国产2020精品视频免费播放,久久看久久做久久精品,欧美日韩精品视频一区二区,chinese fuck xxxx hd

信息安全是網(wǎng)絡世界中，一個永遠無法回避的話題。一些敏感重要數(shù)據(jù)的泄露，將會直接造成巨大的經(jīng)濟損失。一些利用價值較高的零日漏洞，被一些黑客放在深網(wǎng)論壇上，以比特幣的交易形式公開叫賣。然而，一旦這些漏洞被供應商修復，很少會被披露出來。

在過去的一年里，統(tǒng)計共有超過6400個CVE編碼的常見漏洞被披露。以下我將列舉出2016年十大較為知名的安全漏洞：

1. Dirty Cow （臟牛）(CVE-2016-5195)

臟牛漏洞最初是由 Phil Oester 發(fā)現(xiàn)的，Dirty Cow是一個內核級的漏洞，它允許任何未授權現(xiàn)有用戶，將其權限提權為 root。 Root 是任何UNIX或LINUX系統(tǒng)的最高權限，因此一旦攻擊者成功利用該漏洞，將直接可以訪問到目標系統(tǒng)的所有文件。 COW（寫入時更改）是 Linux 用來減少內存對象重復的技術。通過利用競爭條件，低權限用戶可以修改只讀對象，這在常規(guī)情況下是不可能發(fā)生的。如果你是系統(tǒng)管理員，則可能需要通過更新 Linux 服務器的內核，來修復該漏洞。

2.PHPMailerRCE (CVE-2016-10033, CVE-2016-10045)

PHPMailer是PHP中，使用最廣泛的電子郵件發(fā)送庫之一。獨立研究人員Dawid Golunski發(fā)現(xiàn)了，其存在遠程代碼執(zhí)行漏洞。任何攻擊者都可以使用該漏洞，在 Web 服務器上執(zhí)行 shell 命令。導致這種情況的發(fā)生，是因為電子郵件地址頭字段“From：”可以由用戶任意輸入設置，但卻沒有“sender”屬性。因此，如果用戶在“From：”中設置了 shell 命令，那么它將導致 RCE（遠程代碼執(zhí)行）。因此，如果你當前使用的PHPMailer版本小于5.2.18，那么請盡快將它升級到最新版本。

3. ImageTragick (CVE-2016-3714)

ImageTragick命令執(zhí)行漏洞，被認為是2016年最具影響力的漏洞之一，它最初是由 Nikolay Ermishki 發(fā)現(xiàn)的。命令執(zhí)行漏洞是出在ImageMagick對https形式的文件處理的過程中。ImageMagick內置了非常多的圖像處理庫,對于這些圖像處理庫,ImageMagick給他起了個名字叫做“Delegate”(委托),每個Delegate對應一種格式的文件,然后通過系統(tǒng)的system命令來調用外部的程序對文件進行處理，從而造成了命令執(zhí)行漏洞的產(chǎn)生。這個漏洞被大量利用，許多組織網(wǎng)站被發(fā)現(xiàn)，都極易受ImageTragick漏洞的攻擊，如Hackerone的公開披露等。

4. DROWN（溺亡） (CVE-2016-0800)

DROWN（解密RSA使用過時和弱化的eNcryption）利用了SSLv2中的缺陷，允許攻擊者解密使用TLS或SSL的通信。它被歸類為跨協(xié)議攻擊。 如果在受害者的服務器上啟用了SSLv2，則極易受到DROWN攻擊?；ヂ?lián)網(wǎng)中有大約1100萬站點或者服務受到此漏洞影響。這是OpenSSL給出的建議。

5.AppleOS X 和iOS遠程代碼執(zhí)行(CVE-2016-4631)

圖像，我們都知道本身它是無害的。然而，這個漏洞就是利用了這樣一張看似無害的，卻是由攻擊者惡意制作出來的圖像進行攻擊的。這個漏洞被編號為 CVE-2016-4631，是由安全研究員Tyler Bohan從Talos Security發(fā)現(xiàn)的。這個嚴重的安全漏洞(CVE-2016-4631)存在于iOS的ImageIO框架中。ImageIO框架其本質是一個應用程序編程接口(API)，它可以為幾乎所有的蘋果操作系統(tǒng)處理各種圖片數(shù)據(jù)，包括Mac OS X，watchOS，以及tvOS等蘋果設備的操作平臺。標簽圖像文件格式(TIFF)圖片，可以被用來創(chuàng)建基于堆的緩沖區(qū)溢出，最終導致遠程代碼執(zhí)行。

6.Chrome OS持久代碼執(zhí)行 (CVE-2016-5180)

Google在其版本為 53.0.2785.143 m 的Chrome更新中，發(fā)布了Chrome OS的安全修復補丁。同時向發(fā)現(xiàn)并提交該漏洞的匿名安全研究員，支付了100,000美元的獎金。Google表示，“這是一個漏洞利用鏈，在客戶端模式下跨越重啟，并通過所提供的網(wǎng)頁來獲得代碼執(zhí)行權限。預計在不久以后，我們還將增加一些強化措施，來更好的防止該類漏洞發(fā)生。”

7. MS16-032

如果Windows輔助登錄服務，無法正確管理內存中的請求句柄，則可能造成本地提權漏洞。該漏洞是由 James Forshaw 發(fā)現(xiàn)的。簡單來說，這個漏洞允許任何人泄漏一個 handle 句柄，從一個特權進程轉換為一個較低權限的進程。這個漏洞可以說是一個 Windows 高版本通殺型漏洞，從Windows 7到Windows 10，包括 Windows Server 2008-2012 中，均發(fā)現(xiàn)了該漏洞。

8.FirefoxSVG Animation 遠程執(zhí)行代碼（CVE-2016-9079）

該漏洞是一個存在于SVG Animation模塊中的釋放后重用(UAF)漏洞，當用戶使用Firefox瀏覽包含惡意Javascript和SVG代碼的頁面時，會允許攻擊者在用戶的機器上遠程執(zhí)行代碼。攻擊者利用該漏洞，對Windows用戶的Firefox和Tor瀏覽器進行了針對性的攻擊，并可能獲取到了部分匿名用戶的真實IP。分析認為，一些情報機構可能利用了該漏洞，來收集個人信息。受該漏洞影響的平臺包括Windows，Mac OS以及Linux。請使用Firefox瀏覽器的用戶及時升級到最新版本。

9.Adobe Flash遠程代碼執(zhí)行 (CVE-2016-7892)

Adobe Flash的漏洞歷史，可謂由來已久。僅在這個月Adobe就修補了31個安全漏洞。其中最重要的就是關于 use-after-free 漏洞的修復補丁。Adobe已知悉 CVE-2016-7892 漏洞被野外利用，但案例相對有限，其主要攻擊 Windows 平臺上運行 32 位 Internet Explore 瀏覽器的用戶。

10.賽門鐵克/諾頓反病毒引擎遠程Heap/Pool內存損壞漏洞（CVE-2016-2208）

谷歌的 Project Zero 團隊，發(fā)現(xiàn)了賽門鐵克/諾頓反病毒引擎中，存在遠程Heap/Pool內存損壞漏洞。利用該漏洞，攻擊者可以執(zhí)行惡意攻擊代碼，并完全控制目標系統(tǒng)。通過使用賽門鐵克反病毒引擎，向用戶發(fā)送電子郵件或鏈接，就可以觸發(fā)該漏洞，并導致內存損壞，Windows系統(tǒng)藍屏。在Linux、Mac和UNIX平臺上，攻擊者可利用該漏洞以root權限在Symantec或Norton進程中導致遠程堆溢出。供應商在一個月內，發(fā)布了該漏洞的修復補丁。

（備注：本文轉自FreeBuf，版權及最終解釋權歸原作者所有！）