每日安全动态推送(3-25)

Tencent Security Xuanwu Lab Daily News

• DOM Purify - untrusted Node bypass:

   ・ 介绍了DOMPurify库在处理HTML和XML节点时存在的潜在漏洞，探讨了触发意外行为的新方法 – 

• MIT researchers uncover ‘unpatchable’ flaw in Apple M1 chips | TechCrunch:

   ・ 苹果M1芯片存在无法修补的硬件漏洞，研究人员发现了一种名为'Pacman'的新型硬件攻击，可以绕过指针身份验证代码（PAC）的安全特性 – 

• RCE — Web Application Vulnerability: Jinja Template Injection:

   ・ 介绍了 Jinja 模板注入漏洞在 Web 应用程序中的利用方法 – 

• Privileged Accounts and Token Privileges:

   ・ 重点讨论了令牌权限和特权账户在安全评估和攻击向量中的应用，特别提到了SeLoadDriverPrivilege的潜在危险 – 

• Dangling Pointer Detector:

   ・ Chrome实现了悬空指针检测器 – 

• BobTheSmuggler: Leverages HTML Smuggling Attack:

   ・ 一种新的攻击技术HTML Smuggling Attack以及一个利用该技术的工具Bob the Smuggler。该工具可以将文件嵌入到HTML、PNG、GIF和SVG文件中，用于隐蔽数据。 – 

• DNS-Tunnel-Keylogger - Keylogging Server And Client That Uses DNS Tunneling/Exfiltration To Transmit Keystrokes:

   ・ 介绍了一种后渗透键盘记录器和使用DNS隧道传输键盘记录的客户端。介绍了使用DNS隧道进行数据外传的新方法和工具。 – 

• www.bleepingcomputer.com:

   ・ 披露了Saflok电子门锁中的新漏洞Unsaflok，允许黑客通过伪造钥匙卡轻易打开全球范围内13,000家酒店和住宅中部署的300万把门。 – 

• Your First Dive intothe IoT Research | Vitaly Kamluk:

   ・ 涉及物联网研究和网络安全技术的交叉领域，可能包括物联网研究的方法 – 

• Introduction to CodeQL: Examples, Tools and CI Integration:

   ・ 介绍了CodeQL，这是一种语义代码分析引擎，用于发现代码中的安全漏洞。 – 

• Fake-SMS: How Deep Does the Rabbit Hole Really Go?:

   ・ 通过对混淆恶意软件代码的跟踪和分析，介绍了Fake-SMS项目，并讨论了代码混淆技术的方法 – 

* 查看或搜索历史推送内容请访问：

* 新浪微博账号：腾讯玄武实验室