谷歌 “零号项目 “专门用来发现该公司自己软件以及其他公司软件中的漏洞,并私下向供应商报告,在公开披露前给它们90天时间进行修复。根据所需修复的复杂程度,它有时还会以宽限期的形式提供额外的天数。在过去几年中,在厂商无法及时修补后,谷歌 “零号项目 “安全团队已经披露了多个安全漏洞。
访问漏洞细节:
https://bugs.chromium.org/p/project-zero/issues/detail?id=2096
这包括高通Adreno GPU驱动、微软Windows、苹果macOS等当中存在的漏洞。现在,它公开披露了Windows中的一个安全漏洞,如果被人利用,会导致权限提升。
谷歌 “零号项目 “安全人员表示,恶意进程可以向splwow64.exe Windows进程发送本地过程调用(LPC)消息,攻击者可以通过它向splwow64内存空间中的任意地址写入任意值。这本质上意味着攻击者控制了这个目标地址和任何被复制到该地址的内容。
这个漏洞并不完全是新的。事实上,卡巴斯基的一位安全研究人员在今年早些时候就报告了这一问题,微软早在6月份就打了补丁。不过,这个补丁现在已经被Google Project Zero的Maddie Stone认定为不完整,他表示,微软的修复只会改变指向偏移量的指针,这意味着攻击者仍然可以使用偏移量值来攻击它。
9月24日,Google Project Zero私下向微软报告了零日的情况,标准的90天期限将于12月24日到期。微软最初计划在11月发布修复程序,但该发布时间段随后滑落到12月。之后,它告诉谷歌,它在测试中发现了新的问题,现在它将在2021年1月发布一个补丁。
12月8日,双方开会讨论了进展和下一步的计划,其中确定不能向微软提供14天的宽限期,因为该公司计划在2021年1月12日的补丁周二发布补丁,比宽限期多出6天。Project Zero团队计划在明年再次重新审视政策,但已经公开披露了该漏洞与概念验证代码。技术报告还不清楚这影响到哪些版本的Windows,但卡巴斯基几个月前的报告显示,攻击者一直在利用它来攻击新版本的Windows10。
(消息来源:cnBeta;封面来源于 *** )
Cloudflare 透露公司已经阻止了来自多个国家的大规模 HTTPS DDoS 攻击。该公司表示,该僵尸网络每秒发出 1530 万个请求(rps),使其成为针对其客户的最大 HTTPS DDoS 攻击。 Cloudflare 表示本次攻击的目标是针对一家 The Crypto Launchp...
Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌...
包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...
澳大利亚信息专员发现,Clearview AI 在许多方面违反了澳大利亚的隐私法。在此前的双边调查中发现,该公司的面部识别工具未经同意并以不公平的方式收集澳大利亚人的敏感信息。由澳大利亚信息专员办公室(OAIC)和英国信息专员办公室(ICO)进行的调查发现,Clearview AI 的面部识别工具不...
为了迎接今年 5 月首个周四的“世界密码日”的到来,USA Today 觉得很有必要继续提醒大家提升安全意识。首先是尽量为工作、娱乐、网银、网购等各种在线活动配备强密码,且需避免使用同一个密码,以免所有账号被攻击者一锅端。 资料图(来自:Bitwarden) 业内知名开源密码器(US News &...
5月5日,SentinelLabs 发布报告,显示他们曾在知名防病毒产品Avast 和 AVG (2016 年被 Avast 收购)中发现了两个存在时间长达近10年之久的严重漏洞。 这两个漏洞被跟踪为 CVE-2022-26522 和 CVE-2022-26523,存在于名为 aswArPot.s...