Be Careful with Obsidian7 months agohttps://phong.bearblog.dev/be-careful-with-obsidian/Obsidian的源代码未开源,其macOS应用缺少校验码Obsidian未通过Mac应用商店分发,引发沙盒机制与安全性的质疑用户常需授予Obsidian敏感文件夹访问权限,这增加了潜在风险社区插件虽受欢迎,但引入了额外的安全隐患该情况与VSCode类似,但VSCode是开源项目且接受更严格审查Obsidian的理念和实用性广受好评,但其安全风险需更多关注
Did You Know That There Are Camera-Less iPhones?7 months agohttps://petapixel.com/2025/10/08/did-you-know-that-there-are-camera-less-iphones...出于安全考虑,某些行业需要使用无摄像头的iPhone。像NonCam这样的公司专门为敏感工作场所提供移除iPhone摄像头的服务。无摄像头iPhone被用于核电站、军事基地和宗教学校等场所。NonCam销售预先改装的无摄像头iPhone以及供自行移除摄像头的DIY改装套件。无摄像头iPhone的价格显著高于其原始零售价。对于技术人员来说,移除新款iPhone的摄像头可能特别棘手。包括用于FaceID的前置摄像头也必须被移除。经过改装的无摄像头iPhone看起来很不寻常,尤其是那些为先进摄影功能设计的新机型。
Cisco opensourced MCP-Scanner for finding vulnerabilties in MCP server7 months agohttps://github.com/cisco-ai-defense/mcp-scannerMCP扫描器是一款用于检测MCP服务器及工具安全漏洞的Python工具其整合了Cisco AI Defense检测API、YARA规则和LLM-as-a-judge判定机制功能特性包括:多模式操作(CLI/REST API)、多引擎安全分析、全面扫描能力支持显式认证控制、OAuth协议及自定义端点配置允许自定义YARA规则,并提供详尽的漏洞报告运行环境要求Python 3.11+、uv包管理器,可选配置Cisco AI Defense和LLM供应商的API密钥支持通过pip安装或使用uv从源码构建配置方式需设置API密钥和端点的环境变量CLI功能涵盖:已知配置扫描、远程服务器扫描、标准输入服务器扫描及多种参数选项提供支持异步调用的Python SDK编程接口API服务器开放REST端点便于应用集成扫描功能支持多种输出格式:摘要模式、详细报告、表格视图、按严重程度分类及原始JSON文档体系包含架构设计、认证流程、编程接口、API参考及输出格式说明采用Apache 2.0开源协议,代码托管于GitHub平台
FreeBSD now builds reproducibly and without root privilege7 months agohttps://freebsdfoundation.org/blog/freebsd-now-builds-reproducibly-and-without-r...FreeBSD现已支持无需root权限即可构建系统,这增强了安全性并简化了自动化构建流程。相关变更已出现在FreeBSD开发分支中,并将被合并至FreeBSD 15.0版本。ISO镜像、虚拟机镜像和云磁盘镜像等发布产物现在均可无需root权限构建。取消root权限要求减少了潜在攻击面,使构建环境更加安全。FreeBSD引入了可复现构建的改进措施,确保相同源代码输入能生成完全一致的二进制输出。关键的可复现性改进包括时间戳标准化、稳定的文件排序规则以及一致的构建环境。可复现构建能提升软件供应链的可信度、调试能力、审计便利性和可维护性。FreeBSD的持续集成(CI)和构建基础设施现在可在无特权容器和受限环境中运行。贡献者现在无需高级权限即可在本地完整构建FreeBSD发行版。
Are these real CVEs? VulDB entries for dnsmasq rely on replacing config files7 months agohttps://seclists.org/oss-sec/2025/q4/79针对dnsmasq和Kamailio SIP服务器报告了多个存在疑问的CVE漏洞。这些漏洞利用需要将默认配置文件替换为恶意文件,这在实际中难以实现,因为具有此类访问权限的攻击者可以直接修改配置。该问题凸显了当漏洞利用需要不现实的先决条件时,CVE分配过程中可能存在的缺陷。
