如何防御零日攻击,零日漏洞 _云知道

Zerodium为何暂停收买iOS零日漏洞？

Zerodium 是一个漏洞利用获取平台，旨在向研究人员支付一定的费用来收买零日安全漏洞，然后转手卖给政府和执法机构等客户。然而本周，Zerodium 竟然宣布 —— 由于短期内提交的 iOS 漏洞利用程序太多，其计划在未来 2~3 个月内不再购买此类内容。据悉，Zerodium 专注于高风险的漏洞，通常每个功能完善的 iOS 漏洞利用会被给予 10 万到 200 万美元的奖励。
Zerodium 首席执行官 Chaouki Bekrar 在一条推文中表示，iOS 的安全状况并不如大家所想的那样良好，并指出持续有一些影响所有 iPhone 和 iPad 零日漏洞利用出现。当然，Bekrar 还是希望 iOS 14 能有所改善。除了 Zerodium 等第三方，苹果也有自己的漏洞赏金计划。
360团队报告的IE浏览器零日漏洞是怎么回事？

我有靠谱回答国内奇虎360安全团队近日在IE浏览器中发现了零日安全漏洞，允许黑客使用包含恶意代码的Office办公文档入侵Windows设备。从目前披露的文件中，团队可能使用了嵌入IE页面的Office文档中的漏洞，从远程服务器上加载恶意代码并使用高级技术来避免被WindowsDefender等安全软件检测到。
360安全团队专家解释道之所以能够成功入侵，还依靠了非常复杂的算法，使用公共方式绕过UAC（User Account Control），并使用了文件隐写和内存反射加载等方式确保能够入侵目标主机。从目前披露的安全公告来看，所有IE版本都存在这个漏洞，而且不分Windows版本和Office版本。包括Office 2016和Windows 10平台也证实存在漏洞。
IBM为何不愿修复第三方免费提交的IDRM零日漏洞？

由于被告知后拒绝修补，安全研究人员今日发布了影响 IBM 磁盘风险管理（IDRM）这款企业安全工具的四个零日漏洞。据悉，IDRM 能够汇总来自漏洞扫描工具和其它风险管理工具的提要，以便管理员调查安全问题。正如 Agile 信息安全公司研究主管 Pedro Ribeiro 所指出的那样，IDRM 是一款能够处理相当敏感信息的企业安全产品。
遗憾的是，有关 IDRM 产品本身的漏洞，却可能导致企业遭受全面的损害。因其具有访问其它安全工具的凭据，更别提汇总了有关企业的关键漏洞信息。Ribeiro 表示，其在 IDRM 中发现了四个漏洞，并且与 CERT / CC 计算机安全响应团队合作，通过官方披露程序向 IBM 汇报了这些问题。然而即便被告知四个漏洞的严重性，IBM 方面的回应却有些匪夷所思 —— 该产品仅用于客户的‘增强’支持，在评估之后，我们不认为他在漏洞披露程序的范围之内。
我司已在 https://hackerone.com/ibm 上概述了相关政策，想要获得该项目的参与资格，你不能在提交前六个月、根据合同对 IBM 公司或客户执行安全性测试。直到今天，研究人员仍不明白 IBM 为什么要摆出这样一副态度：为何 IBM 拒绝接受免费的详细漏洞报告？IBM 的回应到底是什么意思？是该公司仅接受来自客户的漏洞报告吗？还是说该产品并不在支持范围内？若如此，为何还要出售给新客户？要知道它们销售的可是企业级的安全产品啊！怎么还能如此不负责任呢Ribeiro 补充道：“作为一家市值数十亿美元、向世界级大企业出售安全产品和咨询业务的公司，IBM 的回应实在让人难以置信” 。
鉴于 IBM 无意修补这些漏洞，Agile 方面决定在 GitHub 上公布四个漏洞的详细信息，以敦促使用该产品的企业采取防范任何攻击的缓解措施。（1）攻击者可绕过 IDRM 的身份验证机制；（2）IDRM API 中有一个注入点，或被攻击者在应用程序上执行自己的命令；（3）a3user/idrm 使用了硬编码的用户名和密码组合；（4）API 中的漏洞或允许远程攻击者从 IDRM 设备上下载文件。