2015年 第10周 微信公众号精选安全技术文章总览

洞见网安 2015-3-9

0x1 再谈CVE-2014-6332的dve利用分析

ADLab 2015-03-12T15:50:26

本文详细分析了CVE-2014-6332漏洞的利用方式，该漏洞影响微软IE浏览器所有版本。文章首先介绍了该漏洞的背景和影响，指出它允许攻击者绕过安全防护措施，如DEP、ASLR和CFI。接着，文章深入探讨了漏洞的原理，解释了vbs脚本在处理数组重定义时由于整数溢出导致的SafeArray结构容量增大。文章进一步分析了利用该漏洞的dve（Data Execution Vulnerability）技术，包括关键数据结构和代码片段的调试分析。通过这些分析，文章揭示了dve的利用思路，包括如何通过type confusion和内存布局重叠来获取任意内存操控能力。最后，文章总结了整个利用过程，并强调了在vbs虚拟机中对变量进行赋null值时，变量会携带上求值栈上残留的数据，这是攻击者利用的关键。

漏洞分析 安全漏洞 代码漏洞 漏洞利用 安全防护 网络攻击 浏览器安全 脚本语言安全

0x2 i 安全丨警惕！Google漏洞可伪造域名邮箱钓鱼

信安世纪 2015-03-11T18:18:14 中关村在线

u3000u3000近日Google Apps for Work曝出一个漏洞，攻击者可以利用该漏洞伪造任意网站的域名邮箱，冒

0x3 Google漏洞可伪造域名邮箱钓鱼

安信天行 2015-03-10T17:39:41

近日Google Apps for Work曝出一个漏洞，攻击者可以利用该漏洞伪造任意网站的域名邮箱，冒充公

本站文章为人工采集，目的是为了方便更好的提供免费聚合服务，如有侵权请告知。具体请在留言告知，我们将清除对此公众号的监控，并清空相关文章。所有内容，均摘自于互联网，不得以任何方式将其用于商业目的。由于传播，利用此文所提供的信息而造成的任何直接或间接的后果和损失，均由使用者本人负责，本站以及文章作者不承担任何责任。