2023年1月28日网络安全热点

热点概览：

• OpenSSH发布CVE-2015-6565安全公告，涉及6.8至6.9版本中的pty问题，存在本地权限提升的风险，并附带了PoC（概念验证）。
• WordPress最新版4.7.2修复了三项重要安全漏洞，分别涉及SQL注入、跨站脚本攻击(XSS)及权限管理缺陷。
• VirtualBox被曝存在CVE-2017-3316提权漏洞，同样提供了PoC。
• 谷歌正式启动了自己的证书验证服务，旨在提高网络安全性。
• 详细解析了多种勒索软件的加密方法及其防范措施。

国内外动态：

• 委内瑞拉政府因涉嫌盗窃电力而逮捕了四位比特币矿工。
• Chrome浏览器通过优化页面重载速度提升了用户体验。
• 中国政府加强对外汇流出的管控。
• 由于潜在的安全风险，Google停止了Android平台上第三方浏览器使用Chrome同步API的功能。

技术分享：

• 深入分析了OpenSSH CVE-2015-6565漏洞的技术细节。
• 揭示了macOS 10.12.1和iOS内核中存在的'host_self_trap' Use-After-Free漏洞。
• 报道了WordPress InfiniteWP Client插件的PHP对象注入漏洞。
• 探讨了Windows 10中滥用C++共享指针的利用方法。
• 介绍了Simplify工具，这是一款用于Android应用程序反混淆的强大工具。
• 分享了关于Windows内核研究的相关资源链接。
• 提供了一个ROP Primer教程，帮助初学者理解ROP攻击的基本原理。
• 分析了一种新颖的Bitmap泄漏技术，对移动应用安全具有重要启示。
• 总结了当前流行的勒索软件加密技术，为防御策略提供了参考。