记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华【漏洞预警】微软9月漏洞补丁日修复多个高危漏洞
1. 通告信息近日,安识科技A-Team团队监测到一则微软9月漏洞补丁日修复多个高危漏洞的信息,当前官方已发布受影响的补丁。对此,安识科技建议广大用户及时升级到安全版本,并做好资产自查以及预防工作,以免遭受黑客攻击。 2. 漏洞概述CVE-2021-38647 - Open Management Infrastructure 远程代码执行漏洞简述:某些 Azure 产品(例如 Configuration Management)暴露了一个监听 OMI 的 HTTP/S 端口(通常是端口 5986 )。
微软账户现在可以实现完全无密码化
9月16日,微软宣布从现在开始用户可以删除所有密码,取而代之的是使用Microsoft Authenticator应用程序、Windows Hello、安全密钥或短信/电子邮件验证码登录微软账户。这也是微软无密码时代愿景的一个重要里程碑。 “在过去的几年里,我们一直在说未来一定是‘无密码’的,今天我很高兴宣布这一愿景的下一步,”微软公司副总裁 Vasu Jakkal 在公告中,“从今天开始,你可以从你的 Microsoft 帐户中完全删除密码。” 萨里大学研究无密码身份验证的研究小组成员Alan Woodward教授“微软非常大胆的一步”。
发布时间:2021-09-16 16:30 |
阅读:834 | 评论:0 |
标签:微软
微软在 Linux 虚拟机偷偷安装Azure App,后修复严重漏洞但Linux虚拟机难以修复
#漏洞技术分析 31 个内容 #供应链安全 52 个内容 聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危害也越来越严重。为此,我们推出“供应链安全”栏目。
9 月补丁星期二活动:微软共计修复 66 处系统漏洞和 20 处 Chromium 漏洞
在 9 月的补丁星期二活动日中,微软共计修复了 66 处系统漏洞和 20 处 Microsoft Edge 中的 Chromium 安全漏洞。受影响的产品包括。Azure、Edge(Android、Chromium 和 iOS)、Office、SharePoint Server、Windows、Windows DNS 和 Windows Subsystem for Linux。
在修复的这些漏洞中,其中 3 个被评为“critical”(关键)、1 个被评为“moderate”(中等),其余的被评为“important”(重要)。
微软9月安全更新多个产品高危漏洞通告
阅读:10一、漏洞概述9月15日,绿盟科技CERT监测到微软发布9月安全更新补丁,修复了86个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。本月微软月度更新修复的漏洞中,严重程度为关键(Critical)的漏洞有3个,重要(Important)漏洞有62个,中等(Moderate)漏洞有1个,其中还包括9月初修复的20个Microsoft Edge (Chromium)漏洞。
微软发布针对主动利用的 Windows 零日漏洞的补丁
在苹果和谷歌推送紧急安全更新之后的第二天,微软亦推送了9月的“星期二补丁”,用以修复威胁window及组件的66处漏洞,包括Azure, Office, BitLocker, and Visual Studio等,其中包括一个于上周曝光的 MSHTML 平台中积极利用零日漏洞。在这66个漏洞中,3个被评为“critical”(关键)、1 个被评为“moderate”(中等),其余均被评为“important”(重要)。这些不包括该公司自本月初以来解决的基于 Chromium 的 Microsoft Edge 浏览器中的20个漏洞。
2021-09 补丁日: 微软多个漏洞安全更新通告
#360CERT漏洞预警通告 146个内容 赶紧点击上方话题进行订阅吧!报告编号:B6-2021-091501报告来源:360CERT报告作者:360CERT更新日期:2021-09-151 事件简述2021年09月15日,微软发布了9月份安全更新,事件等级:严重,事件评分:9.8。此次安全更新发布了66个漏洞的补丁,主要覆盖了以下组件:Windows操作系统、Azure、Edge、Office、BitLocker等。其中包含3个严重漏洞,62个高危漏洞。对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。
微软9月累积更新,修复66个CVE漏洞
