Uber 竟为合作公司的漏洞支付了 9,000 美元赏金?
安全公司 Positive Technologies 曾发现反勒索备份服务 Code42 存在 XML 外部实体漏洞,近日据外媒报道,研究员将此漏洞上报后,由 Uber 为合作公司支付了漏洞赏金 9,000 美元。
安全公司 Positive Technologies 的渗透测试员 Vladimir Ivanov 发现,反勒索软件备份服务 Code42 存在的 XML 外部实体漏洞能够获得所有用户的备份访问权限、窃取使用该服务的组织(含 Uber、Adobe 和 Lockheed Martin 等)的数据。
由于检测结果显示漏洞涉及 Uber 且 Code42 并无漏洞赏金计划,Ivanov 选择通过 HackerOne 向 Uber 报告了这一漏洞,后者核实后确认它是一个 0day 随后也通知了 Code42 及时修复。Code42 方面则要求 Ivanov 等待所有客户更新完毕后方可披露漏洞细节。
稿源:HackerNews.cc 翻译/整理,封面来源:百度搜索。
转载请注明“转自 HackerNews.cc ” 并附上原文链接,违者必究。
“Uber 竟为合作公司的漏洞支付了 9,000 美元赏金?” 的相关文章
Atlassian 解决了一个关键的 Jira 身份验证绕过漏洞
Atlassian解决了其Jira Seraph软件中的一个严重漏洞,该漏洞编号为CVE-2022-0540(CVSS 评分 9.9),未经身份验证的攻击者可以利用该漏洞绕过身份验证。威胁参与者可以通过向易受攻击的软件发送特制的HTTP 请求来触发漏洞。 该漏洞会对Jira软件多版本产生影响,比如...
最快的勒索软件被发现仅用 4 分多钟就加密了 53GB 的数据
对于IT管理员和网络安全团队来说,勒索软件攻击是一场与时间赛跑的关键比赛,以检测和控制损害,同时抢救公司的数据资产的剩余部分。但是,当这种事件发生时,有多少反应时间呢?似乎不是很多。正如对10个候选勒索软件的测试所揭示的那样,一种名叫LockBit的勒索软件效率惊人,在四分钟内就加密了一台Windo...
英特尔和 Arm 的 CPU 再被发现存在重大安全漏洞 Spectre-HBB
BHI是一种影响大多数英特尔和Arm CPU的新型投机执行漏洞,它攻击分支全局历史而不是分支目标预测。不幸的是,这些公司以前对Spectre V2的缓解措施也无法保护BHI的威胁,尽管AMD处理器大多是免疫的。消息传出后,供应商应该很快就会发布安全补丁,而最新得Linux内核已经打了补丁。...
欧洲立法者对欧盟国家使用 Pegasus 间谍软件展开调查
欧洲议会周四投票决定成立一个新的 “调查委员会”,调查针对欧洲成员国获取和使用Pegasus(飞马)手机间谍软件的指控。议员们基本上投票赞成设立该委员会,该委员会将调查欧盟27个成员国使用Pegasus和其他监控间谍软件的情况。 调查委员会允许立法者调查可能违反欧洲法律的行为。欧洲议会在一份声明中说...
DNS 曝高危漏洞,影响数百万物联网设备
近日,Nozomi Networks发出警告,uClibc库的域名系统 (DNS) 组件中存在一个高危漏洞,编号为CVE-2022-05-02,该漏洞将影响所有版本uClibc-ng库的域名系统(DNS),因此,数百万台使用uClibc库的物联网设备都也将受到影响。 资料显示,uClibc库专门为...
小心:勒索软件 Magniber 伪装成 Windows 更新传播
在最新活动中,恶意软件 Magniber 利用虚假的 Windows 10 更新实现传播。这款恶意软件非常善于紧跟最新时事进行传播,在 2021 年使用 PrintNightmare 漏洞来感染受害者;在 2022 年 1 月,它再次通过 Edge 和 Chrome 浏览器进行传播。 援引科...
评论列表
发表评论
