最常用的 JavaScript 包管理器 nmp 新版本 5.7.0 中出现了一个漏洞,会更改 Linux 系统中关键文件如 /etc, /usr, /boot 等的所有者权限,导致系统或多个本地应用崩溃,还可能导致系统无法重启。
npm的全名为Node Package Manager,它是JavaScript程序语言的包管理器,也是Node.js预设的包管理器。为Node.js,Ember,jQuery,Bootstrap,React,Angular和许多其他JavaScript框架提供库和插件。

思科目前已经推出了新的安全补丁,来修复CISCO ASA 中的 CVE-2018-0101漏洞。
一月底该公司发布了安全补丁也是针对这个漏洞,远程未经身份验证的攻击者可利用此漏洞执行任意代码或触发导致系统重新加载的拒绝服务(DoS)情况。

Mozilla发布了Firefox浏览器的重要更新,修补了一个严重的漏洞,这个漏洞能让远程攻击者在受影响计算机上执行恶意代码。

这次更新是在Mozilla推出新Firefox Quantum浏览器(Firefox 58)之后的一个星期,它具有一些新功能,如改进的图形引擎和性能优化以及针对30多个漏洞的补丁。
根据思科发布的安全建议,Firefox 58.0.1解决了由于Chrome(浏览器UI)中的HTML片段“过滤不充分”而导致的“任意代码执行”漏洞。

网络犯罪分子现在正在使用一种新的“无法检测”的间谍恶意软件,其目标是Windows,macOS,Solaris和Linux系统。

研究人员近日发现, macOS 和 iOS 中出现一处叫 “chaiOS” 的漏洞,利用该漏洞可以生成 “文本炸弹” 链接,如果发送给其他用户,将导致该用户的 iMessage 应用程序连续循环崩溃。

macOS 10.13.2系统中被爆出一个新漏洞,利用漏洞可以让本地管理员用任何用户名密码解锁App Store系统设置。也就是说如果你在办公室里离开时没有锁屏,别人就可以更改你的App Store设置。

Mozilla已经正式确认,最近披露的 Meltdown和Spectre CPU漏洞 —— 可能通过 Web 站点内容(比如JavaScript文件)进行漏洞利用,也就是说,用户可能因为访问某个网页而被提取信息。

这两个漏洞来自Google Zero Project 安全研究团队,几乎影响到自 1995 年以来生产的所有CPU。这些漏洞影响会影响台式机,笔记本电脑,服务器,智能手机,智能设备以及云服务中的CPU。

captcha是wordpress的官方插件,用于验证码,据说这个后门是偶然被发现的,是因为含后门版本的作者对使用wordpress商标的问题,接着wordpress把captcha下架,继而wordfence(为wordpress提供waf的厂商)检查发现插件后门。
这个后门是更新触发,从4.3.6版本开始(本人安装的版本)就有后门,执行插件更新就会加入后门代码。这个后门利用userID(admin)创建会话,设置认证cookie,接着删除痕迹,后门是管理员权限,但是由于执行了unlink(__FILE__),所以只能被用一次。

目前,越来越多的网站运营者都采用了HTTPS,这样很快就会导致浏览器将HTTP网页默认标记为不安全。

就比如,目前火狐浏览器Firefox Nightly(v59)包含一个秘密配置项,一旦被激活,就会显示一个可见的指示标,来表示当前的页面不安全。在一般的浏览器中,如果是HTTPS的页面,会采用一个锁状标志来表示安全。而在火狐浏览器Firfox现在的形式中,通过添加一条红色的斜线来表示HTTP页面不安全。

Google 2017年12月的Android安全公告中提到了一个漏洞,该漏洞能让攻击者绕过应用程序签名验证并将恶意代码注入Android应用程序。