[閒聊] 資安雙週報 250315

看板NetSecurity (資安 資訊安全)作者 (不安全研究員)時間2周前 (2025/03/15 10:17), 編輯推噓1(101)
留言2則, 2人參與, 1周前最新討論串1/1
==== 資安雙週報 (250315) ==== 初一十五除了呷菜喔外 也要關心一下安全圈的消息 - 來用 tar 執行指令吧 - By Design? ## ======== 來用 tar 執行指令吧 ======== ## Vim 發出安全性通知[0] 在 9.1.1164 以前版本存在一個 CVSS 7.1 的 CE (Code Execution) 的安全性問題 問題來在 tar.vim 的輸入檢查不嚴謹 造成惡意的 tar 有機會讓 Vim 執行任意指令 ## ======== By Design? ======== ## 根據研究者的發現 [1] 一個站市場多數的 By ESP32 晶片存在一個後門(?) 根據文章顯示 攻擊者可以透過未公開的指令 繞過安全機制 因為價格與市場機制 這個晶片廣泛用於 IoT 設備 而在後續官方發表澄清聲明[2]表示 上述的機制是一個僅開發人員使用的指令 本身無法遠端執行 (無法透過藍芽、無線或者網路觸發) [0]: https://github.com/vim/vim/security/advisories/GHSA-wfmf-8626-q3r3 [1]: https://401.tw/usxr [2]: https://401.tw/HYDi -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 111.242.209.161 (臺灣) ※ 文章網址: https://www.ptt.cc/bbs/NetSecurity/M.1742005072.A.B3E.html

03/17 08:29, 2周前 , 1F
03/17 08:29, 1F

03/24 13:10, 1周前 , 2F
發表者也沒說可以執行什麼指令,這樣叫後門?
03/24 13:10, 2F
文章代碼(AID): #1drEDGi- (NetSecurity)
文章代碼(AID): #1drEDGi- (NetSecurity)