLS 1.3的主要特性包括：安全性增強(qiáng) :TLS 1.3引入了新的安全機(jī)制，如…
經(jīng)驗(yàn)教程
- 685
- 0
主機(jī)幫23年5月25日
Spring現(xiàn)高危安全漏洞

3月30日消息:據(jù)外網(wǎng)消息，目前主流的 Java EE輕量級(jí)開(kāi)源框架Spring被曝JNDI注入漏洞，該CVE編號(hào)為0day，漏洞評(píng)級(jí)為高危。據(jù)了解，受漏洞影響條件包括：1、JDK 版本號(hào) 9 及以上的；2、使用了Spring 框架或衍生框架。建議開(kāi)發(fā)者進(jìn)行JDK版本號(hào)（注：如果版本號(hào)小于等于8，則不受漏洞影響）和Spring框架使用情況進(jìn)行排查。業(yè)內(nèi)人士分析，本次Sprintboot漏洞嚴(yán)…
IT資訊
- 662
- 0
主機(jī)幫22年3月30日
GitHub新規(guī)：可托管安全漏洞和惡意程序代碼

一個(gè)月前，GitHub 開(kāi)始和社區(qū)討論對(duì)安全研究、惡意軟件和漏洞相關(guān)政策的調(diào)整，目的是啟用、歡迎和鼓勵(lì) GitHub 上雙重用途安全研究和合作。這個(gè)討論得到了安全研究社區(qū)、項(xiàng)目維護(hù)者和開(kāi)發(fā)者的廣泛支持，他們通過(guò) pull request（PR）分享了反饋意見(jiàn)，并針對(duì)這個(gè)主題進(jìn)行了深入的探討。 GitHub 根據(jù)社區(qū)的反饋意見(jiàn)，對(duì)政策進(jìn)行了一些關(guān)鍵性變化： ● 明確允許雙重用途的安全技術(shù)和與研究漏洞…
IT資訊
- 325
- 0
主機(jī)幫21年6月7日
Chrome已部署Windows 10的安全漏洞緩解措施

在 Windows 10 計(jì)算機(jī)上，微軟部署了名為 CET 的控制流緩解措施，以實(shí)現(xiàn)硬件增強(qiáng)的堆棧保護(hù)?，F(xiàn)在，Google Chrome 瀏覽器也借鑒了這一方案，為所有兼容設(shè)備引入了增強(qiáng)型的漏洞利用防護(hù)特性。據(jù)悉，這項(xiàng)措施能夠阻止攻擊者在 Windows 10 2004 及以上版本的英特爾 11 代 / AMD Zen 3 處理器上利用相關(guān)安全漏洞。（來(lái)自：Tech Community）硬件強(qiáng)…
IT資訊
- 449
- 0
主機(jī)幫21年5月5日
Twitter確認(rèn)宕機(jī)，但沒(méi)有證據(jù)表明存在網(wǎng)絡(luò)攻擊或安全漏洞

據(jù)外媒報(bào)道，日前，許多Twitter用戶突然無(wú)法訪問(wèn)該服務(wù)平臺(tái)。雖然老Twitter用戶還記得這個(gè)社交媒體網(wǎng)站的“fail whale(故障的鯨魚(yú))”經(jīng)常出現(xiàn)的時(shí)候，但現(xiàn)階段它通常是穩(wěn)定的，最近一次重大問(wèn)題則是因7月份的安全漏洞而出現(xiàn)過(guò)。現(xiàn)在Twitter的API狀態(tài)頁(yè)面報(bào)告指出，該公司正在“調(diào)查Twitter API的違規(guī)行為”，而據(jù)中斷跟蹤器Down Detector稱，在美國(guó)東部時(shí)間下午5…
IT資訊
- 707
- 0
主機(jī)幫20年10月16日
漏洞賞金平臺(tái)HackerOne全球白帽黑客支付1億美元賞金

