• GameOverlay Vulnerability Impacts 40% of Ubuntu Workloads | Wiz Blog:
https://www.wiz.io/blog/ubuntu-overlayfs-vulnerability
・ Ubuntu的OverlayFS模块发现了CVE-2023-2640和CVE-2023-32629两个漏洞,这是一种广泛使用的Linux文件系统,在容器的兴起中变得非常流行,因为它的特性可以基于预构建镜像部署动态文件系统。然而,OverlayFS作为一个有着多个逻辑漏洞历史的攻击面,使得新发现的漏洞尤其危险,因为过去的OverlayFS漏洞的利用工具可以直接使用。
– SecTodayBot
• GitHub - kljunowsky/CVE-2023-36845: Juniper Firewalls CVE-2023-36845 - RCE:
https://github.com/kljunowsky/CVE-2023-36845
・ CVE-2023-36845是一种影响Juniper SRX防火墙和EX交换机的PHP环境变量操纵漏洞,可用于远程、未经身份验证的代码执行。
– SecTodayBot
• Submitting URLs as QR Codes:
https://hatching.io/blog/qr-codes/
・ 最新的网络钓鱼攻击趋势显示,黑客们开始使用二维码作为诱饵,而不再依赖嵌入链接。为了方便分析这些URL,我们在Triage沙盒中新增了对二维码的支持,用户可以轻松提交并验证这些钓鱼尝试
– SecTodayBot
• Zephyr RTOS 3.x.0 Buffer Overflows ≈ Packet Storm:
https://packetstormsecurity.com/files/175657
・ Zephyr RTOS版本3.5.0及以下存在多个缓冲区溢出漏洞
– SecTodayBot
• Aqua-Nautilus/CVE-Half-Day-Watcher:
https://github.com/Aqua-Nautilus/CVE-Half-Day-Watcher
・ CVE Half-Day Watcher是一款安全工具,旨在突出公共领域中常见漏洞和曝光(CVE)的早期风险。它利用国家漏洞数据库(NVD)API,在官方补丁发布之前识别带有GitHub参考的最新发布的CVE。通过这样做,CVE Half-Day Watcher旨在强调攻击者“收集”此信息并开发利用的机会窗口。这个工具是一个概念验证,可以进一步构建和扩展
– SecTodayBot
• Hacking the Canon imageCLASS MF742Cdw/MF743Cdw (again):
https://haxx.in/posts/hacking-canon-imageclass/
・ 0day exploit for Canon imageCLASS MF742Cdw/MF743Cdw and potentially more affected CANON printers, with a stack-based overflow vulnerability triggered by supplying an overly long Identifier in SOAP XML requests over HTTP POST.
– SecTodayBot
• Denial of Pleasure: Attacking Unusual BLE Targets with a Flipper Zero:
https://www.whid.ninja/blog/denial-of-pleasure-attacking-unusual-ble-targets-with-a-flipper-zero
・ 利用Flipper Zero攻击非常规BLE目标,本文将介绍如何使用广播方式攻击不同的iOS配对设备,并开发Flipper Zero应用程序来激活或完全禁止范围内成人玩具的使用
– SecTodayBot
• mtk-jpeg Driver Out-Of-Bounds Read / Write ≈ Packet Storm:
https://packetstormsecurity.com/files/175665
・ mtk-jpeg驱动缺少边界检查,导致越界读写可能引发内存损坏和权限提升风险。
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab