据Security affairs网站消息，4月21日，安全研究人员Khaled Nassar在Github上公开了Java 中新披露的数字签名绕过漏洞的PoC代码，该漏洞被追踪为CVE-2022-21449（CVSS 分数：7.5）。漏洞的影响范围主要涉及 Java SE 和 Oracle Gr...

黑客称入侵了微软：拿到 Bing 和 Cortana 项目源代码

近日，据Reddit上的帖子和Cyber Kendra上的一份报告显示，LAPSUS$ (Lapsus) 组织入侵了微软的DevOps帐户，该组织此前入侵了NVIDIA和三星。下面的截图由Lapsus发布，但很快被删除，由Cyber Kendra保存了下来。该组织声称可以访问微软的一些DevOps...

基于800个恶意 NPM 包的大规模供应链攻击

Hackernews 编译，转载请注明出处：一个名为“RED-LILI”的攻击者发布了近800个恶意模块，与正在进行的针对 NPM 软件包库的大规模供应链攻击活动联系紧密。以色列安全公司 Checkmarx 说: “通常，攻击者使用一个匿名的一次性 NPM 帐户发动攻击。”“这一次，攻击...

谷歌解释野外攻击为何增加浏览器安全形势在稳中向好

上周，Chrome Security 团队的 Adrian Taylor，在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势，归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队，也有对包括 WebKit、IE、Flash、...

研究人员发现三个联想电脑的 UEFI 漏洞影响规模可达数百万台

根据The Hacker News的报道，有三个高影响的统一可扩展固件接口（UEFI）安全漏洞被公布，即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，已被发现它们会影响联想的各种设备，如联想Flex、IdeaPads和Yoga笔记本电脑。最初，CVE-202...

微软警告 NOBELIUM 攻击技术愈加泛滥谨防 HTML 代码夹带恶意软件

早在 5 月，微软就认定有俄罗斯背景的 NOBELIUM 黑客组织要对持续数月的 SolarWinds 网络攻击事件负责，并同企业、政府和执法机构达成了合作，以遏制此类网络攻击的负面影响。早些时候，微软更进一步地剖析了 NOBELIUM 使用的一套更加复杂的恶意软件传送方法。可知其用于造成破坏，并获...