最新文章
Top News
Google Project Zero 统计:大部分厂商能在 90 天内修复漏洞
Google 安全团队 Project Zero 近日分享了过去几年安全研究的统计数据,在 2019 年 1 月至 2021 年 12 月期间,团队共计报告了 376 个漏洞,期限为 90 天。其中 351 个(93.4%)已被修复,14 个(3.7%)被供应商标记为“WontFix”,11 个(2. 在所有被发现的漏洞中,微软产品中检测到了 96 个(26%),苹果检测到了 85 个(23%),而 Google 自己检测到了 60 个(16%)。具体数据如下: 从上面可以看出,供应商的情况都有积极的变化。然而,有趣的是,在 2021 年,宽限期被要求了 9 次,其中一半是由微软提出的。...
Google Project Zero 研究人员公开 windows lockdown 机制中的 0-day 漏洞
Google Project Zero 研究人员近期公开了 Windows 10 的一个 0-day 漏洞,可被攻击者利用,在用户模式代码完整性(UMCI)的设备保护环境中绕过 Windows Lockdown 机制,攻击目标计算机并执行任意代码。 根据发布的漏洞利用 POC,这个漏洞代码主要包括两个文件:用于设置注册表的 .INF 以及使用 DotNetToJScript 免费工具创建的 .SCT(可用于将不可信的 .NET 程序集加载到内存中以显示消息框)。 研究人员表示,这个 0-day 漏洞之所以被公开,是因为微软没有按照谷歌披露政策, 稿源:freebuf,封面源自网络;...
WebEx 浏览器插件现远程代码执行漏洞,或诱发大规模攻击事件
23 日,Google Project Zero 安全专家 Tavis Ormandy 对外表示,Cisco WebEx 浏览器插件中存在一个严重的远程代码执行漏洞,或可诱发大规模攻击事件。 专家发现攻击者可使用包含 magic (魔术)字符串的任意 URL 触发漏洞,从而达到在 WebEx 用户系统上执行任意代码的目的。思科曾试图通过限制 https:// * .webex.com 和 https:// * .webex.com 域来解决这一问题,但并未达到效果。研究员强调,...