2015年 第47周 微信公众号精选安全技术文章总览

洞见网安 2015-11-23

0x1 联想系统更新中发现的两枚提权漏洞原理分析

安全张之家 2015-11-29T21:02:55

联想最新系统更新中发现了两个提权漏洞（CVE-2015-8109，CVE-2015-8110），本文详细分析了这两个漏洞的原理。第一个漏洞存在于联想系统更新的帮助系统中，攻击者可以通过浏览器实例继承管理员权限来提升账户权限。第二个漏洞是联想系统在创建临时管理员账户时使用了可预测的随机密码生成算法，攻击者可以根据账户创建时间预测用户名和密码，从而提升账户权限。这两个漏洞都允许攻击者从普通用户权限提升到管理员或SYSTEM权限。

漏洞分析 权限提升 随机密码生成 UAC绕过 系统更新安全 CVE编号

0x2 亿邮邮件系统命令执行可GetShell两处

安全张之家 2015-11-23T21:54:05

亿邮邮件系统命令执行可GetShell两处

0x3 逃脱APT攻击魔爪，需网络安全防御体系一层套一层

江南信安 2015-11-23T20:14:44

如同一个APT攻击需要突破多个网络层才可以成功一样，如果企业不希望沦为APT的猎物必须实施能够进行多层网络防

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。