==== 资安双周报 (250315) ==== 初一十五除了呷菜喔外 也要关心一下安全圈的消息 - 来用 tar 执行指令吧 - By Design? ## ======== 来用 tar 执行指令吧 ======== ## Vim 发出安全性通知[0] 在 9.1.1164 以前版本存在一个 CVSS 7.1 的 CE (Code Execution) 的安全性问题 问题来在 tar.vim 的输入检查不严谨 造成恶意的 tar 有机会让 Vim 执行任意指令 ## ======== By Design? ======== ## 根据研究者的发现 [1] 一个站市场多数的 By ESP32 晶片存在一个後门(?) 根据文章显示 攻击者可以透过未公开的指令 绕过安全机制 因为价格与市场机制 这个晶片广泛用於 IoT 设备 而在後续官方发表澄清声明[2]表示 上述的机制是一个仅开发人员使用的指令 本身无法远端执行 (无法透过蓝芽、无线或者网路触发) [0]: https://github.com/vim/vim/security/advisories/GHSA-wfmf-8626-q3r3 [1]: https://401.tw/usxr [2]: https://401.tw/HYDi --

※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 111.242.209.161 (台湾) ※ 文章网址: https://webptt.com/cn.aspx?n=bbs/NetSecurity/M.1742005072.A.B3E.html