[Bug 1812224] CVE-2020-10185 yubikey-val: allows remote attackers to replay an OTP

Apple has paid a $75,000 bug bounty to a security researcher who chained together three different...

A white-hat hacker was able to hijack iPhone cameras using a chain of three vulnerabilities...

A vulnerability was found in PHP versions 7.2.x below 7.2.9, 7.3.x below 7.3.16 and 7.4.x...

据《福布斯》报道，苹果向黑客支付了75000美元，以识别其软件中的多个零日漏洞，其中一些漏洞可用于劫持MacBook或iPhone上的相机。零日漏洞是指软件开发人员和公众所不知道的软件安全漏洞，而悄悄利用它的攻击者可能已经知道了这些漏洞。 据报道，安全研究员瑞安·皮克伦（Ryan Pickren）在决定用“模糊的角落案例敲打浏览器”直到它开始显示怪异行为后，才发现了Safari中的漏洞。该漏洞猎人共发现了7个漏洞。这些漏洞涉及Safari解析统一资源标识符、管理web源和初始化安全上下文的方式，其中三个漏洞可以用来诱骗用户访问恶意网站，使攻击者能够访问摄像头。 皮克伦（Pickren）于2019年12月通过苹果的漏洞赏金计划报告了他的研究。苹果立即验证了所有七个漏洞，并在几周后为相机发布了修复程序。该相机漏洞已在1月28日发布的Safari 13.0.5中进行了修补。不那么严重的其余零日漏洞已在3月24日发布的Safari 13.1中进行了修补。 苹果于2019年12月向所有安全研究人员开放了其漏洞赏金计划。在此之前，苹果的漏洞赏金计划是基于邀请的，并且不包括非iOS设备。苹果还根据安全漏洞的性质，将每个漏洞的赏金上限从20万美元提高到了100万美元。 在提交报告时，研究人员必须包括问题的详细说明，利用漏洞的工作时系统状态解释，以及足以使苹果可靠地再现问题的足够信息。今年，苹果计划为经过审查和值得信赖的安全研究人员和黑客提供“开发”版 iPhone或特殊的iPhone，以提供对底层软件和操作系统的更深入访问，从而更容易发现漏洞。 Source link

Last week, we told you that the Zoom video conferencing service was ultra-cool and that...

http://packetstormsecurity.com/files/157068/MicroStrategy-Intelligence-Server-And-Web-10.4-XSS-Disclosure-SSRF-Code-Execution.html https://community.microstrategy.com/s/article/Web-Services-Security-Vulnerability Another SSRF, Another RCE – The Microstrategy case Source link

http://packetstormsecurity.com/files/157068/MicroStrategy-Intelligence-Server-And-Web-10.4-XSS-Disclosure-SSRF-Code-Execution.html https://community.microstrategy.com/s/article/Web-Services-Security-Vulnerability Another SSRF, Another RCE – The Microstrategy case Source link

Published: 2020-04-01 Description: In RedpwnCTF before version 2.3, there is a session fixation vulnerability in...