jQuery 跨站脚本漏洞影响大量网站 | 每日安全资讯
Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告(PDF),除了最流行的 JS 框架 Angular 和 React 外,报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。
jQuery 过去 12 个月的下载量超过了 1.2 亿次,是 Vue.js 的 4000 万次和 Bootstrap 的 7900 万次之和。Vue.js 发现了 4 个漏洞,都已经修复。
Bootstrap 发现了 7 个跨站脚本漏洞,3 个是在 2019 年披露的,无安全修正。jQuery 发现了 6 个影响所有版本的安全漏洞,4 个是中等危险级别的跨站脚本漏洞,1 个是中危 Prototype Pollution 漏洞,还有一个是低危拒绝服务漏洞。
jQuery 3.4.0 以上版本不受漏洞影响。jQuery 生态系统还发现了多个恶意的扩展包,其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox,这些包过去一年的下载量从几百到几千不等。
来源:solidot.org
更多资讯
NVIDIA 显卡驱动再出数个高危漏洞 441.12 版本可免疫
NVIDIA 的 Windows 显卡驱动经常会有曝出一些高危漏洞,一般官方的修复速度都挺快的,几个月前那次有第三方志愿者报了却拖着没修还是比较少见的事情。最近的 GeForce 441.12 版本驱动中,NVIDIA 就修复了多个未公开的高危漏洞,另外这几个漏洞在 Quadro、NVS 和 Tesla 的 Windows 驱动中同样存在。
来源:Expreview超能网
详情链接:https://www.dbsec.cn/blog/article/5383.html
iOS 13 越狱工具 Checkra1n 现已发布 适用 iPhone 与 iPad
经过漫长的等待,基于 checkm8 漏洞的 iOS 越狱工具 —— Checkra1n —— 终于公开了首个 beta 测试版本。需要注意的是,目前 iOS 13 的 Checkra1n 越狱工具仍处于测试阶段,因此并不稳定,需要在后续开发中继续深入。想要尝鲜的朋友,可能会在 iPhone 或 iPad 上遇到一些问题。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5384.html
GitHub 年度 Octoverse 报告:超 80% 存储库贡献来自美国之外
知名开源代码托管平台 GitHub 刚刚发布了年度 Octoverse 报告,可知去年最大的开源贡献项目为微软 Visual Studio Code(19.1K)、Azure Docs(14K)和 Flutter(13K)。其次是 Google 的 TensorFlow(9.9K)、Kubernetes(6.9K)、以及 Facebook 创建的 React Native 框架。
来源:cnBeta.COM
详情链接:https://www.dbsec.cn/blog/article/5385.html
黑客发现亚马逊和三星产品漏洞 获数十万美元奖金
11 月 11 日消息,据外媒报道,今年在日本东京举行的 Pwn2Own 黑客竞赛中,两名安全研究人员因发现亚马逊智能助手Alexa驱动的智能设备 Amazon Echo 和三星 Galaxy S10 中的漏洞,获得“顶级黑客”的殊荣。
来源:网易科技
详情链接:https://www.dbsec.cn/blog/article/5386.html
(信息来源于网络,安华金和搜集整理)
- 【每日安全资讯】研究发现网站文本验证码存在“巨大安全漏洞”
- 每日安全资讯:开源组件漏洞影响多个 CMS 系统 | Linux 中国
- 【每日安全资讯】新手上路 | 看我如何发现大疆公司网站的一个小漏洞
- [原创]Yeepay网站安全测试漏洞之跨站脚本注入
- 黑客利用“Simjacker”漏洞窃取手机数据,或影响十亿人 | 每日安全资讯
- 【每日安全资讯】将近5万家网站被感染挖矿劫持脚本 其中八成是Coinhive
- 【每日安全资讯】SQLite 被曝存在漏洞 所有 Chromium 浏览器受影响
- 微软 CTF 协议曝出漏洞 影响 Windows XP 发布以来的所有系统 | 每日安全资讯
- 匿名人员泄露论坛软件 vBulletin 零日漏洞,或影响数十亿互联网用户 | 每日安全资讯
- 每日安全资讯:开源组件漏洞影响多个 CMS 系统
- 【每日安全资讯】Flash 0day 漏洞正被利用针对韩国目标
- 每日安全资讯:Google Chrome将不再允许网站劫持后退按钮
- 每日安全资讯:全部 Docker 版本都存在漏洞,允许攻击者获得主机 root 访问权限
- 研究估计五成 WebAssembly 网站将其用于恶意目的 | 每日安全资讯
- 每日安全资讯:SandboxEscaper 又发布了一个微软 0day 危急漏洞
- 【安全牛学习笔记】手动漏洞挖掘-SQL注入XSS-简介、跨站脚本检测和常见的攻击利用手段
- 研究发现超过 40 个 Windows 设备驱动程序包含提升权限的漏洞 | 每日安全资讯
- 攻击者宣称可利用 0day 漏洞完全控制 Android 手机 | 每日安全资讯
- 网站安全之存储型跨站脚本编制