solidot新版网站常见问题,请点击这里查看。
安全
WinterIsComing(31822)
发表于2014年10月02日 15时00分 星期四
来自打地鼠
Shawn the R0ck 写道 "CVE-2014-6277和CVE-2014-6278终于曝光,POC:bash -c "f() { x() { _; }; x() { _; } <<a; }",漏洞的发现者Michal Zalewski给出了详细的分析,BASH社区补丁还在紧急的修复中,因为涉及backporting中的一些比较蛋疼的问题,预计UPSTREAM得到这个礼拜末才能完成修复工作,也就是说GNU/Linux发行版最早应该会在本周末或者下个礼拜才能修复,在这一段时期特别对于生产环境的服务器是比较危险的,有2个方法来降低风险:1,ASLR/PIE/NX/CANARY/RELRO加固Bash重新部署;2,保证你的机器至少使用了Florian Weimer的补丁。"
安全
WinterIsComing(31822)
发表于2014年10月02日 11时15分 星期四
来自走向世界
Lacoon移动安全公司的研究人员报告了一个感染iOS越狱手机的中国间谍程序Xsser mRAT,它的主要攻击目标是香港的抗议者。Xsser与此前发现的Android间谍程序共享了相同的指令控制服务器域名。之前发现的Android间谍程序伪装成协调占中示威者的应用,通过Whatsapp传播。研究人员认为,针对 iOS 和Android设备的跨平台攻击与中国政府有关联。Xsser mRAT是至今发现的第一个也是最先进的中国产 iOS木马。感染Xsser需要设备越狱和安装 Cydia。在中国,iOS设备的越狱相当流行,iOS 7的越狱方式是中国黑客组织haX0r发现的。在感染了Xsser后,恶意程序会窃取短信、电子邮件、照片、即时通讯、位置数据、用户名和密码,呼叫日志和联系人信息。Xsser mRAT在设备启动后会立即运行,能动态更新。
娱乐
WinterIsComing(31822)
发表于2014年10月02日 08时56分 星期四
来自管天管地管世界
中国互联网举报中心官网在一篇新闻稿中谴责Facebook和Youtube删帖不力,“网民举报,脸谱(Facebook)、优兔(Youtube)等境外网站传播暴恐有害信息,发布恐怖组织‘东伊运’宣扬‘圣战’的暴恐视频。经举报中心转交后,两家网站对有害信息的处置反应滞后、删除率很低。举报中心对脸谱(Facebook)、优兔(Youtube)等网站消极对待网民举报暴恐信息予以谴责。”Facebook和Youtube都是从2009年开始封锁至今,新闻稿没有提举报的网民是通过什么方法访问到Facebook和Youtube。
安全
WinterIsComing(31822)
发表于2014年10月02日 08时08分 星期四
来自亚马逊已经重启
Shawn the R0ck 写道 "Xen是大规模部署的虚拟化方案之一,这一轮的*EMBARGO*一共曝光了5个漏洞,其中最后一个已经于北京时间2014年10月1日晚上披露,这个编号CVE2014-7188的漏洞是由SUSE Linux的工程师Jan Beulich发现的,Xen和KVM的实现略有不同,在x86架构上,其hypervisor是运行于RING-0的,而传统的linux内核host运行于RING-1,通常的系统调用是直接CALL到RING-1,只有hypercall才是CALL到RING-0,引发这个漏洞的代码在于对于高级电源管理的hypercall中的实现本来只能访问到256个MSR(Model-specific Register),而事实上是可以读写访问1024个MSR的,对于写并不会出现什么问题,而读的话则造成了安全隐患,攻击者利用的方式包括:1,读到超过一个页表的地址然后引用造成物理机crash; 2,读取同一台物理机上其他guest的信息从而造成信息泄漏。目前Xen社区已经修复,从补丁看,只是简单的调整了读写范围。这个漏洞只影响了x86平台的实现,ARM平台未受影响。

