标签
一条 Twitter 帖子讨论了 AI 如何大幅降低了寻找零日漏洞的成本,使得高价值的利用程序可以在 GitHub 上免费获取,从根本上改变了安全经济学。
一个匿名GitHub账户发布了一大批针对多个流行软件包中未公开零日漏洞的概念验证利用代码,涉及软件包括7zip、Docker、Firefox、FFmpeg、Ghidra、libssh2、Nmap、PHP和VLC。
Linux内核__ptrace_may_access()存在0-day漏洞,非特权用户可读取root拥有的文件,例如SSH主机密钥和/etc/shadow。该漏洞影响众多发行版和内核版本,已有针对ssh-keysign和chage的利用代码可用。