01概述2024 年 1 月 31 日,Ivanti 披露了 CVE-2024-21893,影响了 Ivanti Connect Secure 和 Ivanti Policy Secure。该漏洞被描...
三角测量操作 深度解析:历时四年的iPhone复杂漏洞链攻击揭秘
这是一份详细的关于一次复杂攻击的报告,攻击目标为 iPhone 设备。以下是关于这次攻击的主要细节和发现:1. 攻击对象和时间范围: 该攻击已经存在四年多,影响数十甚至数千部 iPhone 设备,其中...
卡巴斯基披露针对苹果的史上最复杂漏洞利用链,iPhone一个此前未知的硬件功能被利用
12月27日,卡巴斯基全球研究与分析团队(GReAT)揭露了苹果iPhone硬件中的一个以前未知的“特性”,允许恶意软件完全绕过其内存保护机制。在第37届混沌通信大会(37C3)上,卡巴斯基的安全研究...
技术领先or模式先进?情报机构青睐的天价间谍软件Predator
Cisco Talos于12月21日是发布博文,根据其在2023年9月22日在LabsCon 2023上发表的演讲,披露了对间谍软件供应商Intellexa(以前称为Cytrox)采用的时间表、操作范...
10万美元漏洞复现SharePoint CVE-2023-29357
该漏洞早已公开很久了,对互联网影响不大,但有一定的研究价值根据 STAR Labs 博客文章,近一整年的研究工作都投入到了漏洞利用链的构建中。通过将身份验证绕过 (CVE-2023-29357) 与代...
分析现代 Android 漏洞利用Analyzing a Modern In-the-wild Android Exploit
这是对其中一个漏洞利用链(从 2022 年 12 月开始)的最后阶段的技术分析,特别是 CVE-2023-0266(ALSA 兼容层中的 0 day)和 CVE-2023-26083(ALSA 兼容层...
间谍软件开发商利用漏洞利用链攻击移动生态系统
去年,几家商业间谍软件开发商开发并利用了针对 iOS 和安卓用户的零日漏洞。然而,它们的漏洞利用链还依赖已知的漏洞才能发挥作用,这凸显了用户和设备制造商都应加快采用安全补丁的重要性。谷歌威胁分析小组(...
分析三星的在野漏洞利用链
不完美的条件竞争JNDI漏洞利用链发现过程
0x00 前言 自我发布 《探索高版本 JDK 下 JNDI 漏洞的利用方法》这篇文章后就开始找基于org.apache.catalina.users.MemoryUserDatabaseFactor...