2015年软件安全漏洞排行 苹果独占两席
[摘要]2015年可谓是网络安全事件频发的一年，而CVE Details安全漏洞数据库日前就公布了这一年里安全漏洞最多的软件产品名单，排在前五位的分别是：Mac OS X、iOS、Flash、Adobe Air和Air SDK。　　2015年可谓是网络安全事件频发的一年，而CVE Details安全漏洞数据库日前就公布了这一年里安全漏洞最多的软件产品名单，排在前五位的分别是：Mac OS X、iOS、Flash、Adobe Air和Air SDK。　　据悉，Mac OS X在2015年一共被发现存在384个漏洞，iOS为375个。而谷歌的Android系统为130个，Windows约有150个。　　而在2014年，这个名单中的前五位分别是IE浏览器、Mac OS X、Linux Kernel、Chrome和iOS，Android并未进入前50。　　值得注意的是，CEV Details呈现结果的方法可能会引起一些疑惑和争论。举个例子，OS X在表中被算作一个条目，而Windows的每个大版本单独算一个条目。　　由于不同Windows版本的漏洞数量基本相同，因此它们的名次在表单当中都是紧挨着的，漏洞数量则在135-155个左右，这也可以被看作是Windows总体所拥有的漏洞量。　　而如果按照公司进行排序，旗下软件产品漏洞最多的三家公司分别是微软、Adobe和苹果。　　值得注意的是，科技公司对于安全漏洞的披露政策都不尽相同，而本次排名所计算的只有被公开披露的漏洞，而非这些软件身上存在的所有漏洞。
正文已结束，您可以按alt+4进行评论
相关搜索：
热门搜索：
Copyright & 1998 - 2016 Tencent. All Rights Reserved　　二维码诈骗
　　以商品为诱饵，声称低价销售或提供返利，再借机发送商品二维码，但实则是木马病毒。一旦安装，便可盗取该用户的应用账号和密码等。
　　专家提醒：不要在手机中随意安装不明程序，多加防范。
　　点赞诈骗
　　商家发布&点赞&信息时，并未透露商家具体位置，而是写着电话通知，要求参与者将自己的电话和姓名发到微信平台，一旦所征集的信息数量够了，这种&皮包&网站就会自动消失，其目的是套取个人信息。
　　专家提醒：对点赞送礼的信息应先查证，拨打电话进行咨询，如有必要则将咨询答复录下来。
　　假公众账号诈骗
　　在微信平台上使用类似于&交通违章查询&这样的公众账号名称，让人误以为这是官方的微信发布账号，然后再进行诈骗。
　　专家提醒：对于各类公众账号要提高警惕，多方求证真伪。
　　伪装手机有故障，重新登录微信需要验证码
　　首先盗取一位微信好友微信，再发出诸如&我手机刷机了，登录微信需要好友验证，把收到的验证码发给我&等信息，等到用户将验证码发给对方后，该用户的微信也被盗取，顺势便可去诈骗其他人。
　　专家提醒：若有微信好友或QQ好友提出借钱或要求发送号码等隐私信息时，一定要先进行电话联系，确定是本人后再作决定。
　　利用代购诈骗
　　通过价格诱惑，向受害人推出海外商品代购，当受害人支付预付款或代购全款后，则以&商品被海关扣下，要加缴关税&等理由要加付&关税&，等到受害人付款后，却始终收不到货品。
　　专家提醒：应到正规网站进行购物。
关键字推荐
潇湘晨报APP
新闻 广告 发行
24小时热线 96360
ICP备案号：湘ICP备号-2
湖南省互联网新闻信息服务许可证 湘
互联网出版许可证：新出网证（湘）字31号
企业法人营业执照注册号978
增值电信业务经营许可证：湘B2-苹果的漏洞是不是就是腾讯安全检测出来的？_百度知道
苹果的漏洞是不是就是腾讯安全检测出来的？
我有更好的答案
检测出来了，而且仅仅上半年，电脑管家就提交了多达609个漏洞呢
其他类似问题
为您推荐：
安全检测的相关知识
等待您来回答
下载知道APP
随时随地咨询
出门在外也不愁苹果系统曝安全漏洞 黑客能借此盗取密码
[摘要]报告称，由于苹果打造的应用能够互相联系，研究人员可以窃取大量机密信息。
