【知识】3月14日 - 每日安全知识热点

http://p6.qhimg.com/t017313015b51e6034e.png

热点概要:Airbnb案例:Ruby on Rails YAML格式化字符串时导致的远程代码执行Github Enterprise版本的SAML服务的两个身份认证的漏洞JSON Web加密(RFC 7516)中的严重漏洞,发送方或可提取接收方的私钥 在任天堂Switch and 苹果iOS 9.3利用webkit漏洞CVE-2016-4657VirtualBox:协作客户可以从共享文件夹中逃逸到主机目录、探索基于Windows 10的Windows内核Shellcode(Part 3)、在Linux上使用AFL对Stagefright进行模糊测试、wordpress4.7.3修复的存储型XSS分析

国内热词(以下内容部分摘自http://www.solidot.org/):


中国考虑解锁谷歌学术搜索

英特尔以 153 亿美元收购自主驾驶技术公司 Mobileye

资讯类:


维基解密后,英特尔发布安全版本检测工具CHIPSEC用于检测CIA EFI rootkit

http://securityaffairs.co/wordpress/57085/hacking/chipsec-cia-efi-rootkits.html

加州流行音乐节Coachella账户在暗网上被售卖

https://darknetmarkets.co/coachella-message-boards-hacked-and-sold-on-darknet-market/

受s2_045漏洞影响的思科设备公告

https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170310-struts2

技术类:


Airbnb案例:Ruby on Rails YAML格式化字符串时导致的远程代码执行

http://buer.haus/2017/03/13/airbnb-ruby-on-rails-string-interpolation-led-to-remote-code-execution/

Github Enterprise版本的SAML服务的两个身份认证的漏洞

http://www.economyofmechanism.com/github-saml

对telegram进行的一次完整的伪造劫持

https://bo0om.ru/telegram-love-phdays-en

JSON Web加密(RFC 7516)中的严重漏洞,发送方或可提取接收方的私钥 

http://blog.intothesymmetry.com/2017/03/critical-vulnerability-in-json-web.html

Double Robotics Telepresence机器人存在多个漏洞

https://community.rapid7.com/community/infosec/blog/2017/03/13/r7-2017-01-multiple-vulnerabilities-in-double-robotics-telepresence-robot

在任天堂Switch and 苹果iOS 9.3利用webkit漏洞CVE-2016-4657

https://www.youtube.com/watch?v=xkdPjbaLngE

https://github.com/LiveOverflow/lo_nintendoswitch/blob/master/poc1.html

在新的macOS上安装新的二进制USaBUSe

https://gist.github.com/singe/a3ff6d1fff31b8de4c901a77f8f13ca8

VirtualBox:协作客户可以从共享文件夹中逃逸到主机目录

https://bugs.chromium.org/p/project-zero/issues/detail?id=1037

探索基于Windows 10的Windows内核Shellcode(Part 3)

https://improsec.com/blog//windows-kernel-shellcode-on-windows-10-part-3

分析老式的8008处理器裸片:计数器部分

http://www.righto.com/2017/03/analyzing-vintage-8008-processor-from.html

一个python RESTful API框架用于在线检测恶意软件和URL分析

https://github.com/diogo-fernan/malsub

wordpress4.7.3修复的存储型XSS分析

https://blog.sucuri.net/2017/03/stored-xss-in-wordpress-core.html

DVWA的CSRF学习教程

http://www.hackingarticles.in/csrf-tutorial-begineers-dvwa/

在Windows 8.1和10上恢复BitLocker 密钥

https://tribalchicken.io/recovering-bitlocker-keys-on-windows-8-1-and-10/

C++ shellcode 构建器

https://github.com/gdelugre/shell-factory

使用图形分析保护Office 365

https://blogs.technet.microsoft.com/office365security/defending-office-365-with-graph-analytics/

在Linux上使用AFL对Stagefright进行模糊测试

http://ele7enxxh.com/Use-AFL-For-Stagefright-Fuzzing-On-Linux.html

(完)