每日安全动态推送(4-21)

Tencent Security Xuanwu Lab Daily News

• Private vulnerability reporting now generally available:

   ・ GitHub 的私有漏洞报告功能现已在 18 万个存储库上可用，生成了来自研究人员、研究人员和维护人员的 1,000 多份提交。JSON5 每周下载量超过 6000 万，并已被 Chromium、Next.js、Babel、Retool、WebStorm 等主要项目采用  – 

• [Tools] Frida 16.0.12 Released:

   ・ Frida 现在支持注入 Linux 容器，例如 Flatpak 应用程序。不仅如此，它最终可以在没有动态链接器的情况下将代码注入进程。新的 Linux 注入器具有完全异步的设计，没有任何可能导致死锁的危险阻塞操作。它也是第一个支持为注入的 payloa 提供控制通道的注入器  – 

• ChatGPT's Cybersecurity Threats and How to Mitigate Them:

   ・ ChatGPT 带来了严重的网络安全威胁，必须解决这些威胁才能保护消费者及其数据。在本文中，我们将介绍 ChatGPt 最普遍的五个网络安全问题以及 mit 的一些顶级安全提示  – 

• [Tools] GitHub - arch3rPro/Pentest-Windows: Windows11 Penetration Suite Toolkit:

   ・ 渗透测试人员快速搭建环境的工具 – 

• [macOS] Vulnerabilities in WebKit and IOSurfaceAccelerator:

   ・ iOS 和 macOS 中的 WebKit 和 IOSurfaceAccelerator（CVE-2023-28205 和 CVE-2022-28206）漏洞，允许攻击者绕过沙箱并对受影响的设备执行几乎任何操作  – 

• [Windows] Micropatches for Local Privilege Escalation in Microsoft Installer (CVE-2023-21880):

   ・ Windows 更新修复了 CVE-2023-21800，这是 Windows Installer 中的一个漏洞，允许本地低权限攻击者以本地系统身份运行代码。该漏洞由 Adrian Denkiewicz 与 Doyense 报告给 Microsoft  – 

• 【高级威胁追踪(APT)】Patchwork组织更新技术卷土重来，针对境内教育科研单位再次发起攻击行动:

   ・ 【高级威胁追踪(APT)】Patchwork组织更新技术卷土重来，针对境内教育科研单位再次发起攻击行动 – 

• Critical Flaw in Hikvision Video Storage Let Attacker Gain Admin Rights:

   ・ CVE-2023-28808：Hikvision 的混合 SAN/集群存储中的访问控制漏洞，允许威胁行为者获得管理员权限以将特制消息发送到受影响的设备  – 

• [Vulnerability] Weblogic CVE-2023-21931 vulnerability exploration technique: post-deserialization exploitation:

   ・ Weblogic后反序列化漏洞（CVE-2023-21931、CVE-20233-21839），已被Oracle官方确认 – 

• OpenSSH Pre-Auth Double Free CVE-2023-25136 POC:

   ・ OpenSSH Pre-Auth Double Free CVE-2023-25136 POC  – 

• Critical Flaws in vm2 JavaScript Library Can Lead to Remote Code Execution:

   ・ vm2 沙箱逃逸漏洞（CVE-2023-29017，CVSS 评分：9.8），可导致在底层系统上执行任意代码，从而导致远程代码执行  – 

* 查看或搜索历史推送内容请访问：

* 新浪微博账号：腾讯玄武实验室