Tencent Security Xuanwu Lab Daily News
• Genzai: The IoT security toolkit:
https://securityonline.info/genzai-the-iot-security-toolkit/
・ Genzai是一款用于识别IoT设备并扫描默认密码问题和潜在漏洞的安全工具
– SecTodayBot
• Bypassing anti-reversing defences in iOS applications – Twelvesec:
https://twelvesec.com/2023/10/10/bypassing-anti-reversing-defences-in-ios-applications/
・ 介绍了绕过iOS应用程序中的反调试和反逆向防御技术
– SecTodayBot
• Table of Contents:
https://github.com/osintmatter/shortemall
・ Short’Em All是一个用于URL扫描和安全风险评估的新工具,它自动化了URL扫描的过程,提供了多种功能和定制选项,可以帮助用户聚焦于结果分析
– SecTodayBot
• Many-shot jailbreaking:
https://www.anthropic.com/research/many-shot-jailbreaking
・ 该文章重点介绍了一种新的针对大型语言模型(LLMs)的漏洞利用技术,即“many-shot jailbreaking”。这一技术利用了语境窗口的特性,通过在单个提示中包含大量文本来迫使LLMs产生潜在有害的回应。文章披露了这一新漏洞,并详细分析了其根本原因,并呼吁加强对潜在LLM越狱的防范工作。
– SecTodayBot
• JumpServer 远程代码执行 CVE-2024-29201&&CVE-2024-29202 漏洞分析 – 先知社区:
https://xz.aliyun.com/t/14238?time__1311=mqmx9QiQi%3DD%3Ddx05DI74CT%2BnUfO47I5x
・ 通过对JumpServer漏洞CVE-2024-29201的分析,详细阐述了漏洞成因、利用方法及补丁更新情况,展现了对漏洞利用的深入研究和分析。
– SecTodayBot
• oss-security – PoC for fdroidserver AllowedAPKSigningKeys certificate pinning bypass:
https://www.openwall.com/lists/oss-security/2024/04/08/8
・ 披露了关于fdroidserver的新漏洞,详细分析了漏洞的根本原因,并提供了用于利用该漏洞的PoC
– SecTodayBot
• AnyDesk 7.0.15 Unquoted Service Path:
https://packetstormsecurity.com/files/177977
・ AnyDesk版本7.0.15存在未加引号的服务路径漏洞,可能允许未授权的非特权本地用户以提升的权限在系统上执行任意代码。
– SecTodayBot
• OpenSSL Security Advisory:
https://seclists.org/oss-sec/2024/q2/44
・ OpenSSL发布了一个安全咨询,披露了TLSv1.3中的一个新漏洞(CVE-2024-2511),可能导致无限内存增长,造成拒绝服务攻击。
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
原文始发于微信公众号(腾讯玄武实验室):每日安全动态推送(4-9)