1安全漏洞公告2019年5月8日,Drupal官方发布了Drupal core第三方类库TYPO3/PharStreamWrapper 存在反序列化保护机制可被绕过导致远程代码执行的漏洞的公告,官方编号：SA-CORE-2019-007漏洞公告链接：https://www.drupal.org/sa-core-2019-007根据公告,Drupal core　7.x、8.x版本的依赖库组件Phar

一个漏洞猎人发现并公开披露了一个未修补的浏览器地址栏欺骗漏洞的细节,该漏洞影响了流行的中文UC浏览器和UC浏览器Mini版应用程序。UC浏览器由阿里巴巴旗下的UCWeb开发,在中国和印度是最受欢迎的移动浏览器之一。自从 Symbian 时代开始,UC浏览器就已经成为移动端用户量最大的浏览器之一,此后逐渐发展之Android、iOS及Windows平台。目前在Google Play上UC浏览器安装量

据EETOP论坛报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elli

中国安全研究人员在 4 月 18 日披露了甲骨文刚刚修复的一个高危漏洞：Weblogic 反序列化漏洞(CVE-2018-2628)。安全研究人员是在去年 11 月将漏洞报告给了甲骨文,漏洞允许攻击者在未授权的情况下远程执行任意代码。漏洞影响 Weblogic 10.3.6.0、12.1.3.0、12.2.1.2 和 12.2.1.3。研究人员公开了漏洞细节,随后该漏洞观察到被攻击者利用挖掘数字货

一家深圳公司（该公司网站基本不更新）开发的软件 iLnkP2P 被发现存在严重安全漏洞,全世界有数百万物联网设备受到影响。iLnkP2P 被广泛用于安全摄像头和网络摄像头、婴儿监视器、智能门铃和数字录像机,它允许用户从任何地方简单快捷的访问设备。用户只需要下载移动应用,扫描设备上的二维码或六位数 ID。但安全研究员 Paul Marrapese 发现, iLnkP2P 设备没有提供任何验

大多数现代Android设备使用的高通（Qualcomm）技术存在漏洞,可导致边信道攻击,允许攻击者窃取设备的私钥。漏洞概况近日,信息安全研究人员发现了一种边信道攻击,使得威胁行为者能够从高通的安全密钥存储库中提取敏感数据。这一关键漏洞会影响大多数使用高通芯片的现代Android设备。该漏洞源于高通技术中的一个问题,称为高通安全执行环境（QSEE）——旨在保护设备上的加密密钥。利用该漏洞,攻击者可

前两周发布的 jQuery 3.4.0 除了常规更新外,更重要的是修复了一个称为“原型污染（prototype pollution）”的罕见安全漏洞。什么是原型污染？顾名思义,原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。JavaScript 对象就跟变量一样,但它不是存储一个值（var car =“Fiat”）,而是可以包含基于预定义结构的多个值 (va

几天前,安全研究人员在Microsoft Internet Explorer中发现了一个零日XML外部实体（XXE）注入漏洞,该漏洞可使攻击者从受害者的机器上窃取机密信息或提取本地文件。根据研究人员的说法,IE是MHT文件的默认开启者,因此即使用户使用其他浏览器,IE也可能会打开恶意MHT文件。MHT是Internet Explorer用于脱机下载和保存文件的格式。它可用于保存Web内容或保存电子

1.安全公告2019年4月16日,Oracle官方发布了2019年4月安全更新公告,包含了其家族Fusion Middleware、Financial Services Applications、Retail Applications、MySQL等多个产品的安全漏洞公告。其中有多个Oracle WebLogic Server的远程代码执行漏洞,对应CVE编号：CVE-2019-2658、CVE-2

摘要：据美国科技媒体TechCrunch报道,EA已经修复了在线游戏平台Origin上的一个漏洞。在此之前,研究人员发现该漏洞可能导致玩家在电脑上远程运行恶意代码。 安装了Origin应用的Windows用户都会受此影响。有数千万用户使用Origin应用来购买、获取或下载游戏。为了方便用户通过网页访问具体的游戏商店,该客户端拥有自己的URL机制,可以让玩家通过点击origin://这样的链接来打开