通常XEN的利用难度都很高,有兴趣的读者可以去看看曾经著名的虚机逃逸漏洞CVE-2012-0217的分析,目前虚机逃逸的成本Xen > KVM > docker。 "
比特币
WinterIsComing(31822)
发表于2014年10月01日 22时16分 星期三
来自1人0.5美元
Reddit从B轮融资中获得了5000万美元投资,它计划创造虚拟货币,将本轮10%的股权回馈给社区。Reddit CEO Yishan Wong在网站上表示,“我们正在考虑创造一种加密货币,让它可以兑换Reddit的这部分股份(或者说可以用股份购买),接着将这些货币分配给社区。投资者们在投资条款中已经明确同意了这一点。以前从来没有发生过这样的事情。基本上,我们需要确认如何正确做好每一个步骤(这从技术上、法律上、财务上都相当复杂),尽管在我们与一位前SEC(美国证券交易委员会)律师进行的简短咨询中,他认为这一计划并无违法之处。不过,我们需要搞定无数项工作才能让这一计划得以实行,因此还要继续努力。”这项计划处于初级阶段,可能的方式是社区成员根据他们的贡献值得到发放的Reddit币。用户能够购买、出售、交易手中的股权。
媒体
WinterIsComing(31822)
发表于2014年10月01日 21时40分 星期三
来自
paopao 写道 "近日有报道指,台湾媒体对香港占中冷处理,引起学者及评论人批评。香港独立媒体取得一份据说是“今日新闻指示(NOWnews)”的备忘录,类似大陆媒体内部常见的“宣传指示”,内容相当详细,包括“不报太多,不要太突出”,“不要有攻击大陆对港政策”等等。同时,指示中亦提及“询问过合作伙伴”,但并无明确指出“合作伙伴”是谁。国立交通大学的戴瑜慧教授分析,台湾媒体新闻自由受到大陆官方影响及控制,特别在2008年京奥之后浮上台面,中国政府鉴于不少外国媒体批评中国人权及政治问题,所以,经过几次以“文化走出去”为题的会议后,有系统地收购包括台湾以内的媒体。其中以旺旺集团蔡衍明最为注目,曾引起反媒体垄断运动。但是,这次“今日新闻网”事件说明,这已不是个别媒体的问题了。"
新闻
WinterIsComing(31822)
发表于2014年10月01日 19时33分 星期三
来自美国伞
skyfiretime 写道 "据 BBC 报道,美国 Texas 出现了全美第一例 Ebola 病例。这位病人为男性,9月19日从利比里亚乘飞机回美探亲,但在走访亲戚时并没有表现出 Ebola 病毒的症状。直到9月24日该病人呈现出 Ebola 病毒的症状;9月28日他所患病毒得到确认,被隔离。同时美国的医疗工作者正在寻找与其发生过接触的人群,而他们将被隔离观察21天。值得注意的是,在病毒症状凸显以前,Ebola 病毒并不具有传染性,所以19日与他同机的乘客应当没有被传染。由于非洲多个国家的医疗水平低下,加上 Ebola 病毒目前并没有特效药,才导致 Ebola 病毒在非洲的广泛传播。在发达的美国,这种可能性就微乎其微了。(本文中时间应为美国当地时间)"
iPhone
WinterIsComing(31822)
发表于2014年10月01日 17时02分 星期三
来自怒发冲冠
[X || X <- [1,2,a,3,4,b,5,6], X > 3] 写道 "施普林格出版集团旗下的“Computer Bild”是发行量最大的德语电脑杂志。这份杂志于9月24日发布对iPhone 6 plus的弯折测试视频,苹果(德国)的公关部门作出强烈回应:今后不会向“Computer Bild”发送体验机器,该杂志也不能参加苹果的各类活动。针对苹果公司的决定,“Computer Bild”发表致Tim Cook公开信说,他们在看到一些新上市的iPhone易弯折的新闻后,为避免未经测试情况下向读者发表相关评论而购买了iPhone 6 plus。测试显示这款机型易弯折的程度令人吃惊。杂志并不依赖厂商提供的体验机,读者支付的费用足够让杂志的评测保持中立。公开信最后称苹果公司缺乏相互尊重的行为方式令人遗憾。"
Media
WinterIsComing(31822)
发表于2014年10月01日 14时20分 星期三
来自Simpsons Guy
wmr 写道 "Fox的动画片Family Guy最新一集来到了春田镇,碰到了The Simpsons。Family Guy晚于The Simpsons,被批评抄袭了后者的元素,而且笑话与故事没有关系,南方公园就有过一集讽刺它。

BBC节目The Revolution Will Be Televised拍摄过程中受到了不少投诉,但表示会严肃对待这些投诉。他们的所作所为让人觉得“做人别太BBC”。"

