#今天又看了啥 #信息安全
QQ/TIM 存在读取 Chrome 系列浏览器历史记录行为
https://bbs.pediy.com/thread-265359.htm
https://www.v2ex.com/t/745030

#今天又看了啥 #GitHub
真正的 色圖網站
https://colorsite.librian.net/
BTW, GitHub repo

#今天又看了啥 #安全 #openssl

NULL pointer deref in signature_algorithms processing (CVE-2021-3449)
一个拒绝服务漏洞，由空指针引用错误引起。对于默认配置下使用 OpenSSL 的软件，恶意构造的请求可以让服务端崩溃。
A server is only vulnerable if it has TLSv1.2 and renegotiation enabled (which is the default configuration). 受影响范围 1.1.1+
CA certificate check bypass with X509_V_FLAG_X509_STRICT (CVE-2021-3450)
受影响范围 1.1.1h+

OpenSSL 1.1.1k 修复了上述漏洞

See also:
OpenSSL Security Advisory [25 March 2021]
OpenSSL fixes high-severity flaw that allows hackers to crash servers

#今天又看了啥 #security #Windows
搜狗输入法0day，绕过锁屏有手就行

搜狗输入法可绕过Window10锁屏，该方法目前仍然有效，且Win11复现成功，有些输入法存在“游戏中心”，有些输入法不存在，应该是版本问题。

https://mp.weixin.qq.com/s/naqT_o6Q-DHU9f6pJffAbg

TL;DR
在锁屏界面切换搜狗输入法，打开虚拟键盘，右键搜狗 logo 进入游戏中心，任意打开游戏弹出网页 QQ 登录界面，使用 QQ 下载拉起资源管理器，cmd 启动！甚至还是 system 权限！

震惊！Windows 2000 锁屏绕过又回来了！