盐酸乙酰胆碱

AFuture: 我艹，天才！ github.com/JadyXuan/NTTS https://twitter.com/AFutureD/status/1791301652282319233

这验证码很有特色，直接不演了 https://m.zui.com/iunlock

git CVE-2024-32002, CVE-2024-32004, CVE-2024-32020 and CVE-2024-32021 fixed versions: v2.39.4, v2.40.2, v2.41.1, v2.42.2, v2.43.4 and v2.44.1, v2.45.1 * CVE-2024-32002: Recursive clones on case-insensitive filesystems that support symbolic links are susceptible to case confusion that can be exploited to execute just-cloned code during the clone operation. * CVE-2024-32004: Repositories can be configured to execute arbitrary code during local clones. To address this, the ownership checks introduced in v2.30.3 are now extended to cover cloning local repositories. * CVE-2024-32020: Local clones may end up hardlinking files into the target repository's object database when source and target repository reside on the same disk. If the source repository is owned by a different user, then those hardlinked files may be rewritten at any point in time by the untrusted user. * CVE-2024-32021: When cloning a local source repository that contains symlinks via the filesystem, Git may create hardlinks to arbitrary user-readable files on the same filesystem as the target repository in the objects/ directory.

#群友交汇

今天是中国互联网30岁的生日！🎉 无论如何，三十年间，它将亿万个你我相连，纵使远隔万里，亦能心意相通！ 让我们期待下一个三十年是什么样子吧！

在 R4S/RK3399 用 PVE 虚拟化跑 OPNsense 看起来是个糟糕透顶的主意

结论：疑似攻击者通过利用错误MIME type实现客户端欺骗。 涉及Telegram中的两个API功能——sendVideo和InputFile。 sendVideo中的video字段支持两种输入方式，“InputFile or String”， - （String）传递一个文件 ID（以字符串形式）来发送存储在 Telegram 服务器上的视频（推荐做法） - （String/InputFile）传递一个 HTTP URL（以字符串形式）以便 Telegram 从互联网获取视频 - （InputFile）使用 multipart/form-data 上传一个新视频。 问题出在第二种，InputFile - Sending by URL时，目标资源可以拥有一个自定义的MIME标签，以指示其他Telegram客户端应该以什么方式加载这个资源。 而这些不怀好意的.pyzw文件，（可能由于漏洞）在这里都被指定为了video/mp4，导致其他Telegram客户端将以播放器模式展示这个文件。 响应标头：>图1< 请求方json：

{
  "dcId": number,
  "location": {
    "_": "inputDocumentFileLocation",
    "id": "*",
    "access_hash": "*",
    "file_reference": [
      *, *, *, *
    ]
  },
  "size": 42,
  "mimeType": "video/mp4",
  "fileName": "***.pyzw"
}

另外，Telegram Desktop的影片播放方式决定了Telegram Desktop将会把这些较小的视讯资源放置在本地下载目录，然后通过“执行”的方式来加载本地影片至内嵌播放器，这也就是为什么在用户点击这些“假影片”后会自动执行攻击者编写的代码。

后续: https://vxtwitter.com/telegram/status/1777677055837995151

0 Day 安全提醒: Telegram Desktop <=4.16.4 有自动执行代码漏洞 消息来源: https://t.me/strykerapp/453 https://t.me/exploitorg/30