每日安全动态推送(24/10/22)

正文

请到「今天看啥」查看全文

本文深入分析了CVE-2024-31317，一个影响广泛的Android用户模式漏洞，并详细介绍了利用研究和方法。该漏洞允许攻击者获得任意UID的代码执行权限，其影响力堪比作者多年前发现并荣获黑客奥斯卡最佳提权漏洞奖的小马（Mystique）漏洞。

•  JIT引擎触发RowHammer可行性研究
Exploring the Feasibility of Exploiting RowHammer Vulnerabilities in Web Browsers from a Scripting Language Perspective

本文深度探讨了RowHammer漏洞及其潜在的新型攻击途径：通过Web浏览器上的脚本语言触发。作者详细分析了几种流行的JIT编译技术，包括Java HotSpot、Chrome V8、.NET CoreCLR及Firefox SpiderMonkey，评估它们用于发动RowHammer攻击的可能性。尽管结果表明现有技术条件下直接触发RowHammer较为艰难，但这仍是对网络安全领域的重要贡献，揭示了未来防御策略的新方向。

请到「今天看啥」查看全文