每日安全动态推送(6-15)

Tencent Security Xuanwu Lab Daily News

• CVE-2023-2008:
https://github.com/bluefrostsecurity/CVE-2023-2008

   ・ Linux udmabuf 内核漏洞 PoC，攻击者需位于 kvm 用户组中 – SecTodayBot

• Experts Unveil Exploit for Recent Windows Vulnerability Under Active Exploitation:
https://thehackernews.com/2023/06/experts-unveil-poc-exploit-for-recent.html

   ・ Microsoft Windows Server 2016 Win32k 组件中的提权漏洞 – SecTodayBot

• Exploiting CVE-2022-24816: A code injection in the jt-jiffle extension of GeoServer:
https://www.synacktiv.com/publications/exploiting-cve-2022-24816-a-code-injection-in-the-jt-jiffle-extension-of-geoserver

   ・ GeoServer 的 jt-jiffle 扩展中的代码注入 – SecTodayBot

• Jasper Reports Library Code Injection:
https://insinuator.net/2023/06/jasper-reports-library-code-injection/

   ・ Jasper Reports Java 库包含代码注入漏洞 – SecTodayBot

• Hackers can steal cryptographic keys by video-recording power LEDs 60 feet away:
https://packetstormsecurity.com/news/view/34719

   ・ 通过使用 iPhone 或商业监控系统中的摄像头来恢复存储在智能卡和智能手机中的加密密钥，以视频记录显示读卡器或智能手机何时打开的电源 LED。通过仔细监控功耗、声音、电磁辐射或操作发生所需时间等特性，攻击者可以收集足够的信息来恢复支持加密算法安全性和机密性的密钥 – SecTodayBot

• GitHub – redpwn/jail: An nsjail Docker image for CTF pwnables. Easily create secure, isolated inetd-style services.:
https://github.com/redpwn/jail

   ・ redpwn/jail 是一个基于 nsjail 的 Docker 镜像，可以非常容易地部署 CTF Pwnables 和其他类型的服务，用于 CTF 比赛 – SecTodayBot

• Pentesting Xamarin Android apps: DLLs and root check bypass:
https://security.humanativaspa.it/pentesting-xamarin-android-apps-dlls-and-root-check-bypass/

   ・ 如何检测和绕过应用程序 DLL 中的一些基本安全检查，例如根检查，以便能够基于 Android 平台开始测试用 Xamarin 编写的 Android 移动应用程序 – SecTodayBot

• 「?」 About Mantra:
https://github.com/MrEmpy/Mantra

   ・ 一种在 JavaScript 文件和 HTML 文件中搜索 API 密钥以查找与 API 密钥相同或相似的字符串的工具，可用于验证使用外部 API 的应用程序和网站是否充分保护了其密钥 – SecTodayBot

• deepsecrets: a better tool for secret scanning:
https://securityonline.info/deepsecrets-a-better-tool-for-secret-scanning/

   ・ 一种用于在文件的 pythonic 表示中查找机密数据的工具，基于文件的语言，可以通过词法分析和解析找到机密数据。代码理解支持 500 多种语言和格式，并实现了一种寻找机密数据的新方法：只需使用已知的哈希值，就可以在代码中找到它们 – SecTodayBot

* 查看或搜索历史推送内容请访问：
https://sec.today

* 新浪微博账号：腾讯玄武实验室
https://weibo.com/xuanwulab

原文始发于微信公众号（腾讯玄武实验室）：每日安全动态推送(6-15)