文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。
solidot新版网站常见问题,请点击这里查看。
Solidot 公告
投 票
热门评论
- 先能过了小米高考再说 (1 points, 一般) by ooxx 在 2025年01月06日15时43分 星期一 评论到 小米修改了引导程序解锁政策
- (1 points, 一般) by 18611782246 在 2024年12月18日18时06分 星期三 评论到 司机死于阿尔茨海默病的可能性较低
- BaD kEyBoArD: eXtRa SpAcE (1 points, 一般) by lot 在 2024年12月11日04时10分 星期三 评论到 高温环境可能加速衰老
- BaD kEyBoArD: tYpO (1 points, 一般) by lot 在 2024年12月11日04时09分 星期三 评论到 Goolge 宣布了新量子芯片 Willow
- 喵喵喵 (1 points, 一般) by solidot1733326472 在 2024年12月04日23时35分 星期三 评论到 澳大利亚面临太阳能供大于求
- 懂了 这就去安装刺客信条 (1 points, 一般) by Craynic 在 2024年11月27日19时36分 星期三 评论到 微软临时阻止安装刺客信条等育碧游戏的 PC 更新 Windows 11 24H2
- 为了逃避一年多兵役要坐一年牢 (1 points, 一般) by Craynic 在 2024年11月27日19时34分 星期三 评论到 韩国法院判处一名故意增肥以逃避兵役的男子缓刑
- 是否改进质量我不知道 (1 points, 一般) by Craynic 在 2024年11月25日20时43分 星期一 评论到 GitHub 称 Copilot 改进了代码质量
- Linus (1 points, 一般) by Craynic 在 2024年11月25日20时41分 星期一 评论到 Linux 6.13 将拒绝所有来自 bcachefs 作者的合并请求
- 2100年100% (1 points, 一般) by 18611782246 在 2024年11月21日16时30分 星期四 评论到 中国提高了半导体自给率
中国网络空间安全协会发表了一篇文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》,列举了英特尔产品的多个问题,包括 CPU 侧信道漏洞,第 13、14 代高端酷睿桌面处理器不稳定性问题,IPMI(智能平台管理接口),ME(管理引擎)等等,建议对英特尔在华销售产品启动网络安全审查,切实维护中国国家安全和中国消费者的合法权益。英特尔官方微信发表声明,作为一家在华经营近 40 年的跨国公司,英特尔严格遵守业务所在地适用的法律和法规。“英特尔始终将产品安全和质量放在首位,一直积极与客户和业界密切合作,确保产品的安全和质量。我们将与相关部门保持沟通,澄清相关疑问,并表明我们对产品安全和质量的坚定承诺。”
Google 的内部分析估计,四分之三的 0day 漏洞利用属于内存安全漏洞。为了减少此类漏洞,Google 多年来一直在推动使用内存安全语言,减少内存不安全代码的风险。它没有试图用内存安全语言完全重写相关的成熟代码,而是在新代码开发中尽可能的使用内存安全语言。它正将高性能内存安全语言 Rust 的使用范围从 Android 扩大到服务器、应用程序和嵌入式生态系统中。它在 Android 的网络、固件和图形堆栈部分使用了包括 Rust 在内的内存安全语言,过去几年 Android 系统报告的内存安全漏洞显著减少,从 2019 年的 220 多个降至今年年底的大约 36 个。这一结果证明了其战略转移的有效性。
