中国安全公司深信服（Sangfor）近日发现了名为 PrintNightmare 的零日漏洞，允许黑客在补丁完善的 Windows Print Spooler 设备上获得完整的远程代码执行能力，该公司还发布了概念证明代码。 在 6 月补丁星期二活动日中，微软发布的安全累积更新中修复了一个类似的 Print Spooler 漏洞。但是对于已经打过补丁的 Windows Server 2019 设备，PrintNightmare 漏洞依然有效，并允许攻击者远程执行代码。...

瑞典斯德哥尔摩 KTH 皇家理工学院的计算机科学教授 Pontus Johnson，刚刚在一篇学术文章中介绍了他在通用图灵机（UTM）中发现的可执行任意代码的相关漏洞。作为历史上最早的计算机设计之一，通用图灵机（UTM）是由已故的人工智能学家 Marvin Minsky 在 1967 年提出的一项概 The Register 指出，这其实是一个相当有趣的哲学观点，即如果计算机的最简单概念之一容易受到用户的干预，那我们应该的设计过程中尝试部署哪些安全特性？...

在年度黑客大会 Pwn2Own 中，两位来自荷兰的白帽安全专家凭借着在 Zoom 中发现的远程代码执行（RCE）漏洞，获得了 20 万美元的赏金。Pwn2Own 大会是由 Zero Day Initiative 举办的一场高规格黑客比赛，主要是让黑客在限定时间内对常用软件、移动设备发起挑战。 举办该活动的目的是为了验证流行的软件、服务、设备都存在缺陷和漏洞，并通过赏金的方式来遏制漏洞的地下交易。这些受到攻击的“targets”自愿提供自己的软件和设备，并对攻击成功者给予奖励。...

作为8月11日补丁周二的一部分，一个0day级别的漏洞被修复，它影响到Windows 7、Windows 8.1、Windows 10和几个Windows Server版本，微软还承认已经留意到利用此漏洞发生的攻击已经出现。这是操作系统中的一个欺骗漏洞，详情记录在CVE-2020-1464中， "存在一个欺骗漏洞可以令Windows错误地验证文件签名。成功利用该漏洞的攻击者可以绕过安全功能，加载不正当签名的文件。在攻击场景中，攻击者可以绕过旨在防止加载不当签名文件的安全功能。"微软表示，看起来这个缺陷从2018年起就存在。...

Check Point Technologies拥有的流行安全软件公司ZonaAlar 遭遇了数据泄露，安全漏洞暴露了ZonaAlarm论坛用户的数据。 ZoneAlarm套件包括面向用户和小型组织的防病毒软件和防火墙解决方案，下载量接近1亿。 虽然ZoneAlarm或者其母公司Check Point都还没有公开这次的事件，但该公司本周末悄悄地通过电子邮件警告了所有用户。...

强烈建议：Chrome用户请尽快升级浏览器！在谷歌今天发布的紧急补丁程序中修复了两个严重的零日漏洞，而其中一个已经被黑客利用。Chrome安全小组表示，这两个漏洞均为use-after-free形式，允许黑客在受感染设备上执行任意代码。其中一个漏洞存在于浏览器的音频组件中， Google Chrome小组在博客中说，稳定版已经升级至78.0.3904.87，修复了这两个问题：
此更新包括2个安全修复程序。下面，我们重点介绍由外部研究人员提供的修复程序。请参阅Chrome安全性页面以获取更多信息。...

Kravets 此次公布的 Steam 客户端零日漏洞是一种特权升级漏洞，将影响超过 9600 万用户。 首个 Steam 客户端零日漏洞就是被 Kravets 发现的，但在 Valve 解决此漏洞之后，研究员  Xiaoyin Liu  发现并披露了绕过 Valve 的补丁的方法。 结果Valve 不仅没有奖励 Kravets，还禁止他参加赏金计划。...

2019年04月17日，国家信息安全漏洞共享平台（CNVD）官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞，攻击者可利用该漏洞在未授权的情况下远程执行命令。 值得注意的是，知道创宇旗下创宇盾监控发现，该漏洞最早在4月17日存在漏洞扫描痕迹，另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据，其中中国30,600条 主要分布在北京、广东、上海等省市。由此知道创宇404实验室发出紧急漏洞预警，...