每日安全资讯:SandboxEscaper 又发布了一个微软 0day 危急漏洞
SandboxEscaper 重新推出了新的 0day权 限提升代码,这名对微软充满了仇恨的女黑客再次击败了微软 4 月份发布的针对 CVE-2019-0841 的补丁,并像往常一样,发布了附带概念验证漏洞利用代码的漏洞,这意味着其它黑客可以快速参考其攻击方法制作恶意软件入侵 Windows 系统。
不过值得庆幸的是,该漏洞需要在本地计算机上运行代码,无法实现远程攻击,比较有害的地方在于,它允许具有有限权限的黑客获得对受保护文件的完全控制,例如她的演示漏洞中的 win.ini。
CERT / CC 已确认此漏洞利用适用于运行微软最新安全更新的 Windows 10 版本 1809 和 1903。
自 2018 年 8 月以来,SandboxEscaper 已经疯狂地发布了 9 个 0day 攻击方法。
了解更多: https://github.com/SandboxEscaper/polarbearrepo/tree/master/ByeBear
来源:cnBeta.COM
更多资讯
微软否认 Windows 远程桌面的网络身份验证漏洞:这是一项功能
安全研究人员称,Windows 1903 更新中存在的网络身份验证(NLA)bug,可被攻击者利用来控制远程会话。据悉,NLA 旨在防止攻击者远程登录到用户的 Windows PC 。它会要求登录者提供必要的详情,以便进行身份验证。原本攻击者不应该知晓这些细节,除非你与外界进行了分享。
来源:cnBeta.COM
详情: http://www.dbsec.cn/zx/20190609-2.html
提升多样性:谷歌现可滤除网站上重复的热门搜索结果
当需要对热门事件进行搜索的时候,网友们常常会见到来自同一个网站的大量重复性搜索结果。但在新政策生效后,谷歌将致力于提升搜索结果的多样性,滤除来自同一网站的重复性内容。谷歌通过官方 Twitter 宣告称,这项变动是在听取了用户们的反馈后实施的。
来源:cnBeta.COM
详情: http://www.dbsec.cn/zx/20190609-3.html
Exim 邮件服务器爆出高危漏洞
Exim 开源邮件服务器爆出了一个高危漏洞,影响 4.87 到 4.91 版本,漏洞允许本地攻击者和某些情况下的远程攻击者以 root 权限在服务器上执行指令。要远程利用漏洞,攻击者需要与存在漏洞的邮件服务器保持连接 7 天,每数分钟就要传输一个比特。
来源:solidot.org
详情: http://www.dbsec.cn/zx/20190609-4.html
(信息来源于网络,安华金和搜集整理)
- 每日安全资讯:Weblogic 0day 漏洞正被攻击者利用安装勒索软件
- 【每日安全资讯】Flash 0day 漏洞正被利用针对韩国目标
- 【每日安全资讯】新手上路 | 看我如何发现大疆公司网站的一个小漏洞
- 【每日安全资讯】phpMyAdmin 4.8.5 发布 修复重要安全漏洞
- 游戏安全资讯精选 2017年第十一期 英国彩票网遭遇DDoS攻击,中断90分钟 微软“10月周二补丁日”发布63个漏洞补丁
- 微软发布2009年6月份10个安全补丁 31个漏洞 下载
- 每日安全资讯:Let's Encrypt 发布自己的证书透明度日志 | Linux 中国
- 每日安全资讯:全部 Docker 版本都存在漏洞,允许攻击者获得主机 root 访问权限
- 微软发布四月份8个安全补丁 修复23个漏洞 下载
- 【每日安全资讯】存在5年的漏洞 竟可以从Linux服务器获取暴利
- 微软发布应急补丁 修复IE零日攻击安全漏洞
- 每日安全资讯:NCSC 发布最常被黑客入侵的密码列表
- 微软将发布5月安全漏洞补丁 修补PPT
- 每日安全资讯:开源组件漏洞影响多个 CMS 系统 | Linux 中国
- 【每日安全资讯】Kubernetes 被曝严重安全漏洞 严重性评估高达9.8分
- 【每日安全资讯】Twitter称已修复账户劫持漏洞 黑客打脸:胡扯
- 【每日安全资讯】美国最高法院将裁决微软储存在海外的数据是否受美国司法管辖
- 微软下周将发布10个安全补丁 严重漏洞超过半数
- 每日安全资讯:计算机科学家发布不会被黑的加密代码
- 【每日安全资讯】特斯拉公共云曾被黑客入侵并隐匿挖矿 漏洞已顺利修复