Tencent Security Xuanwu Lab Daily News
• glibc qsort() Out-Of-Bounds Read / Write:
https://packetstormsecurity.com/files/176931
・ glibc qsort() Out-Of-Bounds Read / Write
– SecTodayBot
・ CORS playground工具,有助于理解和测试CORS行为。
– SecTodayBot
• LARGE LANGUAGE MODELS IMPACT SECURITY:
https://www.devopsdigest.com/2024-devsecops-security-predictions-3
・ 2024年,大型语言模型的广泛应用将对开发者安全和网络安全产生重大影响。文章讨论了AI对API安全的影响、开源产品安全团队的兴起以及容器保护等多个网络安全预测和发展情况。
– SecTodayBot
• Defending against the Attack of the Clone[d website]s!:
https://blog.thinkst.com/2024/01/defending-against-the-attack-of-the-cloned-websites.html
・ 介绍了一种新的基于CSS的令牌用于检测Adversary-in-the-Middle (AitM)钓鱼攻击,弥补了现有Javascript令牌的局限性。新令牌可以部署在具有有限管理访问权限的属性上,如Azure租户登录门户或托管博客。这种新技术为检测钓鱼攻击提供了更灵活和高效的解决方案。
– SecTodayBot
• www.bleepingcomputer.com:
https://www.bleepingcomputer.com/news/security/exploit-released-for-android-local-elevation-flaw-impacting-7-oems/
・ Android多个OEM存在本地权限提升漏洞CVE-2023-45779,由于不安全的APEX模块签名导致,研究人员在GitHub发布了相关PoC exploit。
– SecTodayBot
• Behind the Scenes: Constructing the 2024 Pwn2Own Automotive Stage:
https://www.youtube.com/watch?v=u3RW9il9F2s&feature=youtu.be
・ 介绍了2024年Pwn2Own汽车阶段的构建过程,涉及汽车系统的漏洞披露、根本原因分析、利用漏洞的exploit或POC,讨论了与汽车系统相关的新的fuzz测试方法或工具,以及与汽车系统相关的核心安全技术
– SecTodayBot
• URGENT: Upgrade GitLab – Critical Workspace Creation Flaw Allows File Overwrite:
https://thehackernews.com/2024/01/urgent-upgrade-gitlab-critical.html
・ GitLab再次发布修复版本以解决其社区版(CE)和企业版(EE)中的一个重要安全漏洞,该漏洞可能被利用来在创建工作空间时写入任意文件
– SecTodayBot
• Re: runc: CVE-2024-21626: high severity container breakout attack:
https://seclists.org/oss-sec/2024/q1/80
・ runc容器运行时存在高危漏洞CVE-2024-21626,文章详细介绍了漏洞的根本原因,并提供了解决该漏洞的补丁。该漏洞由文件描述符泄露引起,可能导致完全容器突破。建议用户尽快对其安装进行修补。
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(2-2)