之前的实验表明,智能手机中的陀螺仪和加速计等惯性测量单元(IMU),可以通过检测声波振动监听对话。这意味着,即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息,Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次,使攻击者无法准确获得对话内容。根据发表在预印本平台 arXiv 上的预印本,研究人员发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量,将应用实际采样率从每秒 200 次提高到 400 次,可以突破上述保护措施。利用这种方法,攻击者能修复获得的音频量大大提升。与每秒仅采集 200 个样本相比,他们的方法在 AI 转录时单词错误率降低了 83%。这表明,目前的安全保护措施“不足以防止复杂的窃听攻击发生”,应该对其重新评估。
Windows 10 将于 2025 年 10 月 14 日终止支持,恰好是 365 天之后。大部分 Windows 10 用户将不会再获得安全更新,使用长期支持版本 Long Term Servicing Channel 的客户则还有更多时间,Windows 10 IoT Enterprise LTSC 扩展支持到 2032 年 1 月 13 日,Windows 10 Enterprise LTSC 将支持到 2029 年 1 月 9 日。根据 Statcounter 的统计,截至 2024 年 9 月,Windows 10 仍然是市场占有率最高的 Windows 版本,Windows 10 占 62.79%,之后 Win11 33.37%,Win7 2.85%,Win8.1 0.36%,WinXP 0.34%,Win8 0.22%。
日本科技公司卡西欧证实本月初遭到勒索软件攻击,员工、求职者、合作伙伴和部分客户的数据被盗,客户支付相关的信息未受影响,但随着调查的进一步深入,受影响的范围可能会扩大。勒索软件组织 Underground 此前宣布对此次攻击负责。卡西欧公布了被认为已经被盗的信息:公司及其子公司正式员工、临时个和合同工的个人数据;业务合作伙伴的个人细节;参加面试的求职者个人数据;客户的个人信息;业务合同信息;财务数据;法务、财务、人力、审计、销售等相关的文件。
WordPress 联合创始人兼 Automattic CEO Matt Mullenweg 宣布以“remove commercial upsells and fix a security problem”为由接管了竞争对手 WP Engine 的流行插件 Advanced Custom Fields (ACF),创建分支将其重命名为 Secure Custom Fields。该插件的安装量超过 200 万次。Mullenweg 没有解释所谓的安全问题,他表示此举与 WP Engine 对他及其 Automattic 提起诉讼有关。
10 月 12 日,网友报告收到了广东省教育厅发送的短信,短信内容为繁体字,链接了成人电影网站等非法内容。广东省教育厅回应称,系不法分子入侵了教育厅短信平台,以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。教育厅已第一时间向公安机关报案,并配合开展调查。“请广大师生和家长提高警惕,切勿点击短信中的非法链接,避免个人信息泄露或遭受财产损失。”
在澳大利亚 ABC 披露科沃斯扫地机器人存在安全漏洞容易遭黑客入侵之后,过去几天美国各地都出现了科沃斯机器人被黑客入侵的报告。受影响的型号是 Deebot X2,黑客控制了机器人后使用其内置的扬声器发出种族歧视或仇恨言论。一名受害者是明尼苏达州的律师 Daniel Swenson,他看电视时听到机器人发出奇怪的声音,他修改了密码重启了设备,但没有效果。在洛杉矶,科沃斯机器人报告追着狗跑,同时还发出仇恨言论。
