安全公告
-
Microsoft Office Word 0-day远程代码执行漏洞
2017-04-114月7日,McAfee与FireEye的2名研究员爆出微软(Microsoft)Office Word的一个0-day漏洞。通过发送一个带有OLE2link对象附件的邮件,用户在打开附件时,代码会执行并且连接到一个攻击者控制的远程服务器,由此来下载一个恶意的HTML 应用文件(HTA),此HTA文件会伪装成一个微软的RTF文档。 当HTA文件自动执行后,攻击者会获得执行任意代码的权限,可以下载更多的恶意软件来控制受感染用户的系统,并且关掉原先的Word文档。据了
-
2017-04-06
上周,苹果(Apple)发布了ioses 10 3版本的升级补丁,超过100个应用安全问题被修复。然而苹果在4月5日又发布了一个紧急补丁10 3 1来修复一个重大漏洞(CVE-2017-6975):当用户在使用WI-FI时,同一区域内的攻击者可以在用户的WI-FI芯片上执行代码,从而控制用户的ioses设备。 该漏洞源于博通(Broadcom)WI-FI芯片存在缓冲区溢出漏洞,最早被谷歌(Google)“零日”安全团队成员Gal Beniamini发现,并且已于4月5日公布了有关该漏
-
美国时间2017年3月17日,思科官方网站发布公告称Cisco ioses&ioses XE Software 集群管理协议(Cluster Management Protocol)存在远程执行代码漏洞(CVE-2017-3881,CNNVD-201703-840)。 该漏洞是思科在研究CIA泄漏文档“穹顶7号”的过程中发现。攻击者可以在未授权的情况下远程重启受影响的设备或越权执行代码。造成该漏洞的主要原因是由于没有限制CMP-specific Telnet仅可用于内部与本地的集群成员之间的通信,而是可用
-
预警通告:Windows 2003 R2 II6.0远程代码执行漏洞
2017-03-283月27日,Zhiniang Peng 和Chen Wu发布了关于IIS 6 0 WebDAV远程代码执行的漏洞信息(CVE-2017-7269,CNNVD-201703-1151)。该漏洞源于Microsoft Windows Server 2003 R2的IIS 6 0 中WebDAV 服务下ScStoragePathFromUrl函数,攻击者可以利用此漏洞通过一个以”If: <http: ” in a PROPFIND开头的长头请求来远程执行任意代码,和2016年7-8月份暴露的方法一致。
-
2017-03-15
2017年3月15日,fastjson官方发布安全公告表示fastjson在1 2 24及之前版本存在远程代码执行高危安全漏洞。攻击者可以通过此漏洞远程执行恶意代码来入侵服务器。 fastjson官方建议直接升级到1 2 28 1 2 29或者更新版本来保证系统安全。 相关链接如下: https: github com alibaba fastjson wiki security_update_20170315 什么是fastjson fastjson是一款用Java语言编写的高性能功能完善的JSON库。由于其独特的算法
-
2017-03-14
2017年3月14日,Adobe官网发布了漏洞安全通告,公布了多个漏洞,影响24 0 0 221及其之前的版本,横跨Windows、Mac、Linux和ChromeOS平台。通告中涉及的漏洞种类包括信息泄露和远程代码执行。官方介绍网址如下:https: helpx adobe com security products flash-player apsb17-07 html 什么是Flash Player?Adobe Flash Player是一款高级客户端运行时使用的播放器。它短小精悍,能够在各种浏览器、操作系统和移动设备上使用