专栏名称: 天融信阿尔法实验室
天融信阿尔法实验室将不定期推出技术研究新方向成果,专注安全攻防最前沿技术
目录
相关文章推荐
疯狂区块链  ·  一家公司不需要那么多人 ·  21 小时前  
白话区块链  ·  熊市阴云笼罩,加密牛市泡沫真的破灭了吗? ·  22 小时前  
疯狂区块链  ·  给普通人的资产配置建议 ·  昨天  
疯狂区块链  ·  人就应该被机器替代 ·  2 天前  
51好读  ›  专栏  ›  天融信阿尔法实验室

每日攻防资讯简报[Dec.2nd]

天融信阿尔法实验室  · 公众号  ·  · 2022-12-02 20:00

正文

0x00漏洞

1、 VSCode RCE 漏洞, 攻击者可以通过链接或网站接管 VSCode 用户的计算机以及他们通过 VSCode 远程开发功能连接到的任何计算机

https://github.com/google/security-research/security/advisories/GHSA-pw56-c55x-cm9m

2、华为安全管理程序漏洞
https://blog.impalabs.com/2212_advisory_huawei-security-hypervisor.html

3、IBM Cloud Databases for PostgreSQL 中的供应链漏洞可能导致未经授权的数据库访问
https://www.wiz.io/blog/hells-keychain-supply-chain-attack-in-ibm-cloud-databases-for-postgresql

4、FreeBSD ping 中的远程代码执行漏洞 (CVE-2022-23093)
https://www.freebsd.org/security/advisories/FreeBSD-SA-22:15.ping.asc

5、从 SQL 注入到英特尔 DCM 上的 RCE (CVE-2022-21225)
https://www.rcesecurity.com/2022/12/from-zero-to-hero-part-2-intel-dcm-sql-injection-to-rce-cve-2022-21225/

6、流行的 Quarkus Java 框架中的零日漏洞
https://www.contrastsecurity.com/security-influencers/localhost-attack-against-quarkus-developers-contrast-security


0x01工具

1、 DomainDouche: 滥用 SecurityTrails 域建议 API 通过关键字和暴力查找可能相关的域

https://github.com/n0kovo/DomainDouche

0x02恶意代码

1、 一种名为 "DuckLogs" 的新恶意软件即服务 (MaaS), 使低技能攻击者可以轻松访问多个模块以窃取信息、记录击键、访问剪贴板数据以及远程访问受感染主机

https://blog.cyble.com/2022/12/01/ducklogs-new-malware-strain-spotted-in-the-wild/


0x03技术

1、







请到「今天看啥」查看全文


推荐文章
疯狂区块链  ·  一家公司不需要那么多人
21 小时前
疯狂区块链  ·  给普通人的资产配置建议
昨天
疯狂区块链  ·  人就应该被机器替代
2 天前
经典人生感悟  ·  走到哪里,都带上自己的阳光!
8 年前
考研英语时事阅读  ·  【K宝学堂之词汇整理】长难句解析&K之论
7 年前
格上财富  ·  比情商更重要的是抗挫商
7 年前