curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级

curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级 curl 8.4.0 已正式，创始人 Daniel Stenberg（社区称号 bagder）已提前预告了该版本 修复高危安全漏洞，并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞，同时影响到 libcurl 库和 curl 工具。 根据介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞 (heap buffer overflow)，该漏洞 (CVE-2023-38545) 导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 有开发者，该漏洞出现的场景是输入的域名太长，从而导致内存溢出。当然前提条件是使用了 SOCKS5 代理。 两种典型的攻击场景如下： 1、某些程序里内置 libcurl，而允许外部用户指定 socket5 代理以及输入超长的域名，则可以发起攻击 2、用户在使用 curl 或者 libcurl 时，使用了 socket5 代理，并且 http 请求到恶意服务器，并且恶意服务器返回了 http 30x 跳转，把用户访问目标指向一个超长域名从而导致溢出 详情查看： 来源：

Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞

Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞 10 月 11 日，curl 将推出新版本 8.4.0。该更新将修复一个严重程度为 HIGH 等级的安全漏洞。这不是什么普通的错误。 据维护人员称，这可能是他们长期以来见过的最严重的 curl 安全问题。 有关漏洞的具体信息在发布前仍处于保密状态，预计于 10 月 11 日 06:00 UTC 时间发布。 已知信息： CVE-2023-38545：严重性 HIGH（同时影响 libcurl 和 curl 工具） CVE-2023-38546：严重性 LOW（仅影响 libcurl，不影响工具） 详细信息：

Curl 项目将于 10 月 11 日通过 curl 8.4.0 宣布严重程度为 HIGH 的安全问题

Curl 项目将于 10 月 11 日通过 curl 8.4.0 宣布严重程度为 HIGH 的安全问题 Curl 项目正在缩短发布周期，并将于10 月 11 日发布 curl 8.4.0，其中包括修复一个严重程度标识为 HIGH 等级的 CVE 和一个 LOW 等级的 CVE 。被标识为 HIGH 的那个可能是很长时间以来 curl 的最严重的安全漏洞。 新版本以及两个 CVE 的详细信息将于发布当天 06:00 UTC 左右发布。 CVE-2023-38545：严重性 HIGH（同时影响 libcurl 和 curl 工具） CVE-2023-38546：严重性 LOW（仅影响 libcurl，不影响工具） 详细信息：

谷歌“快速分享”出现安全漏洞 新版本已修复

谷歌“快速分享”出现安全漏洞 新版本已修复 谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本，可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1，允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常，当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而，这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9，可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。 、

ℹChrome 用户请尽快更新，Google 紧急推新版本修复零时差漏洞#Rocky

ℹChrome 用户请尽快更新，Google 紧急推新版本修复零时差漏洞#Rocky 对于大多数 Google Chrome 用户来说，可能都是等到有加入一些不错新功能的时候，才会去检查有没有新版本更新，但最近推出的修补零时...