【天问】xz/liblzma后门影响全网软件测绘分析
2024年3月29日,开发人员在SSH性能调查中发现xz组件中包含后门,影响了liblzma库,并且该后门事件已被分配编号CVE-2024-3094。奇安信技术研究院“天问”软件供应链安全监测平台利用积累的海量软件空间测绘数据,发现开源生态中的若干软件存在使用后门组件的情况,其他系统、软件和固件上暂未发现直接使用后门组件的情况。
漏洞影响分析
【天问】curl漏洞影响分析,天问专查工具帮你!
2023年10月11日,curl官方发布了一篇关于curl项目的安全警告,报告指出curl组件存在SOCKS5缓冲区溢出漏洞(CVE-2023-38546)。奇安信技术研究院“天问”软件供应链安全监测平台通过对历史数据进行测绘,发现大量的桌面软件、安卓应用和设备固件使用了curl组件的漏洞版本,同时发现开源生态中的组件也存在直接引用系统中libcurl的情况。对此”天问“平台推出了专用检测工具供用户自查。
【天问】libwebp满分漏洞?天问助力影响分析!
近日,谷歌和苹果相继针对自身产品发布漏洞修复建议,这些漏洞被指出是由libwebp组件的基础漏洞引发的。由于该漏洞使用范围广,涉及软件众多,目前仍存在大量尚未修复的软件。“天问”软件供应链安全监测平台通过对历史数据进行测绘,通过对历史数据进行测绘,发现大量的桌面软件、安卓应用、设备固件广泛使用了libwebp的组件,均为该满分漏洞的潜在受害者。