安全公告
-
2017-11-01
综述 当地时间2017年10月31日,WordPress官方发布了4 8 3安全更新,修复了一个存在于之前全版本的SQL注入漏洞。该漏洞源于$wpdb->prepare()可以生成危险的查询命令,导致潜在的SQL注入。WordPress核心并不容易直接受到该漏洞影响,但WordPress官方也加强了插件和主题的安全以防止该漏洞被触发。 相关链接: https: wordpress org news 2017 10 wordpress-4-8-3-security-release 受影响的版本 WordPress <= 4 8 2
更多 -
2017-10-31
综述当地时间2017年10月30日,Oracle官方发布了安全通告,此安全通告涉及一个影响Oracle身份管理器的安全漏洞(CVE-2017-10151)。 此漏洞的CVSS v3基本分数为10 0(详情见附录图),并可能导致Oracle身份管理器受到未经身份验证的网络攻击。该漏洞允许攻击者在未获取合法身份凭证的条件下,通过HTTP远程访问进行漏洞利用,虽然此漏洞在Oracle身份管理器中,但攻击可能会对附加产品产生重大影响。相关链接:http: www oracl
更多 -
2017-10-27
综述 今天,Talos发布了Apache OpenOffice应用程序中发现的三个新的可以任意代码执行漏洞的详细信息。参考网站如下:http: blog talosintelligence com 2017 10 vulnerability-spotlight-apache html漏洞编号 CVE编号 描述TALOS-2017-0295 CVE-2017-9806 OpenOffice文字处理器应用程序的WW8Fonts :: WW8Fonts类构造函数解析恶意字体导致任意写入漏洞,从而远程执行代码。TALOS-2017-0300 CVE-2017-12607
更多 -
2017-10-20
综述 近日,WordPress官方发布了一条安全通告表示在4 8 1版本中发现了一个存储型的XSS漏洞,通过该漏洞,攻击者可以在受影响网站的评论区写下包含恶意代码的留言,当该留言页面被打开时,其中的恶意代码会执行,导致该网站的权限,插件等被更改,甚至被完全控制。 满足以下条件时,WordPress的安装会受到影响: 1 该漏洞需要使用具有评论或留言功能 2 使用带有bbPress插件的WordPress安装中的任何帐户,只要它具有发布功能
更多 -
Adobe Flash Player 远程代码执行漏洞 CVE-2017-11292
2017-10-18
综述 Adobe发布了Windows Macintosh Linux以及Chrome OS多个平台下的Adobe Flash Player安全升级补丁。这次更新修复了一个由于类型混淆漏洞导致的远程代码执行。 Adobe官方注意到了CVE-2017-11292曾经有一段在野时期,被利用于有针对性的攻击Windows用户。 受影响的版本 为了验证安装在你的系统Adobe Flash Player的版本,请访问About Flash Player页面,或者右击运行在Flash Player的内容,同时从菜单中
更多 -
2017-10-17
综述 Windows 为应用之间进行数据传输提供了多种传输方式,其中一种叫做DDE协议(动态交换协议)。它在共享数据的应用程序之间发送消息,并使用共享内存在应用程序之间进行数据交换。利用这一机可以构造制构造特定的DDE字段来执行任意命令。 近日,我们捕获到了一个该类型的样本,攻击开始于针对性的钓鱼电子邮件,看起来好像是由美国证券交易委员会(SEC)发送,试图增加一定程度的合法性,并说服用户打开它们。针对这一最新
更多
