BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

他的粉丝

Spectre 1.1和1.2漏洞披露

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 谢丽 关注 10 他的粉丝   发布于  2018年7月19日

近日,有两个利用CPU预测执行缺陷的新漏洞被披露。这两个漏洞的名称是Spectre 1.1和1.2,它们都是原Spectre(Spectre-v1)漏洞的变种,利用预测存储造成预测缓冲区溢出,这样就可以避开Spectre-v1缓解措施。

他的粉丝

DevSecOps已发展成为一个社区

作者 Helen Beal 关注 5 他的粉丝 ,译者 无明 关注 1 他的粉丝   发布于  2018年7月11日

6月28日,继4月份旧金山的一个类似活动之后,第一届DevSecOps Days活动在伦敦拉开帷幕。活动组织人John Willis和Mark Miller在开场做了欢迎致辞,他们说,活动的目的是复制DevOpsDays模型,并促进全球社区举办自己的活动。

他的粉丝

TLBleed漏洞:通过探测TLB获取CPU秘钥

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 无明 关注 1 他的粉丝   发布于  2018年7月2日

VUsec安全研究员Ben Gras在一篇文章中写道,一个影响英特尔处理器的边信道漏洞(称为TLBleed)可能通过窥探翻译后援缓冲器(TLB)泄漏信息。

他的粉丝

Lazy FP状态还原漏洞公布,大多数Intel的酷睿CPU受其影响

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 袁诗瑶 关注 0 他的粉丝   发布于  2018年6月26日

Intel公布了新漏洞Lazy FP状态还原(CVE-2018-3665),大部分酷睿处理器受其影响。

他的粉丝

Git漏洞导致攻击者可在用户电脑上运行任意代码

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 无明 关注 1 他的粉丝   发布于  2018年6月6日

Git子模块名称验证中的一个缺陷使得远程攻击者可能在开发者机器上执行任意代码。另外,攻击者可以访问部分系统内存。这两个漏洞已经在Git 2.17.1、2.16.4、2.15.2和其他版本中得到了修复。

他的粉丝

VPNFilter已经感染了全球50万台以上的路由器

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 姚佳灵 关注 0 他的粉丝   发布于  2018年6月4日

思科公司的安全研究人员发布了一份安全警告,报告中描述了一个复杂的恶意软件系统VPNFilter,该系统已经感染了分布于54个国家的至少50万台网络设备。

他的粉丝

使用PGP和S/MIME的加密邮件易受Efail攻击

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 谢丽 关注 10 他的粉丝   发布于  2018年5月28日

德国和比利时的一个研究小组发现,PGP和S/MIME的漏洞会把加密邮件的明文泄露给攻击者。电子前线基金会确认了这个漏洞,并建议使用替代方式交换安全信息。但是,据GnuPG创建者Werner Koch介绍,这个漏洞并不在PGP中,他还表示,EFF的评论言过其实了。

他的粉丝

英特尔使用GPU来扫描恶意软件

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 无明 关注 1 他的粉丝   发布于  2018年5月3日

英特尔发布了最新的线程检测技术(TDT),使用GPU扫描内存中的恶意软件。CPU因此可以退出该任务,并有助于减轻Spectre和Meltdown防御系统所带来的影响。

他的粉丝

GitHub安全告警检测出了400多万个漏洞

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 谢丽 关注 10 他的粉丝   发布于  2018年3月29日

据GitHub介绍,去年十月推出的安全告警极大地减少了开发人员消除Ruby和JavaScript项目漏洞的时间。

他的粉丝

最近Npm的意外事件暴露了安全漏洞

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 张卫滨 关注 13 他的粉丝   发布于  2018年1月24日

最近,npm注册库经历了一次运维的意外事件,导致一些被高度依赖的包变得不可用,如require-from-string。尽管这个意外事件非常易于修复,但是它暴露了一个较为严重的安全漏洞,借助该漏洞能够尝试将恶意代码注入到使用npm的项目中。

他的粉丝

美国国家标准技术局发布应用容器安全指南

作者 Hrishikesh Barua 关注 14 他的粉丝 ,译者 薛命灯 关注 24 他的粉丝   发布于  2017年12月8日

美国国家标准技术局(NIST)发布了一项有关应用容器技术安全的公告。该公告对之前的两个公告内容进行了总结,包括镜像、注册表、编配器、容器、主机操作系统和硬件方面的漏洞,以及相应的应对措施。

他的粉丝

Entity Framework中的字符串插值引发担忧

作者 Jonathan Allen 关注 553 他的粉丝 ,译者 盖磊 关注 2 他的粉丝   发布于  2017年9月22日

将内插字符串自动地转化为参数化SQL语句,这是Entity Framework Core 2提供的一个新特性。虽然该特性从设计上是为了避免出现SQL语句编写上的问题,但是有人担心这会导致更多的SQL注入攻击。

他的粉丝

容器安全套件Twistlock 2.1正式发布

作者 Hrishikesh Barua 关注 14 他的粉丝 ,译者 谢丽 关注 10 他的粉丝   发布于  2017年7月28日

Twistlock宣布正式发布其容器安全产品的2.1版本,主要包括一个可以获知应用程序流量的集成防火墙、漏洞检测、通过集成第三方工具实现的秘密管理以及合规性报警和强制执行。

他的粉丝

Git在版本2.13中继续改进了安全性和UI

作者 Sergio De Simone 关注 14 他的粉丝 ,译者 赵亚伟 关注 0 他的粉丝   发布于  2017年5月23日

Git的最新版本做了很多改进,旨在改进其用户界面,同时也修复了两个重要的漏洞。

他的粉丝

从Java 9反向移植对象反序列化过滤器

作者 Abraham Marín Pérez 关注 8 他的粉丝 ,译者 谢丽 关注 10 他的粉丝   发布于  2017年3月31日

JEP 290让开发人员可以在反序列化对象时对传入数据进行过滤。该提案最初是针对Java 9提出的,但现在已经反向移植到Java 6、7、8。该特性提供了一种机制,可以在处理对象输入流时过滤传入数据,并且可以帮助预防反序列化漏洞。前不久,这种漏洞曾影响了Apache Commons及其他库。

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT