Archive For 十一月, 2015

7 articles

2015年第48周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞70个,其中高危漏洞19个,中危漏洞49个,低危漏洞2个。漏洞数与前一周环比增加了4.5%,与去年同比减少了47%;
  • 本周记录了思科公司发布的几个产品的漏洞,涉及到 IOS、ASA、VTS、Firepower、TelePresence,漏洞类型主要是代码执行、安全机制绕过、拒绝服务、、跨站脚本等,在本周增加的漏洞数量中,按公司累计排名,思科公司最新发布的漏洞数量位居第一;还记录了Huawei公司几个涉及到路由、交换和视频会议终端的漏洞,类型主要是目录遍历、拒绝服务等;也关注了APPLE、linux kernal等公司产品的漏洞;
  • [......]

Read more

AlphaFuzzer内存fuzz框架即将发布

背景:

按照fuzz形式而言,传统的fuzzer工具分为二种,一种是文件格式的fuzz测试, 一种是网络协议的fuzz测试。Alphafuzzer已经同时支持了这2种形式的fuzz。但是在有些时候,传统的fuzz是应用效率并不是很高。比如:
当程序对输入次数有限制(比如输入错误3次程序就自动关闭)。我们无法对程序持续的进行fuzz测试的时候。
当程序运行需要解压,载入很多很庞大的库文件,我们无法高效的进行fuzz测试时候。
当程序(如网络协议)传输过程有数据加密,而我们并不知道加密方式。无法构造有效的数据包进行fuzz测试的时候。
当目标程序有非常多的函数,我们只关注某一个函数,而又[......]

Read more

2015年第47周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞67个,其中高危漏洞17个,中危漏洞44个,低危漏洞6个。漏洞数与前一周环比减少了64.2%,与去年同比减少了41.2%;
  • 本周记录了思科公司发布的几个产品的漏洞,涉及到 IOS、Aironet、Videoscape、FireSIGHT和Firepower,漏洞类型主要是代码执行、安全机制绕过、信息泄露、、跨站脚本等,在本周增加的漏洞数量中,按公司累计排名,思科公司最新发布的漏洞数量位居第一;还记录了Adobe公司最新发布的几个涉及到BlazeDS、ColdFusion 、Premiere Clip app for iOS的漏洞,[......]

Read more

Java反序列化漏洞技术分析

1 Java反序列化漏洞背景介绍

简单来说序列化是将对象状态转换为可保持或传输的格式的过程(bytestream)。与序列化相对的是反序列化,它将流(bytestream)转换为对象。这两个过程结合起来,可以轻松地存储和传输数据。

1.1 Java序列化

1. Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。

2. 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化。对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象

3. 整个过[......]

Read more

2015年第46周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞187个,其中高危漏洞58个,中危漏洞122个,低危漏洞7个。漏洞数与前一周环比增加了128%,与去年同比增加了54.5%;
  • 本周记录了微软公司十一月安全公告发布的近50个漏洞,涉及到IE浏览器、Windows内核、Office全线产品、Dot net运行环境、Skype企业级通讯工具等,漏洞类型主要是代码执行、安全机制绕过、信息泄露、权限提升、跨站脚本等,在本周增加的漏洞数量中,按公司累计排名,微软公司最新发布的漏洞数量位居第一,其中一半的漏洞跟IE浏览器有关;还记录了Adobe公司最新发布的十多个涉及到Adobe Flash[......]

Read more

2015年第45周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周统计CVE漏洞82个,其中高危漏洞24个,中危漏洞51个,低危漏洞7个。漏洞数与前一周环比减少了41.8%,与去年同比减少了29.9%;
  • 本周记录了思科公司最新发布的几个漏洞,涉及到ASA、 IOS 、Social Miner、FireSight Management Center、Secure Access Control Server等,漏洞类型主要是拒绝服务、信息泄露、SQL 注入、跨站点脚本等,在本周增加的漏洞数量中,按公司累计排名,思科公司最新发布的漏洞数量位居第一;还记录了IBM公司最新发布的几个漏洞,涉及到InfoSphere[......]

Read more

2015年第44周安全通报

1 总体情况

1.1 本周漏洞情况

  • 本周共统计CVE漏洞141个,其中高危漏洞34个,中危漏洞95个,低危漏洞12个。漏洞数与前一周环比减少了35.3%,与去年同比增加了3.7%;
  • 本周记录了Apple公司最新发布的多个漏洞,涉及到iOS、OS X、WebKit、Mac EFI、Xcode 等多个产品,漏洞类型包括拒绝服务、信息泄露、代码注入、任意代码执行,本周该公司产品的漏洞数量排名再次排名第一;还记录了思科公司最新发布的几个漏洞,涉及到ASA、ASR、无线网络控制器、安全管理中心等,漏洞类型主要是拒绝服务、安全限制绕过等;也记录了IBM公司最新发布的几个漏洞,涉及到WebSp[......]

Read more