编辑:左右里9月14日,微软如期发布了本月的累积更新,涉及到Windows操作系统、Azure、Edge、Office、BitLocker等多个组件,共修复了66个CVE漏洞,其中包括3个“高危”漏洞和62个“严重”漏洞。上次提到的Microsoft MSHTML远程代码执行漏洞(CVE-2021-40444)也在本次更新中得到了修复。 以下是本次更新修复的另外几个值得关注的漏洞: CVE-2021-38647:CVSS分数9.8,这是9月累积更新中评分最高的漏洞。
【安全更新】微软9月安全更新多个产品高危漏洞通告
通告编号:NS-2021-00402021-09-15TAG:安全更新、Windows、Office、Edge、Visuajl Studio漏洞危害:攻击者利用本次安全更新中的漏洞,可造成信息泄露、权限提升、远程代码执行等。版本:1.01漏洞概述9月15日,绿盟科技CERT监测到微软发布9月安全更新补丁,修复了86个安全问题,涉及Windows、Microsoft Office、Microsoft Visual Studio、Azure等广泛使用的产品,其中包括权限提升、远程代码执行等高危漏洞类型。
微软9月补丁星期二值得关注的0day、终于落幕的 PrintNightmare及其它
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士北京时间2021年9月15日,微软发布补丁星期二,共修复了66个CVE漏洞,加上月初发布的基于 Chromium 的 Edge 浏览器的20个漏洞,截至目前9月共修复了86个漏洞。这66个CVE漏洞位于Windows和Windows 组件、Edge (Chromium、iOS 和安卓)、Azure、Office 和 Office 组件、SharePoint Server、Windows DNS 和 Linux 版的 Windows Subsystem 中。
2021-09 补丁日:微软多个漏洞安全更新通告
robots 0x01 事件简述2021年09月15日,微软发布了9月份安全更新,事件等级:严重,事件评分:9.8。此次安全更新发布了66个漏洞的补丁,主要覆盖了以下组件:Windows操作系统、Azure、Edge、Office、BitLocker等。其中包含3个严重漏洞,62个高危漏洞。对此,360CERT建议广大用户好资产自查以及预防工作,以免遭受黑客攻击。
Mozilla 已经在技术上穿透了微软在 Windows 中的默认浏览器保护措施
最近,Mozilla已经悄悄地使在Windows上切换到Firefox变得更加容易。虽然微软提供了一种在Windows 10上切换默认浏览器的方法,但它比简单的一键切换到Edge的过程更繁琐。这种一键式流程对微软以外的人来说并不可用,而Mozilla似乎已经厌倦了这种情况。
因使用五年前的老旧代码,Azure 容器险遭黑客接管,微软已修复
#源代码安全 ,16个 聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软修复了 Azure Container Instances (ACI) 即 Azurescape中的一个漏洞,它可导致恶意容器接管属于该平台其他客户的容器。研究人员指出,利用 Azurescape 的攻击者可在其他用户的容器中执行代码并且访问部署在该平台的所有数据。客户数据有风险微软通知客户称他们可能受 Azurescape 影响,需要更改在8月31日前部署到该平台的容器的权限凭证。微软表示出于谨慎考虑发出这些邮件,因为目前尚未发现该漏洞被用于访问客户数据的攻击活动。
不要随便打开Office文档,微软又有高危0day漏洞
编辑:左右里9月7日,微软通告了一个高危的远程代码执行漏洞,存在于浏览器渲染引擎MSHTML之中,编号为CVE-2021-40444,CVSS评分8.8。据微软表示,已经监测到有黑客在利用这个漏洞对Windows系统发起攻击。 攻击者会向潜在受害者发送专门制作的恶意Office文档,如果潜在受害者没有防备地将其打开,文档会加载Internet Explorer,然后通过使用特定的ActiveX控件下载恶意软件。这种攻击方式的可行性已得到安全研究人员证实。
微软警告,IE浏览器零日漏洞正被在野利用
9月8日,微软安全团队警告,IE浏览器中的一个零日漏洞正被者积极利用,恶意的微软Office文档可以借用该漏洞对计算机发起攻击。该漏洞被追踪为 CVE-2021-40444,影响到微软的 MHTML,也被称为 Trident,即IE浏览器引擎,该漏洞可造成远程代码执行,CVSS评分8.8。MSHTML是IE浏览器的主要HTML组件,也被用于其他应用程序。在 Office 中用于在其中呈现 Web 内容Word、Excel 和 PowerPoint 文档。
微软承认Windows存在可被恶意Office文件攻击的零日漏洞
更多全球网络安全资讯尽在邑安全微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。该公司解释说:"那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。