The Geomys Standard of Care7 months agohttps://words.filippo.io/standard-of-care/通过标准化实现开源维护的专业化,可打造更安全可靠的项目。Geomys维护标准基于近期供应链攻击事件调研与专家意见制定而成。涵盖维护理念、稳定性、依赖管理、安全防护、漏洞处理、许可证规范等全方位要求。未来计划采用二进制透明化工具,并定期审查浏览器扩展与OAuth应用。适用项目包括Go标准库包、Staticcheck、Gotraceui等核心工具链。特别强调代码审查、复杂度管控、静态分析及严格的向后兼容性。依赖管理拒绝Dependabot等自动化工具,专注govulncheck与隔离式CI任务。关键账户必须采用防钓鱼认证机制,尽可能启用严格安全模式。禁止使用长期凭证,优先采用硬件绑定的SSH密钥。CI安全体系包含GitHub Actions的zizmor防护、默认只读工作流及缓存投毒防御。严格限制第三方访问,项目终止时执行归档而非移交。对关键终端与域名实施可用性监控和透明化日志记录。漏洞处理流程包含标准化报告机制、保密期遵守及精准CVE上报。采用BSD-3-Clause、MIT、Apache-2.0等宽松许可证。Geomys获Smallstep、Ava Labs、Tailscale等企业资助,保障开源可持续维护。
Understanding the Worst .NET Vulnerability7 months agohttps://andrewlock.net/understanding-the-worst-dotnet-vulnerability-request-smug...微软发布了一个关键漏洞CVE-2025-55315,其CVSS评分高达9.9分,创历史最高记录。该漏洞涉及ASP.NET Core中的HTTP请求走私问题,可使攻击者绕过安全防护机制。HTTP请求走私利用代理服务器与目标服务器对模糊HTTP请求解析方式的差异进行攻击。攻击者可借此以其他用户身份登录、绕过CSRF检查、实施注入攻击等恶意行为。CVE-2025-55315的具体漏洞涉及Transfer-Encoding: chunked请求中的无效分块扩展。微软已在支持的.NET版本(8、9、10)中发布补丁,但旧版本仍存在风险。建议措施包括:升级至已修复版本、强制使用HTTP/2或HTTP/3协议、避免直接操作请求流。Azure应用服务(AAS)用户已受保护(代理端已完成修复),但其他托管服务可能仍存在漏洞。
Reconsider W3C Recommendation status of XSLT 2.0 and XSLT 3.07 months agohttps://github.com/w3ctag/obsoletion/issues/10XSLT 2.0和3.0并未得到广泛实现,目前仅Saxon提供完整支持由于缺乏多个独立实现版本,XSLT 2.0和3.0的互操作性受到损害Saxon默认存在XXE攻击漏洞引发了安全隐患由于不符合W3C标准原则,XSLT 2.0和3.0的W3C推荐状态受到质疑基于这些问题,业界呼吁将XSLT 2.0和3.0标记为过时技术
Breaking Trusted Execution Environments7 months agohttps://tee.fail/可信执行环境(TEE)旨在提供硬件级数据隐私与完整性保护,但英特尔和AMD的现代实现方案仍易受物理内存中间人攻击。利用现成组件即可低成本构建DDR5内存中间人设备,攻击者可借此窥探包括加密数据在内的所有内存流量。该攻击利用TEE中确定性加密的缺陷,通过比对加密数据块推断明文内容。英特尔TDX和AMD SEV-SNP的密钥认证机制可被攻破,导致机密虚拟机(CVM)安全体系崩塌。英伟达GPU机密计算同样存在漏洞,被提取的认证密钥可绕过TEE对AI工作负载的保护。便携式攻击设备可装入17英寸公文包,能轻松部署至各类环境。现实威胁包括加密货币服务的潜在资金损失与云计算安全防线突破。缓解措施极为有限,因TEE厂商将物理攻击归为超范围威胁,这凸显了加强物理安全防护的紧迫性。
Tailscale Services7 months agohttps://tailscale.com/blog/services-betaTailscale宣布推出Services功能,可为逻辑资源分配虚拟的Tailscale IPv4/IPv6地址对(TailVIPs)Services提供专属MagicDNS名称,并作为访问控制的策略单元Tailscale Services可通过智能路由替代传统负载均衡方案早期用户已将该功能应用于CI流水线、数据库代理及内部应用系统服务架构包含TailVIPs虚拟地址、MagicDNS、终端节点和服务主机四大组件服务主机需经过验证,支持基于标签或IP地址的自动授权机制通过Grants机制精确控制服务访问权限,可指定源地址与目标地址借助多主机部署与智能路由技术实现服务高可用性Tailscale Services目前处于公开测试阶段,未来计划推出配置审计日志等特性路线图包含状态验证、API注册接口和第三方代理集成等增强功能
