热搜话题榜单

互联网314事件：不少站长因疑似聚合支付0day漏洞痛失百万

一起严重的网络安全事件引起了广泛关注。在一个程序员售后群中，有人分享了一张关于“易支付SQL注入测试”的截图。这一事件再次提醒了广大站长和开发者，网络安全不容忽视，应时刻保持警惕，及时更新和升级系统，以防止类似事件的发生。

苹果修复了今年第八个用于入侵iPhone和Mac的0day漏洞

苹果公司已经发布了安全更新，以解决自今年年初以来在针对iPhone和Mac的攻击中使用的第八个0day漏洞。在周一发布的安全公告中，苹果公司透露他们知道有报告说这个安全漏洞"可能已经被积极利用"。该漏洞（被追踪为CVE-2022-32917）可能允许恶意制作的应用程序以内核权限执行任意代码。一位匿名研究人员向苹果公司报告，它在iOS 15.7和iPadOS 15.7、macOS Monterey 12.6和macOS Big Sur 11.7中得到解决，并改进了防范工作。受影响设备的完整列表包括：iPhone 6s及以后版本、iPad Pro（所有型号）、iPad Air 2及以后版本、iPad第五代及以后版

腾讯安全捕获YAPI远程代码执行0day漏洞在野利用，该攻击正扩散，可使用防火墙阻截

一、概述腾讯主机安全（云镜）捕获YAPI远程代码执行0day漏洞在野利用，该攻击正在扩散。受YAPI远程代码执行0day漏洞影响，从7月第1周开始，未部署任何安全防护系统的失陷云主机数已达数千台。先后出现两次失陷高峰，一次在7月3号，一次在7月7号。BillGates僵尸网络在7月1日首先发起攻击，7月4日Mirai僵尸网络木马攻击的规模更大，已部署腾讯云防火墙的云主机成功防御此轮攻击。BillGates僵尸网络与Mirai僵尸网络木马为存在多年十分

Mozilla Firefox 74.0.1发布 修复两个0day漏洞 建议尽快升级

Mozilla 紧急发布了 Firefox 74.0.1 和 Firefox ESR 68.6.1 版本，针对其内存空间管理方式中存在的两个错误进行了修复。两项漏洞分别为 CVE-2020-6819 和 CVE-2020-6820，均被评级为”严重“。这类 ”user-after-free“ 漏洞使黑客可以将代码放入 Firefox 的内存中，并在浏览器的上下文中执行代码。

Steam客户端被曝存在0Day漏洞，超1亿用户受影响

据外媒报道，Windows最受欢迎的游戏平台Steam客户端版本发现有0Day特权升级漏洞，该漏洞可允许具有有限权限的攻击者以管理员身份运行程序。

Google 研究员披露 Windows 10 0day 漏洞

​安全研究员 Tavis Ormandy‏ 是谷歌 “Project Zero” 团队的一员，负责寻找 0day 漏洞。他公开了一个可利用的 Windows 漏洞，目前，微软仍处于修复过程中。Tavis Ormandy 发推文说他已经发现了 Windows 核心加密库的安全问题，“微软承诺在 90 天内修复它，结果没有”。于是在第 91 天，Ormandy 选择了公开这个漏洞。

又一Windows的0day漏洞在Twitter上被公开

微软Windows最近麻烦不断，“bug 10”问题让人哭笑不得的同时，一个真正的威胁又出现了。新的0day漏洞已经被披露，会影响所有最近的Windows版本，包括Windows 10。用户名“SandboxEscaper”的研究人员在Twitter和GitHub上分享了概念证明（Proof of Concept），确认此漏洞存在。

流行 jQuery 插件 0day 漏洞被利用至少三年

利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload，

腾讯安全获Adobe公开致谢 披露Flash 0day漏洞利用原理

近日，腾讯御见威胁情报中心捕获一例Flash 0day漏洞（CVE-2018-5002）野外攻击并迅速上报。6月7日，Adobe官方发布安全公告回应，确认该漏洞的存在，并将Adobe Flash Player升级到30.0.0.113版本。公告同时对腾讯电脑管家安全团队为发现该漏洞做出的贡献表示了感谢。6月8日上午，腾讯安全遵循行业标准漏洞披露程序，正式对外披露Flash 0day漏洞（CVE-2018-5002）利用原理，并指出该漏洞利用或将引发大规模挂马攻击，为上网安全建议?

