wnagzihxa1n

wnagzihxa1n

iOS/Android Security

© 2021

浏览器安全周报 2019.10.27 - 2019.11.01

抢到了林俊杰演唱会的门票,去重庆浪了一波,拖到现在更新一波安全周报

JSC: GetterSetter type confusion during DFG compilation

  • https://bugs.chromium.org/p/project-zero/issues/detail?id=1915

WebKit: Universal XSS in HTMLFrameElementBase::isURLAllowed

  • https://bugs.chromium.org/p/project-zero/issues/detail?id=1916

以下这个漏洞可以学习下审计的思路,剩下我不多说了

  • https://blogs.projectmoon.pw/iOS/iOS_13_1_3_Full_Chain_Eop.pdf

这篇文章里面提到MACF的全名为强制访问控制框架,iOS/macOS中的MACF来源于TrustedBSD,像代码签名,沙盒,库验证都依赖于MACF

有一篇相关的论文大家可以读一读《New approaches to operating system security extensibility》

更多的细节大家可以学习360 Nirvan Team在2017 ISC上的分享《手把手教你突破 iOS 9.x 用户空间防护》,里面非常详细的讲解了MACF的设计原理和设计实现

这几天有一个名单传的比较火

2018-2020青年安全圈-活跃技术博主/博客

  • https://github.com/404notf0und/Security-Data-Analysis-and-Visualization

满怀期待想看看别人是怎么介绍我的

emmmmmmmmmmm,翻了两遍

我已经被排除在活跃技术博主的范围之外了

肯定是我太懒了!