微软承认 Windows 存在可被恶意 Office 文件攻击的零日漏洞
微软已经承认所有版本的Windows存在一个新的零日漏洞,目前正被攻击者利用。该公司表示,在MSHTML中发现了一个远程代码执行漏洞,恶意的微软Office文档可以借用这个漏洞对计算机发起攻击。攻击者可以制作一个恶意的ActiveX控件,被承载浏览器渲染引擎的微软Office文档所使用。然后,攻击者需要说服用户打开该恶意文件。
该公司解释说:”那些账户被配置为在系统中拥有较少用户权限的用户可能比那些以管理用户权限操作的用户受到的影响要小。
微软发出警报:已有黑客利用IE浏览器中的“零日”发起攻击
关键词黑客攻击IE浏览器微软的安全团队今天早些时候发布了警报,称已有证据表明黑客利用IE浏览器中的零日漏洞发动了攻击。该漏洞可追溯到cve-2021-40444,并影响到微软的mhtml,也称为Trident,Internet Explorer浏览器引擎。虽然mhtml主要适用于禁用的Internet Explorer浏览器,但它也用于office应用程序,以word、Excel或PowerPoint文档的形式呈现web托管内容。Microsoft在今天的公告中表示:“Microsoft意识到有针对性的攻击,并试图通过使用特制的Microsoft office文档利用此漏洞进行攻击。
CVE-2021-40444:微软发布MSHTML组件0day漏洞 已有在野利用
9月8日,微软官方发布了MSHTML组件的风险通告(漏洞编号:CVE-2021-40444),未经身份验证的攻击者可以利用该漏洞在目标系统上远程执行代码。微软官方表示已经监测到该漏洞存在野利用。目前微软暂未发布相关补丁,用户可通过禁用ActiveX控件的方式暂时避免该漏洞利用(详见下文)。
微软警告:Office 已遭IE RCE 新0day 攻击
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士今天早些时候,微软安全团队发布警告称,IE 新 0day 已遭滥用。该漏洞的编号为 CVE-2021-40444,影响微软 MHTML即IE浏览器引擎 Trident。虽然 MHTML 主要用于现已不再起作用的 IE 浏览器,但该组件同时也用于 Office 应用程序中,用于渲染 Word、Excel 或 PowerPoint 文档中的 web 内容。微软发布安全公告称,“微软发现目标攻击试图使用特殊构造的微软 Office 文档利用该漏洞。
CVE-2021-40444:微软官方发布MSHTML组件在野0day漏洞通告
#360CERT漏洞预警通告 ,144个 赶紧点击上方话题进行订阅吧!报告编号:B6-2021-090801报告来源:360CERT报告作者:360CERT更新日期:2021-09-081 漏洞简述2021年09月08日,微软官方发布了MSHTML组件的风险通告,漏洞编号为CVE-2021-40444,漏洞等级:高危,漏洞评分:8.8。微软表示已经监测到该漏洞存在野利用。对此,360CERT建议广大用户做好资产自查以及预防工作,以免遭受黑客攻击。
黑客过于强势,谷歌微软已承诺投入数十亿美元做网络安全
当地时间8月25日,在白宫由美国总统乔·拜登(Joe Biden)举行的网络安全工作会议上,从科技到金融保险等行业的美国商界领袖承诺将投入数十亿美元,以加强网络安全建设。备受瞩目的网络攻击 之所以召开本次网络安全工作会议,主要还是因为在此之前,美国发生了几起备受瞩目的网络攻击事件。 首先是发生在今年一月,一家专职提供IT 监控和运维解决方案的商业公司遭遇供应链攻击,其中超过250家企业,包括政府机构和私营企业受到影响,当然这个数字还是保守数字。
微软正式宣布Win 11升级时间,仍缺少一个最关键功能
编辑:左右里距Windows 10正式发布已经过去了六个年头,曾声称Windows 10会是最后一个Windows版本的微软还是发布了Windows 11。据微软官网消息,微软将于2021年10 月 5 日正式开始推送 Windows 11。10 月 5 日起,符合条件的 Windows 10 PC 将可免费升级到 Windows 11,预装 Windows 11 的各种全新 PC 设备也将开始上市发售。
发布时间:2021-09-01 19:03 |
阅读:7768 | 评论:0 |
标签:微软
无穷无尽!微软警告另一个未修补的Windows Print Spooler RCE漏洞