Mullvad DNS7 months agohttps://mullvad.net/en/help/dns-over-https-and-dns-over-tlsMullvad通过HTTPS加密DNS(DoH)和TLS加密DNS(DoT)服务保护查询免受第三方窥探该服务专为未连接Mullvad VPN时设计,因VPN连接下的查询已自带加密保护功能包括内容拦截(广告、追踪器、恶意软件等)、QNAME最小化及基于Anycast路由的高可靠性提供多平台配置指南:网页浏览器(Firefox/Chrome)、移动系统(Android/iOS)、桌面系统(Windows/macOS/Linux)用户可通过Mullvad的DNS泄漏检测工具验证服务,确保查询路由至最近服务器详细列出各DNS服务器地理位置,提供无过滤DNS和内容拦截两种版本内容拦截机制通过返回虚假响应阻止被屏蔽域名的加载注意事项包含旧版主机名/IP的弃用声明,及不建议在SOCKS5代理环境下使用加密DNS的提示
Tor Browser 15.07 months agohttps://blog.torproject.org/new-release-tor-browser-150/Tor浏览器15.0版本现已发布,基于Firefox ESR 140内核。桌面端新增垂直标签页、标签组功能,并优化了地址栏设计。安卓版本新增屏幕锁定功能以增强安全性。由于技术限制,未来更新将停止支持Android 5.0-7.0系统和x86架构CPU设备。现由NoScript扩展接管WebAssembly(Wasm)管理以提升安全性。已知问题包括垂直标签页的显示异常及老旧安卓设备上的网页加载故障。欢迎社区提供支持与反馈以推动持续开发。
I'm Independently Verifying Go's Reproducible Builds7 months agohttps://www.agwa.name/blog/post/verifying_go_reproducible_buildsGo 1.21版本引入了自动下载工具链功能,用于编译需要新版本的模块。可重现构建确保无论环境如何,源代码都能生成相同的二进制输出。Go校验和数据库记录工具链Zip归档的校验和以供公开验证。独立验证对确保谷歌或攻击者未引入后门程序至关重要。独立审计机构Source Spotter负责验证工具链的可重现性及校验和一致性。引导工具链通过源码构建,以防范信任传递攻击。挑战包括处理macOS签名、linux-arm环境变量及错误的版本记录。建议通过发布校验和或使用Git提交ID来增强源代码透明度。Go系统在易用性与安全性之间取得平衡,为其他生态树立了标准。
NPM flooded with malicious packages downloaded more than 86,000 times7 months agohttps://arstechnica.com/security/2025/10/npm-flooded-with-malicious-packages-dow...攻击者利用NPM的远程动态依赖(RDD)机制上传了126个恶意软件包,总下载量超过8.6万次。RDD机制允许软件包从未经验证的不受信任域下载依赖项,从而绕过静态分析工具的检测。PhantomRaven攻击活动通过HTTP链接获取恶意依赖项,这些操作对开发者和安全扫描工具均不可见。每次运行时都会从攻击者服务器重新下载依赖项,避免缓存或版本检查机制。截至报告发布时,仍有80个恶意软件包可供下载。
Show HN: Run a GitHub Actions step in a gVisor sandbox7 months agohttps://github.com/geomys/sandboxed-step具有只读权限的GitHub Actions仍会收到缓存写入令牌,可能导致缓存污染问题工作流中的步骤之间缺乏隔离性,因为它们都在同一台拥有root权限的虚拟机中运行在仅配置只读权限的工作流中运行不可信代码,可能导致虚假的安全感该GitHub Action通过在gVisor沙箱隔离环境中运行命令来降低风险沙箱特性包括:类似ubuntu-24.04的根文件系统、对GITHUB_WORKSPACE的覆盖访问、以及对setup-*操作安装工具的只读访问若设置'persist-workspace-changes'为'true',沙箱内对工作区的修改可能持久化到宿主机(但此操作不安全)当检测到actions/checkout在工作区持久化认证令牌时,该操作会主动失败使用此Action时,需在checkout步骤禁用凭证持久化,或设置'allow-checkout-credentials'为'true'(不推荐)所有标签均采用GitHub不可变发布机制保障安全性示例工作流展示如何在沙箱环境中运行:多版本Go测试、依赖项测试、staticcheck和govulncheck等操作
