一般的な認識とは異なり、DNS TXTレコードは255バイトに制限されていません。TCPとカスタムJSONパースを活用することで、開発者はこの制限を回避し、最大64KBのデータを送信することに成功しました。カスタムGoサーバーとGoogle Public DNSのJSON APIを使用して、TXTレコード内に大きなバイナリファイルを転送しました。この実験は巧妙なハックを示しており、特に潜在的なDNSトンネリング攻撃に関するセキュリティ上の懸念を引き起こします。
続きを読む
Gitの脆弱性により、攻撃者は悪意のある.gitmodulesファイルを作成することで、Unix系システムでリモートコードを実行できるようになります。この脆弱性は、キャリッジリターン(CR)とラインフィード(LF)文字の処理における矛盾点を突いています。CRLFを注入することで、攻撃者はサブモジュールのパスを変更し、サブモジュールを予期しないディレクトリにクローンしてコードを実行できます。この問題は修正済みです。Gitとその埋め込みバージョンをアップデートしてください。
続きを読む
この記事では、VT100のDECDHLエスケープシーケンスを使って、ターミナルに拡大された絵文字を表示する巧妙な方法について説明しています。絵文字の上半分と下半分を連続する2行に出力することで、垂直方向の拡大効果を実現できます。この記事では、異なる絵文字を組み合わせて斬新な効果を生み出す方法、例えば、無表情の顔と口のない顔を組み合わせて新しい絵文字を作成する方法を示しています。また、Kittyターミナルにおけるテキストサイズ変更のより現代的な方法についても触れています。全体として、この文章は、ターミナルにおける絵文字操作について、楽しく洞察に富んだ視点を与え、ビンテージと最新のターミナル技術の両方を示しています。
続きを読む
新しいターミナルエミュレータGhosttyが最近バージョン1.0をリリースしました。セキュリティ研究者のDavid Leadbeaterは、2003年のCVEに似た脆弱性(CVE-2024-56803)を発見し、攻撃者がターミナルのタイトルクエリ機能を利用して任意のコードを実行することを可能にしています。この脆弱性は、ターミナルのインバンドシグナリングと、viモードでのZshの動作を利用しています。攻撃者は、巧妙に作成されたエスケープシーケンスを使用して、ユーザーの知らずに悪意のあるコマンドを実行し、SSH経由でリモート攻撃を行うことさえできます。Ghostty 1.0.1はこの問題を修正しており、ユーザーはアップグレードするか、アドバイザリで提供されている軽減策を適用することを推奨されています。
続きを読む