Windows
WinterIsComing(31822)
发表于2014年10月01日 09时30分 星期三
来自数学已经给了老师
Windows 8.1之后不是Windows 9而是Windows 10。微软在旧金山举行的新闻发布会上正式宣布了下一代操作系统Windows 10技术预览版(已经放出)将在今天发布。微软正将桌面、笔记本、平板、主机和手机的使用体验统一起来,将根据你使用的设备切换到不同桌面模式,比如Surface Pro 3平板在插入键盘之后将从平板模式切换到对键盘和鼠标友好的桌面模式。Windows 10中,融合了标准开始菜单和Metro应用的新 Start 按钮将会回归。Windows 10还将加入用户期待已久的多桌面功能,而且支持将一个桌面的对象转移到另一个桌面。Windows 10正式版将在2015年发布。
Android
WinterIsComing(31822)
发表于2014年09月30日 23时05分 星期二
来自刷CM
Google对Android合作伙伴如三星和华为提出了新的要求。The Information浏览的机密文件显示(付费墙),Google要求合作伙伴将Android设备上预装多达20款Google应用,在主屏上放置更多的Google应用图标,突出Google搜索。这些Google应用大部分推测应该属于闭源的Google Mobile Services (GMS)应用,为了减少Android的碎片化,Google正将越来越多的核心功能迁移到GMS,Android厂商使用GMS需要遵守一定的条件。
审查
WinterIsComing(31822)
发表于2014年09月30日 22时56分 星期二
来自谁叫你用微信
paopao 写道 "自从9月28日戴耀廷等人宣布“占中启动”的几乎同时,中国大陆开始明显加强了力度屏蔽来自香港的讯息以微信为例,身处香港的用户发现已无法发送占中现场图片和讯息在微信朋友圈──本人账号可见,互相关注的朋友们却看不见"
教育
WinterIsComing(31822)
发表于2014年09月30日 22时18分 星期二
来自有钱不拿
《纽约时报》报道,芝加哥大学暂停了与中国汉办续签备受争议的孔子学院协议的谈判。美国和欧洲有越来越多的学者认为,全球各地的孔子学院紧密反映了中共的意识形态,他们对此表示关注,称在重视学术自由的大学里,孔子学院不能在核心教育中占有一席之地。汉办表示,在过去十年中,它已在123个国家和地区建立了465所孔子学院和713所孔子课堂——这样的大规模运作,已经引起了一些人对其意图的怀疑。
审查
WinterIsComing(31822)
发表于2014年09月30日 20时27分 星期二
来自香港
陈少举 写道 "去年一月份,GitHub遭受到的国家级的SSL中间人攻击,在今年八月份,教育网的Google IPv6访问也遭受到了同样的SSL中间人攻击。而在今天,Yahoo也遭受到了SSL中间人攻击。今天(2014-09-30)下午四点左右,GreatFireChina观察到Yahoo在中国大陆遭受到了SSL中间人攻击,浏览器发出了证书错误的警告。

可能由于流量过大导致SSL劫持设备资源消耗过于厉害,一些地区间歇性无法通过HTTPS访问Yahoo。在使用其他地区的VPS进行访问后,通过分析伪造的SSL证书,与之前Google IPv6所遭受的SSL攻击所使用的证书多处相似:使用相同的签名算法和签名哈希算法、颁发者均以 C=cn 结尾,有效期均为一年,公钥均为RSA 1024 Bits,并且 Netscape Comment 同为“example comment extension”。

而根据抓包结果,在遭受SSL中间人攻击时,使用的是TLSv1协议,但是未被SSL中间人攻击的情况下,应为TLSv1.2,这一点也和Google在教育网的IPv6地址遭受SSL中间人攻击的现象一致

截至到目前,此次SSL中间人攻击仅影响各个国家的Yahoo主站并未影响到包括登录(login.yahoo.com)、邮箱(mail.yahoo.com)等网址。"

