Tencent Security Xuanwu Lab Daily News
• Invesalius 3.1 Arbitrary File Write / Directory Traversal:
https://packetstormsecurity.com/files/181738
・ 本文档提供了针对Invesalius版本3.1中任意文件写入漏洞的Python3概念验证代码,利用目录遍历来创建恶意payload。这是首个公开报道和演示该特定漏洞的技术细节的文章。
– SecTodayBot
• OSS Rebuild:
https://github.com/google/oss-rebuild?tab=readme-ov-file
・ 本文介绍了如何通过生成、验证和增强构建证明来保障开源软件包生态系统的安全,采用低成本高规模的可重复构建概念。该方法针对NPM(JS/TS)、PyPI(Python)及Crates.io(Rust)等生态系统中的热门软件包进行分析与重建,并发布上游工件的构建证明以确保其完整性。
– SecTodayBot
• Linux i915 PTE Use-After-Free:
https://packetstormsecurity.com/files/181725
・ 本文揭示了Linux i915驱动程序中的一个关键安全漏洞,即在vm_fault_gtt函数中存在越界写入问题导致的使用后释放(use-after-free)漏洞。此发现对于维护和提升GPU内存管理的安全性具有重大意义。
– SecTodayBot
• Minderbinder:
https://github.com/scottgerring/minderbinder
・ 本文介绍了一款名为'Minderbinder'的创新工具,它利用eBPF技术在运行中的进程注入故障。该工具有助于测试应用程序和服务面对系统调用和网络流量失败时的弹性能力,为混沌工程提供了一个新的视角。
– SecTodayBot
• FLIR-AX8热成像仪多个漏洞复现+代码分析:
https://sectoday.tencent.com/api/article/A9-tIZIBsusscDXmULtG/link
・ 这篇文章详细剖析了针对FLIR-AX8热成像仪的多个关键性安全漏洞,包括RCE分析及命令执行漏洞,并深入探讨了其背后的实现机制和技术细节,对于提高工业监控系统的安全性具有重要指导意义。
– SecTodayBot
* 查看或搜索历史推送内容请访问:
https://sec.today
* 新浪微博账号:腾讯玄武实验室
https://weibo.com/xuanwulab