Chromium Browser DoS Attack via Document.title Exploitation7 months agohttps://github.com/jofpin/brashBrash是Chromium的Blink渲染引擎中的一个关键漏洞,会导致浏览器在15-60秒内崩溃。该漏洞利用通过滥用`document.title` API缺乏速率限制的特性,允许每秒执行数百万次DOM变更。这种主线程的过载会破坏事件循环机制,最终导致浏览器崩溃和CPU使用率飙升。影响所有基于Chromium的浏览器(Chrome、Edge、Vivaldi等),但Firefox和Safari不受影响。攻击过程涉及预加载100个独特字符串以实现最大速度并规避检测。分为三个阶段:字符串生成、爆发式执行和持续更新导致界面冻结。危害包括系统性能下降、进程中断以及潜在的协同攻击可能。可通过延迟或定时执行实现武器化,在关键场景中极具破坏性。现实影响可能涉及金融市场瘫痪、医疗紧急事故和欺诈漏洞利用。本内容仅用于教育及安全研究目的,需严格遵守道德准则。
The cryptography behind electronic passports7 months agohttps://blog.trailofbits.com/2025/10/31/the-cryptography-behind-electronic-passp...电子护照(eMRTD)内含嵌入式文件系统,存储个人数据并采用加密协议进行保护。国际民航组织(ICAO)标准规定了电子护照的数据结构与安全机制,包括强制性和可选数据组(DGs)。威胁模型需防范未经授权的读取、窃听、伪造及护照数据复制等风险。基本访问控制(BAC)利用机读区(MRZ)数据派生密钥,但存在熵值不足和离线暴力破解等安全缺陷。被动认证(PA)通过国家签名证书机构(CSCA)的数字签名验证护照数据完整性。主动认证(AA)采用护照内嵌私钥防复制,但仍面临中继攻击漏洞。扩展访问控制(EAC)通过芯片认证(CA)和终端认证(TA)提升安全性。密码认证连接建立协议(PACE)替代BAC,更安全地利用MRZ数据防止离线攻击。威胁模型存在潜在漏洞:若MRZ数据泄露可能导致追踪风险,以及基于护照特征的指纹识别问题。基于电子护照的零知识身份证明存在安全隐患,包括数据暴露风险及对PA/AA/CA机制的依赖性问题。
Today I Learned: Binfmt_misc7 months agohttps://dfir.ch/posts/today_i_learned_binfmt_misc/binfmt_misc是Linux内核的一项功能,允许通过注册自定义处理程序来执行非原生二进制格式。其工作原理是通过识别文件魔数字节或扩展名来调用指定解释器,并通过/proc/sys/fs/binfmt_misc文件系统进行管理。安全风险在于攻击者可利用binfmt_misc劫持SUID二进制文件创建后门,无需传统SUID标记即可实现权限提升。检测难度较高因其痕迹极少,建议重点监控/proc/sys/fs/binfmt_misc目录中的新处理程序。该技术具有临时性(除非建立持久化机制),系统重启时会产生检测机会。
New Cellebrite capability obtained in Teams meeting7 months agohttps://discuss.grapheneos.org/d/27698-new-cellebrite-capability-obtained-in-tea...有人泄露了Cellebrite微软Teams通话中的手机解锁细节。GrapheneOS专注于防范安全行业中的漏洞利用工具及不道德行为。Cellebrite避免披露其技术的具体能力,以防被犯罪分子滥用。GrapheneOS、谷歌、三星和苹果被Cellebrite的威权主义言论所批评。GrapheneOS倡导道德安全实践和负责任的信息披露。应消除被不道德使用的漏洞利用工具,以保护人权。
Intent to Deprecate and Remove XSLT7 months agohttps://groups.google.com/a/chromium.org/g/blink-dev/c/CxL4gYZeSJA/m/yNs4EsD5AQA...XSLT 1.0标准于1999年制定,现已过时,被基于JavaScript的技术(如JSON+React)取代。Chromium使用的libxslt库已无人维护,由于内存安全漏洞存在重大安全风险。客户端XSLT已成为小众技术,使用指标极低(XSLTProcessor API使用率0.01%-0.1%,声明式XSL仅0.001%)。Chromium计划逐步弃用并移除XSLT,具体时间表从M143版本(弃用)持续至M164版本(完全移除)。已提供polyfill方案缓解影响,通过单行代码修复即可恢复约75%受影响站点的功能。移除XSLT的安全收益大于兼容性风险,此举将消除一个易受攻击的入口面。其他浏览器引擎(Gecko、WebKit)也支持弃用XSLT,但部分网页开发者反对移除。移除计划包含早期预警、原始试用和企业策略等多阶段过渡措施。