在发布星期二补丁更新的第二天,微软表示Windows Print Spooler组件中的另一个远程代码执行漏洞(RCE),并补充道正在努力在即将发布的安全更新中修复该问题。 被追踪为CVE-2021-36958(CVSS 评分:7.3),这个未修复的漏洞是最近几个月被曝光的PrintNightmarebug列表中最新的一个。埃森哲安全公司人员因报告了该漏洞,他表示该问题已于2020年12月向微软披露。 该公司在其公告中表示:“当Windows PrintSpooler服务不当执行特权文件操作时,就会存在远程代码执行漏洞。”该公告重复了CVE-2021-34481的漏洞细节。
ProxyToken:微软 Exchange 服务器中的认证绕过新漏洞,可窃取用户邮件
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士微软 Exchange Server 上出现一个严重漏洞,被命名为 “ProxyToken”。该漏洞详情已公开,攻击者可在无需认证的情况下访问目标账户的邮件。攻击者可在 Exchange 控制面板 (ECP) 应用程序内构造 Web 服务请求,利用该漏洞并窃取受害者收件箱中的信息。授权混淆ProxyToken漏洞的编号为 CVE-2021-33766,可使未认证攻击者访问用户邮箱的配置选项,定义邮件转发规则。结果,目标用户的邮件信息也可被交付给受攻击者控制的账户。
微软Azure Cosmos DB严重漏洞被披露
Wiz研究人员发现微软Azure Cosmos DB中的安全漏洞。ChaosDBChaosDB是Wiz研究团队今年8月发现的微软Azure云平台数据库Cosmos中的安全漏洞。攻击者利用该漏洞可以在无需认证的情况下获得另一个客户Cosmos数据库实例的完全管理员权限,包括读写和删除权限。该漏洞利用无需对目标环境具有访问权限,影响包括财富500强公司在内的上千个组织。漏洞利用为在Cosmos DB的Jupyter Notebook特征中利用该漏洞,恶意攻击者可以查询目标Cosmos DB Jupyter Notebook的信息。
微软Azure Chaos DB爆严重漏洞,影响3300+客户
点击上方蓝字关注我们近日,微软Azure的Cosmos DB中爆出了一个严重的安全漏洞,该漏洞允许任何用户可以下载、删除或操纵大量的商业数据库,以及对Cosmos DB底层架构执行读取/写入访问。微软最近修复了Azure Cosmos DB中的一个漏洞,该漏洞可能允许用户通过使用账户的主要读写密钥来访问其他客户的资源。该漏洞是由发现云安全供应商Wiz发现的,并将其命名为"ChaosDB"。该公司表示,该漏洞已经在系统中存在“至少几个月,甚至几年”。Azure Cosmos DB 是一种用于新式应用开发的、完全托管的NoSQL数据库。
微软警告数千名云服务客户:数据库或被暴露
更多全球网络安全资讯尽在邑安全据报道,微软的一封电子邮件和一位网络安全研究员表示,该公司在周四警告了数千名云计算客户,包括一些世界上规模最大的企业,入侵者可能有能力阅读、改变甚至删除其主要数据库。这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现,它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克(Ami Luttwak)是微软云安全集团的前首席技术官。由于微软不能自行更改这些密钥,周四该公司给其客户发送了电子邮件,告知他们要创建新的密钥。
全球芯片短缺,台积电全线涨价;微软挖角亚马逊高管;IEEE 公布 2021 年度编程语言排行榜
本周架构视点:小米:收购深动科技;台积电:全球缺芯,全线提价;微软:挖角亚马逊高管;谷歌或向苹果支付 150 亿美元保留默认搜索引擎;IEEE 公布 2021 编程语言排名,Python 连庄;App Store 将迎重大更新;Cloudflare 扛下超大规模 DDoS 攻击。 万万没想到小米集团 7737 万美元收购自动驾驶技术公司 Deepmotion(深动科技) 本周三,小米集团正式宣布,公司与 Deepmotion Tech Limited(深动科技)相关订约方订立股份购买协议。整体收购总价约为 7737 万美元。
发布时间:2021-08-30 11:07 |
阅读:7435 | 评论:0 |
标签:微软
由微软和谷歌未来5年300亿美元投入网络安全想到
#微软 ,4 #网络安全 ,228 #美国 ,2 #谷歌 ,1 #数据安全 ,49 谷歌和微软承诺在未来五年内共投资 300 亿美元用于网络安全发展,美国拜登政府和私营部门领导人宣布了加强国家网络安全的雄心勃勃的举措与私营公司合作,应对一系列复杂的恶意网络活动针对该国所面临的威胁。关键基础设施暴露了全球数据、组织和政府面临的风险。白宫网络安全会议汇集了来自教育、能源、金融、保险和科技行业的高管,包括 ADP、亚马逊、苹果、美国银行、Code.org、Girls Who Code、谷歌、IBM、摩根大通等公司Chase、微软和 Vantage Group 等。
公告
❤永久免费、持续更新、精选优质黑客技术文章的Hackdig,帮你成为掌握黑客技术的英雄❤