关于VMware vCenter Server存在堆溢出漏洞的安全公告
2024年10月23日,国家信息安全漏洞共享平台(CNVD)收录了VMware vCenter Server堆溢出漏洞(CNVD-2024-41447,对应CVE-2024-38812)。
代码卫士
CISA 提出安全新要求,保护政府和个人数据安全
其中一条是盘点资产
NPM恶意包利用SSH后门攻击开发人员的以太坊钱包
目前已删除
软件责任机制的挣扎:非常非常非常艰难
责任机制很难推行,而迫使行业在政府不愿插手的地方采取行动更难
谷歌云漏洞奖励计划发布,最高赏金101010美元
快去一试身手
Bugcrowd 发布2024年《走进黑客内心》报告
AI和硬件hacking都在增长
Roundcube Webmail XSS 漏洞被用于窃取登录凭据
已修复
朝鲜APT被指利用IE 0day 发动供应链攻击
该0day是 CVE-2024-38178
Kubernetes Image Builder 严重漏洞导致节点易遭root访问
速修复
F5 BIG-IP 修复高危提权漏洞
并未提及是否已遭利用
VMware 修复HCX 平台上可导致RCE的高危SQLi 漏洞
速修复
谷歌:2023年70%的已遭利用漏洞是0day
威胁行动者在发现和利用软件0day漏洞方面的能力变得更强
微软:学校每周面临数千次攻击
教育行业是行业的行业
GitHub Enterprise Server中存在严重漏洞,可越权访问实例
两种方法
2016年就已存在,Jetpack 中的这个严重漏洞终于被修复了
速升级
Python、npm和开源生态系统中的入口点可用于发动供应链攻击
两种方法
ShadowLogic 技术利用AI模型图创建无代码后门,可引发供应链攻击
该技术名为 ShadowLogic,凭借操作模型架构的计算图表示,在下游应用程序中触发攻击者定义行为,可能引发AI供应链攻击。
Palo Alto 修复多个严重的防火墙漏洞
速修复
OpenAI:伊朗国家黑客利用 ChatGPT 密谋 ICS 攻击
提到了据称与伊朗存在关联的两个黑客组织
CISA:黑客滥用F5 BIG-IP cookie 映射内部服务器
速修复
奇安信代码卫士是国内第一家专注于软件开发安全的产品线,产品涵盖代码安全缺陷检测、软件编码合规检测、开源组件溯源检测三大方向,分别解决软件开发过程中的安全缺陷和漏洞问题、编码合规性问题、开源组件安全管控问题。本订阅号提供国内外热点安全资讯。
(wechat feed made by @ttttmr https://wechat2rss.xlab.app)