10 月 9 日,Mozilla 释出了紧急更新 Firefox v131.0.2、ESR 128.3.1 和 ESR 115.16.1,修复了一个正被活跃利用的释放后使用远程代码执行漏洞 CVE-2024-9680。Tor 项目随后也释出了相应的更新 Tor Browser v13.5.7(Tor Browser 是基于 Firefox ESR 版本),证实攻击者能利用该漏洞控制 Tor 浏览器,但不太可能在 Tails 操作系统中去匿名化用户。Tails 是基于 Tor 的匿名操作系统。
中国黑客入侵了美国三大 ISP 的系统,访问了专门为执法部门进行监听而创建的安全后门。这一事件凸显了苹果几年前关于加密后门的观点的正确性。当时苹果拒绝了 FBI 的要求,在 iPhone 上创建后门以破解 Bernardino 和 Pensacola 案件枪手的手机。苹果认为,一旦为政府创建了后门,那么黑客发现后门只是时间问题。加密系统要么安全要么不安全,不存在不那么安全的加密系统,其他人能利用加密漏洞是时间问题而不是能不能的问题。法律要求 ISP 为执法部门创建后门用于监听,现在黑客找到并访问了后门。如果苹果为 iPhone 创建了后门,那么情况也会相同。
互联网档案馆 archive.org 遭遇了用户数据泄露。一名黑客入侵了网站,窃取了包含 3100 万条唯一记录的用户身份验证数据库。黑客还创建了一则 JavaScript 警告,在用户访问 archive.org 时警告网站遭到入侵用户数据泄露。Have I Been Pwned 数据泄露通知服务的作者 Troy Hunt 表示,黑客在 9 天前与他分享了互联网档案馆的用户身份验证数据库,名为 ia_users.sql 的 SQL 数据库大小为 6.4GB,包含了注册用户的电邮地址、网名、密码更改时间戳、Bcrypt 哈希密码等数据。数据库含有 3100 万个唯一电邮地址。
研究人员报告一种秘密的挖矿恶意程序感染了数千台运行 Linux 的系统。该恶意程序至少从 2021 年开始传播,它利用愈 2 万个常见错误配置感染系统,还能利用去年修复的 Apache RocketMQ 高危漏洞 CVE-2023-33426,其危险等级 10/10。研究人员将该恶意程序命名为 Perfctl,恶意程序作者为其程序进程起了一个与常见 Linux 进程相似的名字,组合了 perf Linux 监控工具和命令行工具 ctl。该恶意程序利用了多种方法防止其被检测出来,并确保具有持续感染能力,在机器重启或核心组件被删除后仍然能留在被感染设备上。它的主要功能是利用 CPU 挖掘加密货币,以及作为代理工具为付费用户中继网络流量,此外还可以作为安装其它恶意程序的后门。
因 Meta 多年时间里以纯文本存储愈 5 亿用户密码,爱尔兰数据保护委员会 (DPC) 对其处以 1.015 亿美元罚款。该问题是在 2019 年发现的,主要影响非美国用户,Facebook/Meta 此前披露受影响的主要是 Facebook Lite 服务。Facebook Lite 是 Meta 为网速较慢地区用户推出的服务。Meta 被指违反了欧盟数字保护法 GDPR,包括未通知 DPC 纯文本存储用户密码的可能个人数据泄露。Meta 的用户密码没有泄露到外界,但允许其工程师内部访问。
民宿秘密安装摄像头偷拍再次引发了广泛关注,民宿经营者偷拍不是为了满足自己的欲望,而是整个产业链的关键组成部分。一位前民宿经营者称,在 2017 年,她还经营民宿的时候,就有不少民宿同行在装修毛坯房屋时,主动在房间里安装摄像头,每个房间至少有 3-5 个摄像头,并会同步云端,进行直播。“低价高质”的房型是民宿老板们吸引客流的常用手段。一些民宿店老板通常会对房屋进行精致的装潢,并将房间价格定得极低。而学校和景区附近的情趣房、网红房、各类主题房是偷拍的重灾区。对于这些民宿老板,盈利的主要方式并非依靠房费,而是依靠售卖偷拍视频与直播收费观看。有些民宿老板通过售卖偷拍视频或直播观看权的每日收入高达五位数。这些人通常都有团队,形成成熟的产业链——民宿老板负责提供拍摄的视频以及直播资源,并由其他人在网络上进行售卖。一名前民宿从业者告诉记者,为了规避风险,这些卷入偷摄黑色产业链的民宿老板在营业一年后就会将民宿低价转让给外行,但在原民宿房间没有被查出的摄像头依旧可以继续拍摄牟利。