腾讯御见捕获高危Flash 0day漏洞野外攻击 已获Adobe官方确认

近日，腾讯御见威胁情报中心监测到一例使用Flash 0day漏洞的APT攻击，攻击者在特别构造的excel文档中嵌入flash对象，用户打开文档即会中毒。腾讯安全已第一时间向Adobe官方上报该漏洞利用样本，随即获得Adobe官方确认。从截获的APT攻击样本来看，目标疑似某使用阿拉伯语的国家要害部门，攻击者的意图或在于获取商业机密、刺探国家情报。对此，腾讯企业安全技术专家提醒各级政府机关、企业等广大用户，及时将电脑中的Flash player更

360发现全球首例使用浏览器0day漏洞的Office攻击

近日， 360 安全中心在全球范围内监测到一例使用0day漏洞的APT攻击，经分析发现，该攻击是全球首个使用浏览器0day漏洞的新型Office文档攻击。只要打开恶意文档就可能中招，被黑客植入后门木马甚至完全控制电脑。

腾讯电脑管家提醒：潜伏17年高龄0day漏洞野外攻击 威胁Office全版本

日前，腾讯电脑管家通过官方微博发布安全预警：腾讯安全反病毒实验室安全团队率先在全球范围内捕获了一例病毒样本，并顺藤摸瓜捕获了一个潜伏了 17 年之久的0day漏洞——该病毒利用Office公式编辑器中的0day漏洞发动攻击，与之前CVE-2017-11882“高龄”漏洞如出一辙，潜伏期长达 17 年之久，威胁大量Office版本，一旦用户打开恶意文档，无需其他操作，就会被植入后门木马，被不法分子完全控制电脑。据了解，0Day漏洞也叫Zero Day漏

警惕Dedecms“友情链接”0day安全漏洞

知名漏洞报告平台“乌云”收到白帽子“海琪花”的提交漏洞报告，报告称DedeCMS存在一个通过严重的跨站脚本漏洞，攻击者可以通过前台提交“友情链接”提交恶意JS代码，当管理员访问后台管理“友情链接”时，触发攻击的恶意代码，导致攻击者直接盗用管理员身份登陆后台，最终导致网站被完全控制，植入恶意网站木马，轮为“肉鸡”。

360协助奇博CMS修复V7版0day漏洞

近日，360网站安全检测平台独家发现齐博CMS V7（原PHP168 v系列）建站系统存在SQL注入漏洞（0day），黑客可利用此漏洞入侵网站服务器，窃取网站数据甚至完全控制服务器。

知道创宇：版DEDECMS存SQL注入0day漏洞

国内安全研究团队“知道创宇”称截获到最新DEDECMS SQL注入0day，DEDECMS官网目前提供下载的最新版5.7也受影响，截止本告警发出时官方尚未给出补丁或解决方案，此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。

Adobe新曝0Day漏洞 QQ电脑管家率先支持修复

Adobe官方最新消息，AdobeReader和AdobeAcrobat的9.3.4及之前的版本存在严重安全漏洞，危及Windows、Mac和UNIX操作系统。漏洞攻击代码可通过pdf文件等形式传播，用户点击即遭攻击，导致电脑被黑客完全控制。截至目前，Adobe官方尚未发布修复补丁，QQ电脑管家团队收到大

瑞星安全警报：nginx代理软件存在0day漏洞

瑞星公司向各大网站、企业网络管理员发布安全警告：流行代理器软件Nginx爆出0day漏洞，如果网站使用Nginx和PHP构建，并且允许用户上传图片，就会被黑客入侵，植入木马等。目前，国内多家大型门户网站、购物网站采用了该软件，存在易被攻击的漏洞，目前已有某大型购物网

nginx 0day漏洞 上传图片可入侵百万台服务器

国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告，由于该漏洞的存在，使用nginx+php组建的网站只要允许上传图片就可能被黑客入侵，直到5.21日凌晨，nginx尚未发布修复该漏洞的补丁；已经有一些网站被黑了，管理员速修复！

微软再爆IE 0day漏洞 绿盟科技提供防护手段

继今年1月14日微软IE浏览器曝出“Aurora”0day漏洞而引发了大规模的挂马攻击后，昨日微软IE浏览器再次爆出严重级别的0day漏洞（Microsoft IE畸形对象操作内存破坏漏洞CVE-2010-0806），受影响的IE浏览器版本包括IE7.0、IE6.0 SP1、IE6.0等几乎所有主流版本。

IE极风0day漏洞危害升级 ARP挂马攻击出现

3月12日，金山安全实验室发布高危漏洞红色安全预警，12日上午8点39分，金山安全实验室率先截获了国内首例利用IE极风0day漏洞进行挂马传播的案例。这也表示IE极风0day漏洞在被发现后的短短3天时间里，已经开始被黑客利用进行传播病毒。