每日安全动态推送(25/3/3)

文章预览

•  GNU Emacs 30.1修复两个CVE漏洞 https://sectoday.tencent.com/event/iATYU5UBW7f1uUFHnrty 在最新发布的GNU Emacs 30.1版中，解决了两个重要的CVE漏洞：shell注入漏洞(CVE-2025-1244)，以及与'trusted-content'选项相关的安全问题(CVE-2024-53920)。此次更新增强了对不受信任的.el文件处理方式，禁止了其中可能存在的自动完成特性，并将enable-local-eval设为了nil值来提高安全性。此外，新增了一个'trusted-content'选项，使用户能够明确标识可信赖的文件及目录，从而有效规避来自未知来源的内容带来的风险。 •  利用过时的Electron功能在著名日本聊天工具中实现RCE https://flatt.tech/research/posts/escaping-electron-isolation-with-obsolete-feature/ 本文详细揭示了如何利用日本流行聊天工具Chatwork中的多个安全问题，通过一个已废弃的Electron特性实现远程代码执行。作者巧妙地结合了暴露于预加载上下文的危 ………………………………