攻击者开始利用 ImageMagick 漏洞攻击网站

安全研究人员称,攻击者没有浪费一点时间,开始利用刚刚曝出的ImageMagick高危漏洞去执行恶意代码以控制网站的Web服务器。ImageMagick是一个广泛使用的图像处理库,它的一个高危漏洞允许远程代码执行,攻击者上传植入恶意代码的图像,Web服务器在处理时能被利用执行攻击者选择的代码。开发者尚未释出修正漏洞的补丁。CloudFlare的研究员 John Graham-Cumming在官方博客上称,攻击者正在利用该漏洞攻击网站。

====================================分割线================================
文章转载自 开源中国社区[http://www.oschina.net]

时间: 2024-11-05 18:30:01

攻击者开始利用 ImageMagick 漏洞攻击网站的相关文章

恶意程序利用 Java 漏洞攻击雅虎访问者

荷兰安全公司Fox IT 报告, 雅虎广告服务器ads.yahoo.com遭黑客入侵,被利用传播恶意程序.恶意程序利用Java漏洞感染访问雅虎网站的浏览者,在受害者机器上安装不同 恶意组件.Java插件已因为安全方面的原因被部分浏览器如Firefox屏蔽.Fox IT认为,攻击最早发生在去年12月30日,持续了数天,它估计恶意程序的感染率约为每小时2.7万.雅虎已发表声明,称非常重视用户的安全,在发现之后 立即移除了传播恶意程序的广告.攻击源头尚不清楚,Fox IT推测攻击者是出于金钱方面的动机

黑客利用Flash漏洞攻击《魔兽世界》用户帐号

北京时间1月25日上午消息,据国外媒体今天报道,有黑客利用Adobe Flash中发现的漏洞,攻击<魔兽世界>玩家的帐号. 受黑客攻击的部分用户无法登录自己的账户,或发现自己的账户已经被注销.<魔兽世界>论坛称,Adobe最新版本Flash 9.0.124.0并没有上述漏洞,因此建议所有玩家尽快升级到最新版本.该论坛还表示,为了避免黑客利用该漏洞进行攻击,已经暂时禁用在帖子中加入超级链接的功能.(肖恩)

美黑客利用IE8漏洞攻击美国政府部门

&http://www.aliyun.com/zixun/aggregation/37954.html">nbsp;   根据Net Applications的数据,IE8仍是微软浏览器家族里用户数最多的一个版本.周五的时候,微软称其已经发现了该浏览器的一个漏洞,但指出该问题并不会影响到其它版本.微软的安全博客指出,理论上,如果用户使用受影响的浏览器访问恶意网站的时候,该漏洞可以允许远程代码的执行.      Computerworld.com的报道称,该问题由安全公司Invinc

360推出“库带计划”:悬赏漏洞保护网站安全

中介交易 SEO诊断 淘宝客 云主机 技术大厅 网站防护能力薄弱已经成为中国网络安全的短板 中新网3月28日电 360公司今日启动漏洞悬赏项目"库带计划",以现金奖励方式征集开源建站系统漏洞,用以帮助软件公司和开发者及时推出漏洞补丁,加强国内数百万家网站对黑客攻击"拖库"的防范能力.此举同时也有助于提升360网站安全检测平台扫描.防御漏洞的能力. 通过现金奖励方式征集技术高手报告0day漏洞,是国际领先的网络安全防御趋势.以惠普公司旗下ZDI(0day攻击防御计划)

文档型漏洞攻击研究报告

本文讲的是文档型漏洞攻击研究报告, 研究背景 由于反病毒技术快速发展及免费安全软件在全球的高度普及,恶意程序的传播变得越来越困难.自2013年以来,中国一直是全球个人电脑恶意程序感染率最低的国家. 但是随着漏洞挖掘及利用技术越来越公开化,导致越来越多的黑客更加倾向于利用常见办公软件的文档漏洞进行恶意攻击,特别是在一些APT(Advanced Persistent Threat)攻击中,更是体现得淋漓尽致.针对特定目标投递含有恶意代码的文档,安全意识薄弱的用户只要打开文档就会中招. 对于漏洞文档(

全球首例!黑产利用SS7漏洞接管用户手机卡偷钱

本文讲的是全球首例!黑产利用SS7漏洞接管用户手机卡偷钱, 据The Register援引Süddeutsche Zeitung消息,近日德国出现一起利用SS7协议漏洞盗取银行账号案例. 安全专家多年来一直警告,移动运营商间的通讯协议SS7存在严重漏洞,可能会被坏人滥用,例如将某人的电话和短信重定向到攻击者的设备.现在,第一起滥用漏洞造成资金损失的案例出现了. 西班牙电信运营商O2的德国分部向媒体确认,有攻击者利用SS7漏洞拦截用户手机接收的短信来突破他们银行账号的二次验证保护机制,并将钱洗劫一

从数据包视角解析新型Struts2漏洞攻击全过程

本文讲的是从数据包视角解析新型Struts2漏洞攻击全过程,万年漏洞王 Struts2作为世界上最流行的 Java Web 服务器框架之一,已经被炒得沸沸扬扬,其原因是由于 Apache Struts2 的 Jakarta Multipart parser 插件存在远程代码执行漏洞,攻击者可以在使用该插件上传文件时,修改 HTTP 请求头中的 Content-Type 值来触发该漏洞,导致远程执行代码. 新的漏洞出现,必然会存在漏洞利用的情况,如果在没有升级和打补丁的情况下已被攻击,即使漏洞得到

趋势云安全拦截IE 7.0零时差漏洞攻击网页

12月9日,微软定期发布修补程序,但却于第二天就出现了最新的IE7.0零时差漏洞攻击,此弱点至今尚未修补.黑客利用此漏洞植入有害的JavaScript,透过微软Internet Explorer7.0网页浏览器中SDHTML在处理XML时的弱点,对网页浏览者进行攻击.使用者即使更新了周二最新发布的修补程序,还是有可能因为使用 IE7.0 而被入侵. 趋势科技的云安全技术,利用毫秒级的运算速度,可以在7-15分钟内成功地拦截了恶意攻击网址(如下图,为12月10日的统计截屏).而事实上,趋势科技早已

网站常见的三种漏洞攻击及防范利器介绍

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断 淘宝客 云主机 技术大厅 国内外黑客组织或者个人为牟取利益窃取和篡改网络信息,已成为不争的事实,在不断给单位和个人造成经济损失的同时,我们也应该注意到这些威胁大多是基于Web网站发起的攻击,在给我们造成不可挽回的损失前,我们有必要给大家介绍几种常见的网站漏洞,以及这些漏洞的防范方法,目的是帮助广大网站管理者理清安全防范思绪,找到当前的防范重点,最大程度地避免或减少威胁