• 数十个安全漏洞曝光:开源AI与机器学习模型面临远程代码执行风险
Researchers Uncover Vulnerabilities in Open-Source AI and ML Models
本文揭示了在多个开源人工智能和机器学习模型中发现的严重安全漏洞,其中一些可能导致远程代码执行和信息窃取。特别是针对Lunary工具的两个高危漏洞(CVE-2024-7474与CVE-2024-7475),以及ChuanhuChatGPT中的路径遍历缺陷(CVE-2024-5982)尤为突出,这些漏洞的存在对用户数据的安全构成了重大威胁。
• Linux内核TCP合成接收套接字关闭时的除零错误:CVE-2024-36905分析
CVE-2024-36905: Linux kernel: Divide-by-zero on shutdown of TCP_SYN_RECV sockets
本文揭示了Linux内核中TCP_SYN_RECV套接字在关闭时的除以零漏洞(CVE-2024-36905),探讨了其攻击向量是网络还是本地,为理解此特定安全问题提供了深入分析。
• 利用十六进制编码欺骗ChatGPT生成恶意代码:揭示大型语言模型安全漏洞
Hexadecimal Encoding Attack Unmasks ChatGPT's Security Flaws
研究显示,通过采用十六进制编码方式输入恶意指令,可令先进的自然语言处理模型如ChatGPT忽略其内建的安全限制,从而生成针对特定软件漏洞的有效攻击代码。这一策略巧妙地利用了模型对于单个编码指令的理解不足之处,凸显了现有AI系统的安全性问题。
• CyberPanel 控制面板远程命令执行漏洞综合分析
Comprehensive Analysis of Remote Command Execution Vulnerabilities in CyberPanel Control Panel
本报告汇总了一系列关于CyberPanel控制面板中多个远程命令执行(RCE)漏洞的研究成果,这些漏洞存在于不同版本之间,涉及无需身份验证即能触发的场景。其中最显著的是CVE编号为QVD-2024-44346的关键漏洞,它允许攻击者通过upgrademysqlstatus接口执行任意命令,进而取得服务器完全控制权。报告详述了漏洞的发现历程、技术细节、复现实验、应急响应策略以及必要的安全强化措施。
• 零时科技 || Ramses 攻击事件分析
Technical Analysis of Attack on Ramses Exchange on Arbitrum: Lessons Learned
本文深入剖析了一起发生在Arbitrum链上的安全事件,详细展示了攻击者如何巧妙地利用Ramses Exchange平台中的技术漏洞进行攻击并获利近7万美元的过程。文章亮点在于其详尽的技术细节描述以及对于智能合约安全性的重要警示。
• VMware vCenter Server 堆溢出漏洞 CVE-2024-38812 导致远程代码执行
Critical RCE Due to Heap Overflow in VMware vCenter Server - CVE-2024-38812
最近在VMware vCenter Server中发现了一个严重的堆溢出漏洞(CVE-2024-38812)。这个漏洞源自于DCERPC协议的不恰当内存管理,使得远程攻击者能够通过特别构建的网络数据包来触发堆栈溢出,从而实现在未授权情况下执行任意代码的能力。由于此漏洞的极高危险性和潜在的大规模破坏力,它引起了业界广泛关注。虽然VMware已经发布了初步的补丁尝试修复这个问题,但后续报告指出初次修复并不完整,需要进一步的更新才能确保安全。
• Rust的安全幻影:语言层面的约束及其局限性
Rust's Security Perimeter: Compile-time Constraints vs Practical Challenges
这篇文章深刻剖析了Rust语言在安全方面的误解及局限性,揭示了即使是最先进的编程语言也无法完全消除因人类认知误差带来的安全隐患。
* 查看或搜索历史推送内容请访问:
https://sectoday.tencent.com/
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab
* 微信公众号:腾讯玄武实验室