每日攻防资讯简报[Dec.2nd]

天融信阿尔法实验室 · 公众号 · · 2022-12-02 20:00

正文

0x00漏洞

1、 VSCode RCE 漏洞, 攻击者可以通过链接或网站接管 VSCode 用户的计算机以及他们通过 VSCode 远程开发功能连接到的任何计算机

https://github.com/google/security-research/security/advisories/GHSA-pw56-c55x-cm9m

2、华为安全管理程序漏洞

https://blog.impalabs.com/2212_advisory_huawei-security-hypervisor.html

3、IBM Cloud Databases for PostgreSQL 中的供应链漏洞可能导致未经授权的数据库访问

https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql

4、FreeBSD ping 中的远程代码执行漏洞 (CVE-2022-23093)

https://www.freebsd.org/security/advisories/FreeBSD-SA-22:15.ping.asc

5、从 SQL 注入到英特尔 DCM 上的 RCE (CVE-2022-21225)

https://www.rcesecurity.com/2022/12/from-zero-to-hero-part-2-intel-dcm-sql-injection-to-rce-cve-2022-21225/

6、流行的 Quarkus Java 框架中的零日漏洞

https://www.contrastsecurity.com/security-influencers/localhost-attack-against-quarkus-developers-contrast-security

0x01工具

1、 DomainDouche: 滥用 SecurityTrails 域建议 API 通过关键字和暴力查找可能相关的域

https://github.com/n0kovo/DomainDouche

0x02恶意代码

1、 一种名为 "DuckLogs" 的新恶意软件即服务 (MaaS), 使低技能攻击者可以轻松访问多个模块以窃取信息、记录击键、访问剪贴板数据以及远程访问受感染主机

https://blog.cyble.com/2022/12/01/ducklogs-new-malware-strain-spotted-in-the-wild/

0x03技术

1、

推荐文章

疯狂区块链 · 一家公司不需要那么多人

21 小时前

白话区块链 · 熊市阴云笼罩，加密牛市泡沫真的破灭了吗？

22 小时前

疯狂区块链 · 给普通人的资产配置建议

昨天

疯狂区块链 · 人就应该被机器替代

2 天前

经典人生感悟 · 走到哪里，都带上自己的阳光！

8 年前

考研英语时事阅读 · 【K宝学堂之词汇整理】长难句解析&K之论

7 年前

格上财富 · 比情商更重要的是抗挫商

7 年前

一本财经 · 冲破3万大关的比特币，已到了疯狂尽头？

7 年前

姜茶茶 · 我发现乙方养了只狗，用的是我的名字……

7 年前