卡巴斯基报告,Google Play 市场提供的两款应用“无他相机(Wuta Camera)”和 Max Browser 被发现含有了恶意 SDK。这两款应用的下载量达到 1100 万次。SDK 表面上支持广告展示,但背后使用了一系列复杂方法与恶意服务器秘密通信,上传用户数据并下载可随时执行和更新的恶意代码。该恶意程序家族被称为 Necro。在包含恶意 SDK 的应用中,无他相机下载量愈千万次,受影响的版本为 v6.3.2.148 到 6.3.6.148, Max Browser 下载量百万次,它已从 Google Play 下架。其它受影响应用包括了 Spotify、Minecraft、WhatsApp、Stumble Guys、Car Parking Multiplayer 和 Melon Sandbox 的修改版本。
美国政府于今年六月以国家安全理由宣布从 7 月 20 日起在美国禁售卡巴斯基,卡巴斯基允许在 9 月 29 日前继续提供起杀毒软件的更新。9 月初,卡巴斯基与美国杀毒软件公司 UltraAV 达成协议,将其美国客户转移到 UltraAV,其客户将保留现有的订阅,还能使用其 VPN 服务。卡巴斯基向其客户发送了邮件通知,但部分客户没有收到或未注意到,他们报告一觉醒来计算机中的卡巴斯基已经被自动替换为 UltraAV,还自动安装了 Ultra VPN。前美国政府安全官员表示,这是授予卡巴斯基访问权限带来安全风险的一个例子。
在对中国电动汽车征收 100% 关税之后,美国商务部准备事实上禁止中国制造的电动汽车,它将以国家安全的理由禁止中国联网汽车软件和硬件在美国公路上行驶。商务部长 Gina Raimondo 表示,外国竞争对手开发的联网汽车可用于监视,可远程控制,威胁到美国人在公路上的隐私和安全。在极端情况下,他们可能关闭或控制在美国的联网汽车,制造车祸,阻塞交通。中国在 2021 年也实施了类似的禁令,禁止特斯拉汽车进入军事基地和其它国有设施。
安全专家 Bruce Schneier 认为以色列的袭击改变了世界。以色列通过引爆在传呼机和对讲机等个人使用的无线设备中植入的塑料炸弹而杀死了至少 37 人。这一行动令世界震惊,但以色列所使用的方法并不新颖,该国以前就通过渗透供应链在设备中植入塑料炸弹。此次行动的新颖之处在于其毁灭性和公开性,凸显了日益扩大的灰色地带。供应链很脆弱,我们更脆弱,计算机、汽车、冰箱、家用恒温器等等各种电子设备提供了无处不在的目标。国际供应链中的任何国家和个人都可能破坏设备。在以色列跨过界限之后,其它国家几乎肯定会认为这种策略是可接受的。它可以在战争期间对军队展开,也可以在战前对平民展开。发达国家将特别容易受到攻击,因为国民拥有太多容易遭到攻击的电子设备。
CA 和浏览器开发商计划停止将 WHOIS 用于 TLS 域名验证。CA/Browser Forum 允许 CA 向 WHOIS 记录中列出的电子邮件发送邮件,当接收者点击链接后其申请的证书将会自动获得批准。安全公司 watchTowr 的研究人员演示了攻击者如何滥用该规则欺诈性的获取他们不拥有的域名证书。这一安全漏洞是因为缺乏统一规则判断声称提供官方 WHOIS 记录的网站的有效性。研究人员通过部署假的 WHOIS 服务器和假的 IP 记录实现了漏洞利用。Google 因此提议停止将 WHOIS 用于域名验证。
乌克兰国家安全机构 National Security and Defence Council 宣布在政府官员、军方人员和关键工作人员使用的官方设备上禁止使用 Telegram,担心俄罗斯可能通过 Telegram 监视信息和用户。乌克兰的最新限制仅限于官方设备,不适用个人设备。Telegram 在乌克兰和俄罗斯都被广泛使用,是双方重要的信息来源,但乌克兰安全官员多次对战时使用 Telegram 表达了担忧。Telegram 总部位于迪拜,创始人是出生于俄罗斯的 Pavel Durov。