挖掘 Hyper 库中的竞态条件：Cloudflare 六周调试之旅 Post Syndicated from Deanna Lam original https://blog.cloudflare.com/hyper-bug/The Images serv... 2026-6-22 18:0:0 | 阅读: 0 | 收藏 | 玄武实验室每日安全 - noise.getoto.net poll client cx shut

基于恶意 Polyglot PDF 利用 GTK 系阅读器命令注入漏洞的研究 Post Syndicated from corbet original https://lwn.net/Articles/1073944/Michael Cata... 2026-5-21 21:5:20 | 阅读: 0 | 收藏 | 玄武实验室每日安全 - noise.getoto.net gtk malicious injection interwebz catanzaro

依赖冷却：应对开源供应链攻击的兴起策略 嗯，用户让我帮忙总结一篇文章的内容，控制在一百个字以内，而且不需要特定的开头。首先，我得仔细阅读文章内容。文章主要讲的是近年来开源供应链中恶意代码的攻击增加，这些攻击虽然被迅速发现，但还是导致了破坏。然后提到了一种防御方法，就是延迟几天再拉取更新，也就是“依赖冷却”。这种方法开始被一些用户和包管理器采用，但也有反对的声音，认为这样是在让社区承担风险。 接下来，我需要把重点提炼出来：恶意代码攻击增加、依赖冷却作为防御措施、以及这种方法的争议。然后用简洁的语言把这些点串起来，确保在100字以内。要注意不要使用“文章内容总结”之类的开头词。 可能会先写攻击情况，然后提到依赖冷却的方法及其效果和争议。这样结构清晰，信息全面。最后检查一下字数和表达是否准确。 </think> 近年来开源供应链中的恶意代码攻击增多，依赖冷却（延迟更新）成为一种防御手段，但引发关于风险分担的争议。... 2026-4-22 15:21:1 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - noise.getoto.net pulling reasonable employing riding jzb

利用 Model Context Protocol 与 IAM 控制保障 AI Agent 访问 AWS 资源的安全 好的，我需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得通读整篇文章，抓住主要观点。 文章主要讲的是如何通过Model Context Protocol（MCP）来安全地管理AI代理和编码助手访问AWS资源。提到了三个安全原则：假设所有权限可能被使用、提供组织指导以规范角色使用、以及区分AI驱动和人工发起的操作。 接下来，我需要将这些要点浓缩成一句话，确保涵盖关键信息：MCP、三个原则、IAM控制、AI系统访问AWS资源的安全性。 最后，检查字数是否在限制内，并确保表达清晰简洁。 </think> 文章讨论了通过Model Context Protocol (MCP) 安全管理AI代理和编码助手访问AWS资源的方法，提出了三个安全原则：假设所有权限可能被使用、提供组织指导以规范角色使用、以及区分AI驱动和人工发起的操作。重点在于构建确定性的IAM控制以确保非确定性AI系统的安全性。... 2026-4-14 22:52:51 | 阅读: 3 | 收藏 | 玄武实验室每日安全 - noise.getoto.net mcp agents principle security

AirSnitch：利用跨层身份去同步性的新型Wi-Fi攻击 嗯，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要用“文章内容总结”或者“这篇文章”这样的开头。直接写描述就行。首先，我需要仔细阅读用户提供的文章内容。 文章标题是“New Attack Against Wi-Fi”，作者是Bruce Schneier。内容讲的是一个叫做AirSnitch的新攻击方式。这个攻击不同于之前的Wi-Fi攻击，它利用了第1层和第2层的核心功能，以及客户端在这些层和其他节点、SSID之间没有绑定和同步的问题。这种跨层身份去同步是AirSnitch攻击的关键。 攻击者可以在同一SSID、不同SSID甚至不同网络段上发动攻击，影响家庭、办公室和企业的Wi-Fi网络。由于能够拦截所有链路层流量，攻击者可以在更高层进行其他攻击。最严重的后果是当互联网连接未加密时，攻击者可以窃取敏感数据如认证cookie、密码、支付卡详情等。即使使用HTTPS，攻击者仍能进行DNS缓存中毒，利用未修补的漏洞发起攻击，并监控访问的网页IP地址。 总结下来，文章主要介绍了AirSnitch这种新型Wi-Fi攻击方式的原理、影响范围及其潜在威胁。我需要把这些关键点浓缩到100字以内。 首先确定主要信息：AirSnitch是一种新型Wi-Fi攻击，利用跨层身份去同步，在同一或不同SSID甚至网络段上发动MitM攻击。影响范围广，包括小家庭网络到大型企业网络。能够窃取敏感数据，即使加密也存在威胁。 然后组织语言：直接描述AirSnitch是什么样的攻击方式，其机制如何，影响范围以及可能造成的后果。 最后检查字数是否在限制内，并确保表达清晰准确。 </think> 一种名为AirSnitch的新Wi-Fi攻击技术通过跨层身份去同步实现机器中间人（MitM）攻击，在同一或不同SSID及网络段上拦截和篡改数据。该技术可窃取敏感信息并利用未加密连接或漏洞发起进一步攻击。... 2026-3-9 10:57:18 | 阅读: 4 | 收藏 | 玄武实验室每日安全 - noise.getoto.net attacker airsnitch schneier network percent

提升AI安全：2025年AWS re:Inforce不可错过的生成式AI安全会议 AWS re:Inforce 2025大会聚焦生成式AI安全，提供创新演讲、 breakout sessions、 chalk talks等环节，涵盖数据保护、模型安全等主题，帮助参会者构建和维护大规模安全AI系统。... 2025-5-27 19:47:29 | 阅读: 18 | 收藏 | 玄武实验室每日安全 - noise.getoto.net security generative speakers agents bedrock

2025年5月补丁星期二：Microsoft修复77个漏洞 微软在2025年5月的补丁星期二活动中修复了77个漏洞，其中包括多个零日漏洞和远程代码执行（RCE）风险。重点包括Windows Scripting Engine、Common Log File System、Visual Studio和Defender for Identity中的高危漏洞。部分漏洞已知被利用或公开披露。... 2025-5-13 20:58:33 | 阅读: 124 | 收藏 | 玄武实验室每日安全 - noise.getoto.net microsoft remote windows elevation

Metasploit 更新概述：新模块和技术 这篇文章介绍了Metasploit的新功能和更新内容，包括新增的OPNSense登录扫描器、针对Sante PACS服务器路径遍历漏洞的模块、通过SMB到HTTP中继窃取NAA凭证的方法，以及针对Erlang/OTP SSH预认证远程代码执行漏洞的利用模块。此外还包含对Shodan facets的支持、TLS解密功能增强等改进，并修复了SSL连接问题。... 2025-5-9 17:10:9 | 阅读: 8 | 收藏 | 玄武实验室每日安全 - noise.getoto.net r7 ssh contributed auxiliary opnsense