重要: Clash for Windows存在远程代码执行漏洞,可能存在恶意代码执行风险及目录穿越问题

重要: Clash for Windows存在远程代码执行漏洞,可能存在恶意代码执行风险及目录穿越问题 影响版本:0.20.12 及以下切使用 CFW 用户[包括支持 rule-providers path 的第三方客户端] 风险等级:一般[执行操作需要用户手动订阅完成,但可能存在恶意引导问题] 处置建议:用户应当清楚自己的订阅文件内容,且是由可信来源获取,并已对此进行了审核, 本次漏洞为 Clash 对于订阅文件中的rule-providers 的 path 的不安全处理出现了目录穿越问题,同时导致 cfw-setting.yaml 会被覆盖,且 cfw-setting.yaml 中 parsers 的 js代码将会被执行 注:开发团队已经被告知该问题,且正在考虑如何着手修改。普通用户不应当订阅来自互联网上的不明订阅链接,其中很可能被插入恶意代码,特别是在较新版本后客户端支持在 parser 中执行 js 代码[对于配置文件进行预处理]

相关推荐

封面图片

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞 Clash for Windows 的开发者确认了一个的远程代码执行漏洞,包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。 GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。 该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。

封面图片

WPS Office 存在远程代码执行漏洞

WPS Office 存在远程代码执行漏洞 WPS 近日发布安全通告,确认 WPS Office 存在代码执行漏洞,建议用户更新到最新版本。 WPS 官方称,攻击者利用本漏洞专门构造出恶意文档,受害者打开该文档并执行相应操作后,才会联网从远程服务器下载恶意代码到指定目录并执行,前提是系统当前用户对该目录具备写权限,攻击者进而控制其电脑。 影响范围 •WPS Office 个人版,Windows 平台,版本号低于 12.1.0.15120(含) •WPS Office 机构版本(如专业版、专业增强版),Windows 平台,版本号低于 11.8.2.12055(含)

封面图片

AI 开源开发平台 Hugging Face 存在托管的恶意代码

AI 开源开发平台 Hugging Face 存在托管的恶意代码 安全公司 JFrog 的研究人员周四在一份报告中表示,上传到人工智能开发平台 Hugging Face 的代码在用户计算机上秘密安装了后门和其他类型的恶意软件。研究人员表示,他们总共发现大约 100 个提交内容在下载并加载到最终用户设备上时执行了隐藏的和不需要的操作。 大多数被标记的机器学习模型(所有这些模型都没有被 Hugging Face 检测到)似乎是研究人员或好奇的用户上传的良性概念证明。研究人员表示,其中大约10个是“真正恶意的”,因为它们在加载时执行的操作实际上损害了用户的安全,例如创建一个可以从互联网远程访问并完全控制用户设备的反向 Shell 。 Hugging Face 已删除了所有 JFrog 标记的模型。这是继 PyPI, NPM 和 GitHub 之后又一个被发现受到水坑攻击(Watering Hole Attack)的开发平台,虽然并不让人太意外。

封面图片

QQ Windows 被曝光远程代码执行漏洞

QQ Windows 被曝光远程代码执行漏洞 2023 年 8 月 20 日,赛博昆仑发布报告, QQ Windows 桌面客户端有远程执行的漏洞。 该漏洞为逻辑漏洞,攻击者可以利用该漏洞在 QQ 客户端上进行无需用户确认的文件下载执行行为,当用户点击消息链接时,QQ 客户端会自动下载并打开文件, 最终实现远程代码执行的目的。 影响范围:QQ Windows 版 9.7.13 及以前版本,建议谨慎点击任何消息链接,并使用安全软件扫描下载文件是否异常。

封面图片

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram 称无法确认 Desktop 版本远程代码执行漏洞 Telegram 官方刚刚在社交平台 X 上发布消息表示,无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。该视频很可能是一个骗局。并表示:“任何人都可以报告我们应用中的潜在漏洞并获得奖励。” 之前有消息报告称 Telegram 出现高危远程代码执行漏洞,恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。

封面图片

Telegram 称无法确认 Desktop 版本远程代码执行漏洞

Telegram 称无法确认 Desktop 版本远程代码执行漏洞 Telegram 官方刚刚在社交平台 X 上发布消息表示,无法确认所谓的 Desktop 版本远程代码执行 (RCE) 漏洞。这很可能是一个骗局。并表示:“任何人都可以报告我们应用中的潜在漏洞并获得奖励。”之前有消息称 Telegram 出现高危远程代码执行漏洞,恶意攻击者只需要向用户发送特制的图片、视频或文件即可触发漏洞。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人