Tencent Security Xuanwu Lab Daily News
• CVE-2023-38600: Story of an innocent Apple Safari copyWithin gone (way) outside:
https://www.thezdi.com/blog/2023/10/17/cve-2023-38600-story-of-an-innocent-apple-safari-copywithin-gone-way-outside
・ CVE-2023-38600:一个关于苹果Safari的有趣整数下溢漏洞,已在最新版本中修复。
– SecTodayBot
• Re: CVE-2023-44487: HTTP/2 Rapid Reset attack against many implementations:
https://seclists.org/oss-sec/2023/q4/144
・ CVE-2023-44487:HTTP/2快速重置攻击影响多个实现,包括Apache httpd、haproxy、kubernetes等
– SecTodayBot
• CVE-2023-46227: Apache inlong has an Arbitrary File Read Vulnerability:
https://seclists.org/oss-sec/2023/q4/147
・ Apache InLong存在任意文件读取漏洞(CVE-2023-46227),影响版本1.4.0至1.8.0,攻击者可利用t绕过
– SecTodayBot
• Sorry, you have been blocked:
https://packetstormsecurity.com/news/view/35124
・ 中国物联网和视频监控产品制造商Milesight的一些工业路由器存在漏洞,可能已被攻击利用,根据漏洞和漏洞情报公司VulnCheck的说法。这些受影响的UR系列工业蜂窝路由器(Ursalink)受到CVE-2023-43261的严重漏洞的影响,该漏洞暴露了系统日志文件,如’httpd.log’。这些日志中包含管理员和其他用户的密码,远程未经身份验证的攻击者可以利用这些密码来未经授权地访问目标设备。这些密码并不是以明文形式存储在日志文件中。
– SecTodayBot
• Hacking into gRPC-Web:
https://infosecwriteups.com/hacking-into-grpc-web-a54053757a45
・ 了解如何入侵gRPC-Web,操纵gRPC Web负载并发现隐藏服务,作者分享了他在渗透测试gRPC-Web过程中遇到的问题以及开发的工具和Burp Suite扩展,还发现了一个旅行社公司的隐藏SQLi漏洞,并提交了报告。
– SecTodayBot
• How to store passwords securely 👩💻 🔑 #kaspersky #password #passwordsecurity:
https://youtu.be/9MHTrUo6M3k?si=S8K9ZdbCDl8qEAxa
・ 如何安全地存储密码?这个视频教你如何保护个人密码的安全性,让你远离网络攻击风险!
– SecTodayBot
• Google 浏览器扩展程序漏洞分析:
https://paper.seebug.org/3054/
・ Google 浏览器扩展程序漏洞分析
– lanying37
• Re: with firefox on X11, any page can pastejack you anytime:
https://seclists.org/oss-sec/2023/q4/146
・ 火狐浏览器存在安全漏洞,允许任意网页在X11环境下进行粘贴劫持
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(10-20)
