CVE-2021-34704：拒絕服務漏洞

　　思科自適應安全設備軟件和 Firepower 威脅防御軟件 Web 服務存在拒絕服務漏洞。

　　https://www.infosecurity-magazine.com/news/cisco-flaw-affects-firewalls/

　　Microsoft Edge 中代碼執行漏洞

　　在 Microsoft Edge 中發現了一個可能導致遠程代碼執行的漏洞。

https://www.cisecurity.org/advisory/a-vulnerability-in-microsoft-edge-could-allow-for-arbitrary-code-execution_2021-149/

　　研華 R-SeeNet 中的多個漏洞

　　用于監控研華路由器的系統R-SeeNet存在CVE-2021-21920、CVE-2021-21921和CVE-2021-21922等漏洞。

　　https://blog.talosintelligence.com/2021/11/re-see-net-advantched-vuln-spotlight.html

　　CVE-2021-2442：權限提升漏洞

　　影響 Oracle VM VirtualBox 的漏洞可能被攻擊者利用來破壞虛擬機管理程序并導致拒絕服務 （DoS） 。

　　https://thehackernews.com/2021/11/researchers-detail-privilege-escalation.html

　　Fortinet FortiWeb任意代碼執行漏洞

　　研究人員在 Fortinet FortiWeb 中發現了一個允許任意代碼執行的漏洞。

　　https://www.cisecurity.org/advisory/a-vulnerability-in-fortinet-fortiweb-could-allow-for-arbitrary-code-execution_2021-150/

　　Azure Sphere 漏洞回顧

　　總結之前關于該漏洞的發現，以及攻擊者如何利用它們，和這對用戶意味著什么。

　　https://blog.talosintelligence.com/2021/11/a-review-of-azure-sphere.html

　　如何調查云中的服務提供商信任鏈

　　此博客概述了事件響應者可以采取的步驟，以調查這些委派管理員權限的潛在濫用，獨立于攻擊者。

　https://www.microsoft.com/security/blog/2021/11/22/how-to-investigate-service-provider-trust-chains-in-the-cloud/

　　使用繞過生物識別身份驗證

　　研究人員證明，無需使用任何復雜或不常見的工具，只需 5 美元即可克隆指紋以進行生物識別認證。

https://www.bleepingcomputer.com/news/security/biometric-auth-bypassed-using-fingerprint-photo-printer-and-glue/

　　Microsoft Edge 新增 Super Duper 安全模式

　　Microsoft Edge 瀏覽器中添加了“Super Duper 安全模式”，可在不顯著降低性能的情況下提高安全。

　　https://www.bleepingcomputer.com/news/microsoft/microsoft-edge-adds-super-duper-secure-mode-to-stable-channel/

　　安/全/工/具

　　02

　　TOOLS

　　GNUnet - 點對點框架

　　GNUnet 是一個點對點框架，提供了一個傳輸抽象層將網絡流量封裝在 UDP、TCP、HTTP和SMTP 消息中。

　　https://packetstormsecurity.com/files/164924/gnunet-0.15.3.tgz

　　Atomic Threat Coverage

　　自動生成可操作的分析，旨在從檢測、響應、緩解和模擬的角度對抗基于MITRE ATT&CK的威脅。

　　https://securityonline.info/atomic-threat-coverage-combat-threats-based-on-mitres-attck/

　　Gotanda - 瀏覽器的OSINT擴展

　　Gotanda 是 Firefox/Chrome 的 OSINT擴展，可以從網頁中的某個 IOC 中收集OSINT信息。

　　https://www.kitploit.com/2021/11/gotanda-browser-web-extension-for-osint.html

　　SQLbit - SQL盲注的腳本

　　用于自動化基于布爾值的SQL盲注的腳本，與 SQLite 一起使用支持使用 cookie。

　　https://securityonline.info/sqlbit-automatize-boolean-based-blind-sql-injections/

　　HyenaeNg - 數據包生成器

　　Hyenae NG（下一代）是 Hyenae 工具的重寫，是高級跨平臺網絡數據包生成器。

　　https://www.kitploit.com/2021/11/hyenae-ng-advanced-cross-platform.html

　　Spam Scanner - 垃圾郵件掃描器

　　是一種反垃圾郵件、電子郵件過濾和網絡釣魚防護服務。

　　https://securityonline.info/spam-scanner-the-best-anti-spam-email-filtering-and-phishing-prevention-service/

　　Fhex - 十六進制編輯器

　　功能齊全的十六進制編輯器，基于qhexedit2、capstone和keystone引擎。

　　https://www.kitploit.com/2021/11/fhex-full-featured-hexeditor.html

　　SGC - 自動化攻擊

　　SGC 是一種自動合成小工具鏈的工具，可以實現代碼重用攻擊自動化。

　　https://securityonline.info/sgc-towards-automating-code-reuse-attacks-using-synthesized-gadget-chains/

　　JVMXRay - Java 安全事件分析

　　用于監控對 Java 虛擬機內系統資源的訪問的技術，對軟件質量流程和診斷很有幫助。