Tencent Security Xuanwu Lab Daily News

• Keylogger keyboard leaks passwords via Apple's "Find My" location network:
https://www.heise.de/news/Keylogger-keyboard-leaks-passwords-via-Apple-s-Find-My-location-network-9344806.html

   ・ 苹果的“Find My”跟踪网络可用于追踪丢失物品，但恶意行为者可以滥用它来泄露数据。一款带有键盘记录器的键盘已经证明了这一点，黑客可以利用它窃取密码并将其发送给自己，绕过本地网络中的所有安全措施，通过附近未涉及人员的iPhone和其他苹果设备进行传输 – SecTodayBot

• Cve-Collector - Simple Latest CVE Collector:
http://dlvr.it/SyFPt0

   ・ 一个用Python编写的简单最新CVE收集器，它使用网页爬虫和HTML解析来收集https://www.cvedetails.com上严重程度为6或更高的漏洞信息，并创建一个简单的基于分隔符的文件作为数据库。 – SecTodayBot

• Pen-Testing Salesforce Apps: Part 2 (Fuzz & Exploit):
https://infosecwriteups.com/in-simple-words-pen-testing-salesforce-saas-application-part-2-fuzz-exploit-eefae11ba5ae

   ・ 一篇关于测试Salesforce SAAS应用程序的博客文章，重点介绍了实际的渗透测试步骤和工具使用 – SecTodayBot

• Cisco AnyConnect SSL VPN Flaw Let Remote Attacker Launch DoS Attack:
https://gbhackers.com/cisco-anyconnect-ssl-vpn-flaw/

   ・ Cisco AnyConnect SSL VPN功能中发现了一个中等严重性的漏洞(CVE-2023-20042)，CVSS评分为6.8，可能导致未经身份验证的远程攻击者造成拒绝服务(DoS)。 – SecTodayBot

• MuddyWater eN-Able spear-phishing with new TTPs | Deep Instinct Blog:
https://www.deepinstinct.com/blog/muddywater-en-able-spear-phishing-with-new-ttps

   ・ MuddyWater组织最新的网络钓鱼攻击采用了更新的技术和战术，利用LNK文件进行感染，并使用远程管理工具进行侦察。 – SecTodayBot

• Exploiting the libwebp Vulnerability, Part 1: Playing with Huffman Code:
https://blog.darknavy.com/blog/exploiting_the_libwebp_vulnerability_part_1/

   ・ 介绍苹果WebP解码器漏洞利用 – SecTodayBot

• 警惕Hugging Face开源组件风险被利用于大模型供应链攻击:
https://security.tencent.com/index.php/blog/msg/209

   ・ Hugging Face开源组件datasets存在供应链后门投毒攻击风险 – SecTodayBot

• ZDI-23-1581:
https://www.zerodayinitiative.com/advisories/ZDI-23-1581/

   ・ 微软Exchange存在漏洞，攻击者可远程获取敏感信息。需身份验证才能利用此漏洞，主要问题在CreateAttachmentFromUri方法中，缺乏对URI的适当验证。 – SecTodayBot

• 重温漏洞 CVE-2021-27198：从文件上传到代码执行分析:
https://paper.seebug.org/3069/

   ・ 重温漏洞 CVE-2021-27198：从文件上传到代码执行分析 – lanying37

* 查看或搜索历史推送内容请访问：
https://sec.today

* 新浪微博账号：腾讯玄武实验室
https://weibo.com/xuanwulab