BI中文站 6月18日报道一群安全领域的专家发现移动和桌面操作系统中存在一个需要警惕的漏洞。研究小组在新近发布的文件中描述了他们如何进行了一系列测试，绕开安全检查，盗取密码、甚至一些关键的应用数据。这一发现的漏洞存在于苹果的iPhone、iPad以及Mac产品中。报告称，由于苹果打造的应用能够互相联系，研究人员可以窃取大量机密信息。例如iCloud、电子邮箱以及银行的密码，甚至印象笔记(Evernote)应用中的令牌。简单来说，研究人员制造一个恶意软件，并将其以普通应用的形式伪装起来，上传到苹果的应用商店App Store。一旦用户这款应用，其手机或者电脑中现有应用的机密信息就会被恶意软件盗走。该研究团队负责人邢璐祎表示，通过这个恶意软件，他们可以在未经授权的情况下进入其他应用的敏感数据，例如iCloud的密码和图片、邮箱应用以及存储在Google Chrome中的网络密码。据悉，邢璐祎及其团队在六个月前就已经将这一情况告知苹果，但目前苹果的相关产品中仍存在这一漏洞。这一发现无疑将产生严重的后果。在此之前，几乎没有爆出苹果的软件中存在跨应用的漏洞，这一发现表明苹果的这种软件设计的确存在巨大风险。研究人员对大量苹果应用进行测试，发现超过88.6%的应用被彻底攻陷，这其中包括非常受欢迎的密码管理应用1Password以及Google Chrome。报告称，这种类型的攻击所产生的后果相当严重，将会泄露用户的密码、秘密令牌以及所有类型的秘密文件。简而言之，如果黑客利用这一漏洞发起攻击，对于苹果来说则是一个坏消息。目前尚不清楚有没有人已经利用这一漏洞进行攻击。苹果方面目前急需找到对策，堵上存在于iOS和Mac OS X操作系统中的这一漏洞。（李路）【美国Business Insider作品（简称“作品”）的中文翻译权及中文版版权均归腾讯公司独家所有。未经腾讯公司授权许可，任何组织、机构或个人不得对作品进行中文翻译或对作品中文版本实施转载、摘编或其他任何形式的使用行为，违者腾讯公司将追究其法律责任。】
[责任编辑：haroldli]
您认为这篇文章与"新一网（08008.HK）"相关度高吗？
Copyright & 1998 - 2016 Tencent. All Rights Reserved
还能输入140字当前位置： && 知识详情
使用QQ邮箱漏洞盗取iCloud解锁失窃iPhone团伙溯源
来源：360天眼安全实验室
阅读：75176次
在《QQ邮箱0day漏洞,打开邮件iCloud被盗案例分析》中,360天眼安全实验室揭露了一起利用未公开QQ邮箱跨站漏洞进行的钓鱼攻击。接下来,我们对此事件做了进一步的挖掘,分析谁是可能的幕后黑手。我们发现攻击者至少使用了两种攻击方式进行钓鱼:利用跨站漏洞窃取Cookies、伪装iCloud登录页面。1、利用跨站漏洞钓取Cookie攻击者会发一封带有XSS漏洞的邮件,目标点击后,会把QQ邮箱的Cookies发到攻击者的后台,攻击者收到Cookies后,通过Cookies登陆QQ邮箱,来重置iCloud密码。上一篇文章中提到过,攻击者将一个嵌入了iframe的”空”页面地址发送给受害者,受害者在打开这个页面的同时会访问一个qq邮箱预览功能开头的url地址:其中column_url为预览功能需要的远程xml文件(这里是mail.xml),mail.xml内容如下:通过解码“onerror”后的十六进制数据得到一个短网址:http://t.cn/RUWp7BJ打开之后,发现是webxss生成的一个XSS模块,如图:发现攻击者是通过webxss的测试平台来生成XSS攻击代码并接收漏洞得到利用后返回的Cookie数据的。笔者申请了一个webxss账号,以下是平台的界面:2、伪装iCloud页面直接钓取账号除了用跨站手段盗取Cookies的方式,攻击者还有伪造iCloud页面骗取账号和密码的方式。我们通过对mail.xml的服务器的进一步挖掘,找到了攻击者的另外2个钓鱼页面:其中第一个已经被360网盾拦截,所以攻击者现在一直在用第二个地址进行钓鱼。