Tencent Security Xuanwu Lab Daily News
• GitHub – quarkslab/pyrrha: A tool for firmware cartography:
https://github.com/quarkslab/pyrrha
・ Pyratha 是一款专注于可视化的文件系统制图和关联软件。它目前专注于可执行文件之间的关系,但旨在使任何人能够映射和可视化任何类型的关系。
– SecTodayBot
• VMSA-2023-0014:
https://www.vmware.com/security/advisories/VMSA-2023-0014.html
・ VMware vCenter Server 多个内存破坏漏洞
– SecTodayBot
• Future Exploitation Vector File Extensions as Top Level Domains:
https://www.trendmicro.com/en_us/research/23/e/future-exploitation-vector-file-extensions-as-top-level-domains.html
・ 2023 年 5 月,Google 推出了 8 个新的顶级域名,其中包括 .zip 和 .mov。在本博客文章中,我们将研究与文件扩展名相关的顶级域名 (TLD) 相关的安全风险
– SecTodayBot
• Frida 16.1.0 Released:
https://frida.re/news/2023/06/23/frida-16-1-0-released/
・ Frida 16.1.0 发布,支持检测操作系统内核以及准系统,包括微控制器,例如基于 STM32F030C6T6 ARM Cortex M0 的 MCU
– SecTodayBot
• StackRot (CVE-2023-3269): Linux kernel privilege escalation vulnerability:
https://seclists.org/oss-sec/2023/q3/4
・ StackRot (CVE-2023-3269):Linux 内核权限提升漏洞:RCU 释放后使用 (UAFBR) 漏洞
– SecTodayBot
• Version 5.0:
https://www.capstone-engine.org/Version-5.0
・ Capstone 反汇编框架 5.0 发布,修复了大量 bug,并添加了一些新架构。
– SecTodayBot
• Testing GraphQL APIs:
https://portswigger.net/web-security/graphql
・ GraphQL API 可能被攻击者滥用来获取数据或执行未经授权的操作,如果用户能够通过操纵查询或执行 CSRF 漏洞来获取管理员权限,则可能导致信息泄露问题
– SecTodayBot
• GitHub – guedou/scapy-handson: Scapy hands-on:
https://github.com/guedou/scapy-handson
・ 一个包含了网络工具scapy很多典型使用案例的仓库
– Atum
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(7-7)