评论
WinterIsComing(31822)
发表于2014年09月30日 15时50分 星期二
来自我们不害怕它已经被封了
《金融时报》的一篇评论认为,欧盟委员会对Google的反垄断调查,将检验其是否有能力扭转自身权力受到无形侵犯的情况。让欧盟委员会不满的核心问题是Google的“延伸搜索”功能,它让我们省去几次点击,减少几个中间人。搜索“天气”时,Google现在将直接显示天气预报,而不是引导我们去别的网站。Google表示,这么做是有益的。但这家搜索引擎公司还想要进一步掌握我们的习惯、日程和社交圈,预知我们的需求。执行主席Eric Schmidt曾将其称为“巧遇引擎,声称这就是搜索的未来。Google把广告与“巧遇引擎”先知先觉的种种可能结合起来,就可能把公民变成机器人——他们将一方面沉浸在自由意志的幻觉中,另一方面却生活在一个由选项、推送和建议组成的世界里,而这些选项、推送和建议是由仅为盈利目的而优化的自主算法生成的。迄今为止,仅在中国和俄罗斯出现了类似Google的公司——动因是担心来自外国的间谍活动——尽管其业务模式几乎毫不尊重个人隐私。
安全
WinterIsComing(31822)
发表于2014年09月30日 15时40分 星期二
来自屏蔽CloudFlare
提供CDN、防DDos攻击等云计算服务的CloudFlare宣布向包括免费用户在内的所有客户提供免费SSL支持。CloudFlare将为大约200万不受保护的网站加入SSL支持,以前SSL支持只提供给每月至少支付20美元的客户。浏览器先连接到CloudFlare的服务器接收CloudFlare提供的证书,然后CloudFlare连接目标网站服务器获取内容,它充当了某种反向代理的功能。这项被称为Universal SSL的服务对免费用户有限制,CloudFlare只支持扩展支持Server Name Indication(SNI)协议的现代浏览器,这意味着它不支持IE6及之前版本、运行Android 2.2或更旧版本的Android浏览器。
无线网络
WinterIsComing(31822)
发表于2014年09月30日 14时42分 星期二
来自以反恐名义封杀之
mtjs 写道 "正在进行中的香港中环抗议行动造成了全球影响,昨日台湾和伦敦特拉法家广场都举行了声援活动,作为现代群众运动的一个特点,网状网(Mesh Networks)的使用日益普遍,我记得几年前的阿拉伯之春进入埃及后开罗自由广场上的人们就使用了该技术。作为手机联系,目前在网状网应用中最主要的是 FireChat (Open Garden),MN是一种非常具有弹性的联接形式,任何组织都无法关闭和控制,除非关掉所有的手机信号接入点,它就像干燥原野上的一点火星,只要一处有就会迅速蔓延,不过由于其使用蓝牙连接,距离是个问题,必须人群十分密集才能流畅工作,据MIT技术评论29日文章,新一代的超远程无线网状连接特性已经加入到了LTE(Long-Term Evolution)通讯协议中,它允许手机用户直接互相通讯无需经过基站转达,手机直连半径为500米,远超WIFI和蓝牙的工作范围,能够实现这一功能的设备最早将在2015年出现,这种技术的特点必将让它彻底融入人类生活之中,而作为信标的商业运用前景也无可限量,届时个人数据通讯终端会成为其主人的雷达和“第六感”,让你更舒适的参与到生活和工作活动之中。"
iPhone
WinterIsComing(31822)
发表于2014年09月30日 14时30分 星期二
来自囤货的人要哭死了
在工信部发放iPhone6手机进网许可之后,苹果宣布iPhone 6和 iPhone 6 Plus将于10月17日在中国上市。工信部解释了直到现在才批准iPhone6进网的原因:委托安全检测机构的检测发现iOS三个后台服务程序存在被利用的可能性,苹果回应称这三个后台服务程序为诊断工具,“不允许苹果公司在没有用户同意的前提下介入任何信息,已经在iOS8中采取了措施,允许用户清除已授信电脑的名单列表,从而使恶意使用诊断工具变得更加困难”,“进一步提升用户的安全性和隐私保护”,承诺“从未与任何国家的任何政府机构就任何产品或服务建立过所谓的‘后门’”,并且“永远不会”。分析人士说,苹果正面临来自政府日益增大的审查压力。苹果称,16GB版的 iPhone 6售价5288元(860美元),16GB版的 iPhone 6 Plus售价6088元。
Firefox
WinterIsComing(31822)
发表于2014年09月30日 11时12分 星期二
来自体积膨胀
Tor匿名网络也许会在不久的未来增加数以亿计的新用户。Tor执行董事Andrew Lewman透露,多家大型科技公司正与Tor协商将Tor整合到他们的产品中,其中一家公司是浏览器开发商,这家公司考虑将Tor用于隐私浏览模式,允许用户连上Tor网络,类似基于Firefox的Tor Browser。Lewman称,这家公司的浏览器占据了全球10%到20%的市场份额。虽然他拒绝透露公司的名字,但显然满足条件的浏览器只有Mozilla的Firefox。根据Net Market Share的数据,Firefox是目前第三流行的浏览器,占有率15.23%。
互联网
WinterIsComing(31822)
发表于2014年09月30日 09时00分 星期二
来自只影响很小很小一部分人
scinart 写道 "腾讯WebQQ的官网web.qq.com发布公告,宣布将在年底关闭。webqq一旦停用,那么基于webqq协议的库(如lwqq)和软件(如pidgin-lwqq)很可能也随之不能用。这意味着Linux用户再也无法在电脑上使用任何形式的QQ服务。webqq网站已经很长时间没有维护,目前页面源代码中依然有2013年9月份左右加入的"前端特工"的广告。