每日安全动态推送(06-14)

网友投稿 2019-06-13 10:29
Tencent Security Xuanwu Lab Daily News

• [Vulnerability] Advisory X41-2019-001: Heap-based buffer overflow in Thunderbird: 
https://www.x41-dsec.de/lab/advisories/x41-2019-001-thunderbird/

   ・ Thunderbird 邮件客户端被发现堆溢出漏洞,特殊构造的日历附件可以触发 – Jett

• [Web, Browser] Evernote Critical Flaw Opened Personal Data of Millions to Attack: 
https://threatpost.com/evernote-critical-flaw-opened-personal-data-of-millions-to-attack/145666/

   ・ Evernote Web Clipper 网页截图扩展存在漏洞,攻击者可以利用该漏洞窃取第三方网站的用户隐私数据 – Jett

• Vim/Neovim 基于 modeline 的多个任意代码执行漏洞分析(CVE-2002-1377、CVE-2016-1248、CVE-2019-12735): 
https://paper.seebug.org/952/

   ・ 最近爆出的 Vim/Neovim modeline 模式代码执行漏洞的分析 – Jett

• [Virtualization] Kira-cxy/qemu-vm-escape: 
https://github.com/Kira-cxy/qemu-vm-escape

   ・ 科恩实验室 Kira-cxy 在 TenSec 2019 会议关于虚拟化以及 QEMU slirp:tcp_emu 堆溢出虚拟机逃逸漏洞(CVE-2019-6778)的分析 – Jett

• Hack Remote RF Security Locks With Arduino: 
https://www.instructables.com/id/Hack-Remote-RF-Security-Locks-With-Arduino-and-Usb/

   ・ 作者使用Arduino配合433MHz频段的无线发射器成功重发了一台汽车采用的固定码解锁信号 –LuYa

• Exploiting ViewState Deserialization using Blacklist3r and YSoSerial.Net: 
https://www.notsosecure.com/exploiting-viewstate-deserialization-using-blacklist3r-and-ysoserial-net/

   ・ 利用 Blacklist3r 和 YSoSerial.Net 攻击 ASP.NET ViewState 序列化 – Jett

• [iOS] Notes from iOS 13/MacOS 15: 
Http://newosxbook.com/articles/13-10.15.html

   ・ Jonathan Levin 对于 iOS13/MacOS15 系统最新变化的简单笔记 – R3dF09

• [Tools] nccgroup/BKScan: 
https://github.com/nccgroup/BKScan

   ・ BKScan - 支持对开启密码验证(NLA)的 RDP 机器扫描 CVE-2019-0708 漏洞 – Jett

• [Conference] Bluehat 上海 2019 安全大会议题 PPT 公布: 
https://paper.seebug.org/950/

   ・ 上个月底上海举办的微软 BlueHat 会议的 PPT 公开了 – Jett

• [Tools] security advisory ysa-2019-02: 
https://www.yubico.com/support/security-advisories/ysa-2019-02/

   ・ Yubico公司出的YubiKey token设备,其FIPS系列固件中初始随机数的随机性较差,存在安全隐患 –LuYa

• [Android] Short Text, Large Effect: Measuring the Impact of User Reviews on Android App Security & Privacy: 
https://www.securitygossip.com/blog/2019/06/13/short-text-large-effect-measuring-the-impact-of-user-reviews-on-android-app-security-and-privacy/

   ・ 上海交大 GoSSIP 小组对《Short Text, Large Effect: Measuring the Impact of User Reviews on Android App Security & Privacy》Paper 的解读 – Jett

* 查看或搜索历史推送内容请访问: 
https://sec.today

* 新浪微博账号: 腾讯玄武实验室 
https://weibo.com/xuanwulab

--end--

声明:本文章由网友投稿作为教育分享用途,如有侵权原作者可通过邮件及时和我们联系删除:freemanzk@qq.com