kitsch0x97的博客

当系统或应用程序通过 Fiona 依赖的 GDAL 版本处理地理空间数据中的 ZIP 文件时，攻击者可以利用特制的 ZIP 文件触发漏洞，导致内存崩溃，甚至可能执行恶意代码。GDAL 在处理地理空间数据时，可能需要解压缩ZIP格式的文件，这也是为什么 GDAL 依赖于 MiniZip。由于 GDAL 使用了 MiniZip，这使得 GDAL 受到 CVE-2023-45853 的影响，特别是在处理未检查的 ZIP 文件时，如果这些文件中包含恶意构造的文件名、注释或额外字段，就有可能触发该漏洞。

产品依赖于一个或多个第三方组件，这些组件包含已知的安全漏洞。由于这些漏洞尚未被修复，可能会被攻击者利用，从而危及产品的整体安全性。未能及时更新或替换这些第三方组件可能导致严重的安全风险。具体来说，许多产品足够大或足够复杂，以至于其部分功能使用了由非产品创建者的第三方开发的库、模块或其他知识产权。例如，在某些硬件产品中，甚至整个操作系统也可能来自第三方供应商。无论是开源还是闭源，这些组件都可能包含已知的漏洞，攻击者可以利用这些漏洞来危害产品。

论文名称 发表时间 发表期刊 期刊等级 研究单位 LibAM: An area matching framework for detecting third-party libraries in binaries 2023年 TOSEM CCF A 信工所 研究背景：第三方库(TPL)被广泛应用于软件开发中，以加快开发进度和集成外部功能。然而，不安全的TPL重用可能导致严重的安全风险。现有检测TPL重用的方法通常依赖于提取字符串或进行函

物联网设备在工业、消费类等各个领域得到了广泛应用，实现了更高的自动化和生产率。然而，这些连网设备的高度依赖也带来了一系列网络安全威胁，特别是IoT设备固件漏洞问题，往往在开发和部署过程中被忽视。针对这一问题，亟需制定全面的安全策略，包括对IoT设备固件环境(软件组件、存储、配置、交付、维护、更新等)进行审计，并评估相关审计工具和技术的有效性。：（1）从整体的视角全面梳理了IoT固件漏洞评估的最新技术，涉及系统属性、访问控制、硬软件重用、网络接口、镜像管理、用户意识、合规性以及对抗性等八大方面。

对 Awesome-Binary-Similarity 中列出的论文进行调研，重点总结这些论文的与。