研究人员近日发现, macOS 和 iOS 中出现一处叫 “chaiOS” 的漏洞,利用该漏洞可以生成 “文本炸弹” 链接,如果发送给其他用户,将导致该用户的 iMessage 应用程序连续循环崩溃。

macOS 10.13.2系统中被爆出一个新漏洞,利用漏洞可以让本地管理员用任何用户名密码解锁App Store系统设置。也就是说如果你在办公室里离开时没有锁屏,别人就可以更改你的App Store设置。

Mozilla已经正式确认,最近披露的 Meltdown和Spectre CPU漏洞 —— 可能通过 Web 站点内容(比如JavaScript文件)进行漏洞利用,也就是说,用户可能因为访问某个网页而被提取信息。

这两个漏洞来自Google Zero Project 安全研究团队,几乎影响到自 1995 年以来生产的所有CPU。这些漏洞影响会影响台式机,笔记本电脑,服务器,智能手机,智能设备以及云服务中的CPU。

captcha是wordpress的官方插件,用于验证码,据说这个后门是偶然被发现的,是因为含后门版本的作者对使用wordpress商标的问题,接着wordpress把captcha下架,继而wordfence(为wordpress提供waf的厂商)检查发现插件后门。
这个后门是更新触发,从4.3.6版本开始(本人安装的版本)就有后门,执行插件更新就会加入后门代码。这个后门利用userID(admin)创建会话,设置认证cookie,接着删除痕迹,后门是管理员权限,但是由于执行了unlink(__FILE__),所以只能被用一次。

目前,越来越多的网站运营者都采用了HTTPS,这样很快就会导致浏览器将HTTP网页默认标记为不安全。

就比如,目前火狐浏览器Firefox Nightly(v59)包含一个秘密配置项,一旦被激活,就会显示一个可见的指示标,来表示当前的页面不安全。在一般的浏览器中,如果是HTTPS的页面,会采用一个锁状标志来表示安全。而在火狐浏览器Firfox现在的形式中,通过添加一条红色的斜线来表示HTTP页面不安全。

Google 2017年12月的Android安全公告中提到了一个漏洞,该漏洞能让攻击者绕过应用程序签名验证并将恶意代码注入Android应用程序。

Typecho是一个轻量级的开源博客系统,近日有网友爆出该系统的安装文件install.php存在反序列化可控点,能导致任意代码执行。
快速修补方法:
删除install.php及install目录
漏洞细节:
在 install.php 文件的 288-235行

macOS又被爆出漏洞,最新版本的macOS High Sierra能让用户创建一个空密码的root账号,创建方法非常简单,只需要反复按键。

Andrey Konovalov最近披露了本地特权升级的漏洞,他在Linux网络子系统内部发现了漏洞,同时使用工具syzcaller“fuzzing”。在oss – sec的邮件线程中,Konovalov写道:“当构建一个带有MSG_MORE __ip_append_data()的UFO包时,调用ip_ufo_append_data()来追加。然而,在两个send()调用之间,append路径可以从UFO切换到非UFO,这会导致内存损坏。

风讯DOTNETCMS是一款具有强大功能的系统,基于.NET构架的内容管理软件,国内领先的第一款开源的.集成WEB2.0元素的模块化的CMS建站系统。
近日有网友在审计该系统代码的时候发现存在可以利用的漏洞,绕过管理员账号信息验证,直接进入后台,可谓是非常危险的一个利用漏洞。

下面给大家分享一下漏洞细节:

先从DotNetCMS的登录逻辑处代码分析,如下图: