- 資訊安全:
1.远离Flash,远离危险:从Flash 0day漏洞披露到集成渗透工具包,仅用4天 by FreeBuf
FireEye发布了一份关于利用Adobe Flash Player 18.0.0.160 0day漏洞(cve-2015-3113)对目标进行攻击的报告。该安全公司表示,一些用户会收到一份特殊的钓鱼邮件,这份钓鱼邮件中包含一个链接,可以链接到一个含有0-day exploit网站。
这个Flash Video File exploit 是利用Nellymoser音频解码器堆中的代码超过它的最大限制长度造成缓冲区溢出漏洞。
2.Android调试器存在漏洞,可获取设备内存数据 by FreeBuf
一个构造精巧的ELF(Executable and Linkable Format)文件可以导致调试器崩溃,然后通过tombstone文件和对应的logd日志文件暴露内存内容。这可以被用于拒绝服务攻击,可以帮助绕过ASLR执行恶意代码。仅仅利用这个漏洞是无法进行代码执行的。但是通过这个漏洞暴露的信息可以和其他漏洞结合用于代码执行。
导致漏洞的原因是在执行字符串复制命令时,Debuggerd会使用sym->st_name作为offset,而不进行错误检查。这个值可以轻易被恶意的ELF文件控制,它可以将offset值指向不可读取的内存,Debuggerd就会崩溃。如果不断崩溃就会造成拒绝服务攻击。如果精心构造offset就会使Debuggerd暴露相应的内存内容,Debuggerd会将它们存入dump和log文件中。
3.大量思科安全设备被曝存在默认SSH密钥 by FreeBuf
思科产品WSAv、ESAv和SMAv软件内远程支持功能中存在着一个漏洞,该漏洞允许未经身份验证的远程攻击者以root用户权限连接到受影响的系统,攻击者可以解密和模仿任何虚拟内容安全设备之间的安全通信。
该漏洞的产生是由于存在着一个默认授权的SSH密钥,而安装的所有WSAv、ESAv和SMAv都可以共享该密钥。攻击者可以通过获取SSH私有密钥来利用该漏洞,即可以使用它来连接任何WSAv、ESAv和SMAv设备。此外,攻击者还可以利用该漏洞来以root用户权限来访问设备系统。
FireEye发布了一份关于利用Adobe Flash Player 18.0.0.160 0day漏洞(cve-2015-3113)对目标进行攻击的报告。该安全公司表示,一些用户会收到一份特殊的钓鱼邮件,这份钓鱼邮件中包含一个链接,可以链接到一个含有0-day exploit网站。
这个Flash Video File exploit 是利用Nellymoser音频解码器堆中的代码超过它的最大限制长度造成缓冲区溢出漏洞。
2.Android调试器存在漏洞,可获取设备内存数据 by FreeBuf
一个构造精巧的ELF(Executable and Linkable Format)文件可以导致调试器崩溃,然后通过tombstone文件和对应的logd日志文件暴露内存内容。这可以被用于拒绝服务攻击,可以帮助绕过ASLR执行恶意代码。仅仅利用这个漏洞是无法进行代码执行的。但是通过这个漏洞暴露的信息可以和其他漏洞结合用于代码执行。
导致漏洞的原因是在执行字符串复制命令时,Debuggerd会使用sym->st_name作为offset,而不进行错误检查。这个值可以轻易被恶意的ELF文件控制,它可以将offset值指向不可读取的内存,Debuggerd就会崩溃。如果不断崩溃就会造成拒绝服务攻击。如果精心构造offset就会使Debuggerd暴露相应的内存内容,Debuggerd会将它们存入dump和log文件中。
3.大量思科安全设备被曝存在默认SSH密钥 by FreeBuf
思科产品WSAv、ESAv和SMAv软件内远程支持功能中存在着一个漏洞,该漏洞允许未经身份验证的远程攻击者以root用户权限连接到受影响的系统,攻击者可以解密和模仿任何虚拟内容安全设备之间的安全通信。
该漏洞的产生是由于存在着一个默认授权的SSH密钥,而安装的所有WSAv、ESAv和SMAv都可以共享该密钥。攻击者可以通过获取SSH私有密钥来利用该漏洞,即可以使用它来连接任何WSAv、ESAv和SMAv设备。此外,攻击者还可以利用该漏洞来以root用户权限来访问设备系统。
- 企業管理:
1.我们的未来领袖 by 沈祖尧
(1)谦卑
(2)要学识渊博、有远见
(3)要包容
2.学者和企业之间的界限 by 胡泳
学术知识描述的是塑造管理历史的基本机制,比如,有限理性、合法性扩散、松散耦合……对比之下,经验知识则关注特定时间、特定背景下特定个体的个人经验,它不一定推广到其他个体、其他背景、其他时间、也不一定形成强大的理论,但是它提供很多有关特定情景的知识……学术知识不能用来解决具体环境下的具体问题,除非生搬硬套。
但是,在新的或者不断变化的环境下,当管理者面临意外问题或者未知问题的时候,学术知识的作用就会凸显出来。学术知识提供的是问题的思考框架,而不是解决方案。
3.金子般的好战略,为何迟迟没发光? by Todd Zenger
(1)增强市场对战略信息的获取。
(2)寻找更有耐心的投资者。
(1)谦卑
(2)要学识渊博、有远见
(3)要包容
2.学者和企业之间的界限 by 胡泳
学术知识描述的是塑造管理历史的基本机制,比如,有限理性、合法性扩散、松散耦合……对比之下,经验知识则关注特定时间、特定背景下特定个体的个人经验,它不一定推广到其他个体、其他背景、其他时间、也不一定形成强大的理论,但是它提供很多有关特定情景的知识……学术知识不能用来解决具体环境下的具体问题,除非生搬硬套。
但是,在新的或者不断变化的环境下,当管理者面临意外问题或者未知问题的时候,学术知识的作用就会凸显出来。学术知识提供的是问题的思考框架,而不是解决方案。
3.金子般的好战略,为何迟迟没发光? by Todd Zenger
(1)增强市场对战略信息的获取。
(2)寻找更有耐心的投资者。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言