漏洞

Cactus 勒索软件团伙利用 Qlik Sense 数据分析和商业智能 平台中的三个漏洞的近五个月后，许多组织仍在面临该勒索团伙的威胁。

有研究人员披露，黑客目前正积极利用 WordPress 的 WP Automatic 插件中的一个严重漏洞来创建具有管理权限的用户账户，并植入后门以实现长期访问。

知名智能门铃/摄像头厂商Ring，不但未能阻止员工和黑客窥探用户，而且未经用户同意使用用户视频训练算法，其产品在乌克兰等地甚至被滥用成监控工具，最终因产品安全漏洞和用户隐私泄露而遭受重罚。

近日，隐私研究机构citizenlab发布安全报告显示，除华为以外的八家厂商（百度、荣耀、华为、讯飞、OPPO、三星、腾讯、vivo、小米）的手机云输入法应用均存在严重漏洞，黑客可利用这些漏洞完全窃取用户输入内容，或实施网络窃听。

距离 SolarWinds 供应链安全事件发生了四年，供应链安全问题能否有效解决？总的来说局势并不是很乐观。

攻击者利用该漏洞可以使用特制的API请求，在未经身份验证的情况下远程访问Flowmon网络接口，并执行任意系统命令。

日前，“CSO在线”网站梳理了10个加强物理环境安全性的关键措施，可以为企业加强物理环境安全建设提供参考。

鉴于网络安全红队工作的重要性，组织应该寻找广泛的资源以确保其能够充分实施。本文收集了12个与网络安全红队工作紧密相关的实用资源，涵盖了技术工具、专业教程、安全研究和思考性文章等，可帮助红队成员快速提升专业知识和工作技能。

对所有企业组织而言，功能完善的补丁管理工具不仅可以识别版本过时的软件应用程序，还能够自动部署和安装相应补丁，从而加强系统的安全性，防止严重的安全漏洞。

微软近日发布安全指南（点击这里），引导用户缓解和修复影响英特尔处理器的“幽灵 v2”生漏洞。

2024年3月，加拿大连锁折扣店Giant Tiger Stores Limited遭遇数据泄露，超过280万名客户的数据被曝光，"威胁者在黑客论坛上抛出被盗数据时说。“此次泄露的数据包括 280 多万个独特的电子邮件地址、姓名、电话号码和实际地址。

近年来开源软件安全风险快速增长，不久前曝光的XZ后门更是被称为“核弹级”的开源软件供应链漏洞。虽然XZ后门事件侥幸未酿成灾难性后果，但为全球科技界敲响了警钟：当今数字生态系统极其脆弱，亟需改进开源软件的使用和安全管控方式。

近日，英特尔、联想等多个厂商销售的服务器硬件曝出一个难以修复的远程可利用漏洞。该漏洞属于供应链漏洞，源自一个被多家服务器厂商整合到产品中的开源软件包——Lighttpd。

Xz后门风波尚未平息，Linux再次曝出“核泄漏”危机，新的“幽灵漏洞”变种导致英特尔处理器上运行的Linux内核内存再次面临数据泄露风险。

据悉，该漏洞是 Spectre v1 的一个变种，能够通过利用推测执行和竞争条件的组合泄漏 CPU 架构的数据。