分析发现第二个钓鱼页面会判断IP地址,笔者所在地区的IP地址,会被跳转到如图:挂上代理,打开相同的页面,发现返回了一个伪装iCloud的钓鱼页面,如图:钓鱼网站是NetBox v3.0搭建的:输入伪造的账号和密码,发现会把账号密码通过POST请求发送到一个远程地址:hxxp://apple.myiphone.ren/ICloud13/save.asp通过查找hxxp:// 这个钓鱼页面的whois信息,发现网站的所有者是一位叫肖远玉的人(尚不确认注册信息是否真实),注册邮箱为:409**** 。域名注册时间是日,目前处于活跃状态:注册者的QQ号,通过QQ资料,猜测应该是一个小号或者盗取的别人账号:此QQ号码之前的主人名为胡超:通过查找hxxp://.myiphone.ren/?ILJIU=33885.html 另外一个钓鱼页面的whois信息,发现网站的所有者注册的邮箱为:99******@qq.com,注册人被置为:zhong en sheng 。通过查找QQ信息,发现QQ的所有者是一个专门做QQ的XSS的人,根据QQ昵称推测,这人可能姓钟,与whois信息相符。通过查询QQ群关系数据库,发现这个QQ的所有者名为:钟恩胜。以下是相关QQ疑似所有者在其空间找到的生活照,在深圳市友谊酒店拍摄:通过进一步地分析关联,我们发现了伪造icloud登录页面得到的账号与密码的后台地址:hxxp://118.xxx.xxx.xxx/manager/index.asp管理界面如图:经过后台数据关联分析,发现和此攻击者有关的另外一个QQ号:但由于我们无法找到更多的证据证明此QQ和本次XSS事件有关,挖掘工作就此告一段落。.综上,攻击者主要通过2种方法解绑丢失的iPhone手机1、通过XSS钓QQ邮箱的Cookie,然后通过Cookies登陆QQ邮箱,重置iCloud密码解绑2、通过发送钓鱼邮件插入伪造的iCloud直接调取iCloud账号密码去解绑丢失的手机由此,一条通过黑客手段处理灰色来源手机的黑产似乎隐约可见。另外,再提一个之前遇到过用第二种方法钓鱼的典型案例:用户反馈,说丢失的手机在新华路上线,让点击网站查看手机的具体位置,攻击者伪装apple的客服发送的一封邮件,发送的链接是一个的一个页面,用户转发给我的邮件如图:攻击者发送了一个钓鱼连接,粗略的一看,会以为是正常的凤凰网的地址,大部分人可能会去打开,打开后会弹出一个与本次事件一样的钓鱼页面。钓鱼链接如下:发现最后面一个参数是base64加密的,解开之后发现是一个网址:#1#/rd.htm?id=1468872&r=http%3A%2F%%2Frew%2F为攻击者精心的把钓鱼地址构造到的子域名里,去借助这个白域名去跳转到真正的钓鱼页面,这样做是为了过QQ邮箱不可信域名拦截,因为发送过去的是一个白域名,各类安全软件不会对一个白域名进行拦截。从之前的用户反馈到本次截获的的攻击事件,可以看出攻击者的手法已经由被动的骗取密码,演变成了主动出击获取邮箱登录权限,从而使危害性更高,黑产不会放过任何一个可以使自己增加钱财的技术手段。企业可以通过这种以下方式来防御xss。
本文由 360安全播报 原创发布，如需转载请注明来源及本文地址。本文地址：/learning/detail/2264.html
参与讨论，请先
牛啊嗨克Q ~，44 8 56 7 3 3 3
很嗨的，可以帮你的，闺蜜试过好几次了，破解密码查聊天记录很快的
牛啊嗨克Q ~，44 8 56 7 3 3 3
很嗨的，可以帮你的，闺#蜜试过好几次了
我似乎听到了什么
哈哈哈，我喜欢你的这个名字噢， 难道你是教主
我身边最近就有几个朋友中招了，赶紧抓人吧！
哈哈哈，我喜欢你的这个名字噢， 难道你是教主
我身边最近就有几个朋友中招了，赶紧抓人吧！
我身边最近就有几个朋友中招了，赶紧抓人吧！
一定要严厉打击这些害虫。
严厉打击，严惩不贷！
破案好快！
破案好快！
安全播报APP
Copyright & 360网络攻防实验室 All Rights Reserved 京ICP证080047号[京ICP备号-6]