高通公布3个芯片里的高危安全漏洞 已被武器化

Google威胁情报小组以及 Google Zero Project 团队已经在 10 月份透露高通芯片中出现新漏洞并且已经在野外遭到利用，这些漏洞的利用是有限的和有针对性的，一般来说都是黑客集团进行针对性的攻击，例如间谍行为。

目前还不清楚这些漏洞怎么被武器化以及发起攻击的幕后黑手是谁，Google本周公布 Android 2023-12 安全公告的时候透露了这些漏洞。

现在高通也在安全公告里公布了这些漏洞，CVSS 评分都非常高：

第一个漏洞是 CVE-2023-33063，CVSS 评分为 7.8 分，描述是从 HLOS 到 DSP 的远程调用期间内存损坏；

第二个漏洞是 CVE-2023-33106，CVSS 评分为 8.4 分，描述是在向 IOCTL_KGSL_GPU_AUX_COMMAND 提交 AUX 命令中的大量同步列表时导致图形内存损坏；

第三个漏洞是 CVE-2023-33107，CVSS 评分为 8.4 分，描述是 IOCTL 调用期间分配共享虚拟内存区域时，图形内存损坏

除了这些漏洞外，Android 2023-12 安全公告里还解决了 85 个缺陷，其中系统组件里有个高危漏洞是 CVE-2023-40088，该漏洞可能导致远程代码执行而且不需要任何交互。

接下来相关漏洞补丁会发布的 AOSP 里供 OEM 获取然后适配机型发布更新，所以用户什么时候能收到更新主要取决于 OEM 了。

🗒 标签: #高通
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

clash爆高危漏洞！clash.meta也中招！所有系统全中招！如何安全设置clash？暴露RESTful api接口的危害，实战演示中木马病毒被黑客控制电脑，任意目录写入文件漏洞，跨域攻击

https://youtu.be/4AnapDDMlyI

Via. 不良林

🗒 标签: #Clash #高危漏洞
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot

YouTube

clash爆高危漏洞！clash.meta也中招！所有系统全中招！如何安全设置clash？暴露RESTful api接口的危害，实战演示中木马病毒被黑客控制电脑，任意目录写入文件漏洞，跨域攻击

当你通过clash或者clash.meta进行科学上网的时候，不小心打开了这个网址，网址跳转到了百度首页，你感觉什么事情都没有发生，但实际上你的电脑可能已经中了木马病毒。本期就来讲讲不安全的clash配置会导致什么问题，以及该如何安全的配置使用clash

演示地址（无风险代码）：https://clash-rce.pages.dev
参考博文：https://0xf4n9x.github.io/clash-unauth-force-configs-csrf-rce.html
专线机场推荐：https://b.m123.org…