漏洞獎(jiǎng)勵(lì)平臺(tái)HackerOne日前宣布，截至 2020 年 5 月 26 日，已經(jīng)向全世界的白帽黑客支付了 1 億美元的獎(jiǎng)勵(lì)。該平臺(tái)CEOM?rten Mickos表示，自從HackerOne開(kāi)始向客戶提供漏洞報(bào)告以來(lái)，漏洞賞金獵人已經(jīng)發(fā)現(xiàn)了大約 17 萬(wàn)個(gè)安全漏洞。其中，超過(guò) 70 萬(wàn)名白帽黑客已經(jīng)為超過(guò) 1900 名HackerOne客戶的產(chǎn)品提交安全漏洞獲得報(bào)酬。數(shù)據(jù)顯示，Hacker…
經(jīng)驗(yàn)教程
- 747
- 0
主機(jī)幫20年5月29日
Win10 Edge瀏覽器被爆安全漏洞

隱私安全越來(lái)越多地被提上臺(tái)面，尤其是在互聯(lián)網(wǎng)日益發(fā)達(dá)的當(dāng)下。安全研究人員Matt Weeks日前爆料稱，Windows10 自帶的Edge瀏覽器會(huì)發(fā)送用戶幾乎所有瀏覽網(wǎng)頁(yè)的URL地址給微軟后端服務(wù)器，同時(shí)還有明文的安全賬戶識(shí)別ID。之所以出現(xiàn)上述情況是Edge自帶的SmartScreen篩選器功能，微軟強(qiáng)調(diào)其工作機(jī)制就是比對(duì)網(wǎng)址數(shù)據(jù)，以便在訪問(wèn)高危網(wǎng)站時(shí)提醒用戶。不過(guò)，Weeks表示，微軟顯…
IT資訊
- 927
- 0
主機(jī)幫19年7月24日
火狐瀏覽器出現(xiàn)安全漏洞官方已發(fā)布緊急補(bǔ)丁

6月19日消息:火狐瀏覽器用戶注意了，如果你運(yùn)行的是火狐67.0. 3 版和火狐ESR 60.7. 1 版之外的版本，那么就要更新瀏覽器了。火狐瀏覽器制造商 Mozilla發(fā)布警告稱，該瀏覽器出現(xiàn)了“零日漏洞”(zero-day)(又叫零時(shí)差攻擊，是指被發(fā)現(xiàn)后立即被惡意利用的安全漏洞)，官方已經(jīng)發(fā)布了緊急補(bǔ)丁以修復(fù)漏洞。目前尚不清楚黑客們會(huì)試圖通過(guò)積利用這一漏洞獲得什么，據(jù)猜測(cè)竊取密碼是其中…
IT資訊
- 859
- 0
主機(jī)幫19年6月19日
php5.07.0版本年底停更，六成網(wǎng)站面臨安全漏洞

Web科技應(yīng)用現(xiàn)況的調(diào)查公司W(wǎng)3Techs近日表示，根據(jù)所有網(wǎng)站使用的PHP版本狀況，從明年1月1日起，有近62%的網(wǎng)站將因未能獲得安全更新而陷入被黑或被植入惡意程序的風(fēng)險(xiǎn)。根據(jù)W3Techs的調(diào)查，截自本月15日，在其研究的網(wǎng)站樣本中，使用PHP的比例高達(dá)78.9%，而所有網(wǎng)站使用PHP 5的比例又達(dá)到61.8%。細(xì)分當(dāng)中版本，所有網(wǎng)站使用PHP 5.6版的比例為41.5%，為版本5之冠。根據(jù)P…
IT資訊
- 833
- 0
主機(jī)幫18年11月12日
雅虎將為史上最大安全漏洞案支付5000萬(wàn)美元賠償金

新浪科技訊北京時(shí)間 10 月 24 日早間消息，雅虎已經(jīng)同意支付 5000 萬(wàn)美元的賠償金，并向美國(guó)和以色列的約 2 億名用戶提供兩年的免費(fèi)信用監(jiān)控服務(wù)，此前這些用戶的電子郵件地址及其他個(gè)人信息在有史以來(lái)最大的安全漏洞案中被盜。上述賠償需在聯(lián)邦法庭批準(zhǔn)周一提交的和解協(xié)議后才會(huì)生效，這項(xiàng)和解協(xié)議是就一樁已經(jīng)進(jìn)行了兩年的訴訟案而達(dá)成的，原告方要求雅虎為 2013 年到 2014 年間發(fā)生的數(shù)字竊案…
IT資訊
- 786
- 0
主機(jī)幫18年10月24日