文章提交注意事项:
请在发布文章时用HTML代码加上至少一条新闻来源的链接;原创性消息,可加入相关信息(如涉及公司的网址)的链接。有任何问题,邮件至:he.fang#zhiding.cn
ken:feigaobox@gmail.com
注意:收到邮件乱码的用户请修改客户端的默认字体编码,从"简体中文(GB2312)"修改为"Unicode(UTF-8)"。

Solidot 公告
投 票
热门评论
- (1 points, 一般) by zhaokaifeng_com 在 2021年02月26日21时18分 星期五 评论到 Twitter 宣布付费访问内容功能
- 国产电影有看的必要吗? (1 points, 一般) by solidot1520325617 在 2021年02月24日08时32分 星期三 评论到 陈思诚是怎么把《唐人街探案3》玩脱的?
- (1 points, 一般) by podleader 在 2021年02月23日20时36分 星期二 评论到 数字人民币背后的意图
- (1 points, 一般) by podleader 在 2021年02月23日15时03分 星期二 评论到 美国订购了 48% 的疫苗
- 新时代粮票,限制公职人员的消费方式。 (1 points, 一般) by qq33357486 在 2021年02月23日09时57分 星期二 评论到 数字人民币背后的意图
- 科兴不哭,这是美国人的新闻 (1 points, 一般) by qq33357486 在 2021年02月23日09时54分 星期二 评论到 美国订购了 48% 的疫苗
- Powered by Xiaomi (1 points, 一般) by lot 在 2021年02月22日16时22分 星期一 评论到 中国开发出猴脸人脸识别
- 天气控制器 (1 points, 一般) by Craynic 在 2021年02月18日16时40分 星期四 评论到 中国计划扩大人工影响天气
- 信你个鬼哦 (1 points, 一般) by Craynic 在 2021年02月18日04时21分 星期四 评论到 VLC 4.0 新界面预览
- (1 points, 一般) by zhaokaifeng_com 在 2021年02月17日21时33分 星期三 评论到 NASA 毅力号漫游车将在周四尝试登陆火星
致长期以来一直关注solidot的海内外朋友,请点击这里查看。

两位安全研究人员披露了 TCL 制造的 Android 智能电视的两个漏洞,TCL 已通过遥测方法在 11 月初修复了这些漏洞。其中一个漏洞编号 CVE-2020-27403 允许邻近网络的攻击者通过运行在 7989 端口的 web server 访问和下载敏感文件,包括大部分系统文件、照片、个人数据和连接应用的安全令牌。另一个漏洞编号 CVE-2020-28055 位于 TCL 软件中,允许本地非特权用户读写文件系统内的重要供应商资源目录,其中包括升级文件夹。受影响的 TCL 智能电视多达数百万。
微软在周二释出了 11 月例行安全更新,修复了 112 个安全漏洞,其中 17 个为高危级。15 个微软产品受到影响,其中包括 Microsoft Windows、Office、Internet Explorer、Edge (EdgeHTML 和 Chromium 版)、ChakraCore、Exchange Server、Dynamics、Windows Codecs Library、Azure Sphere、Windows Defender、Teams、Azure SDK、Azure DevOps 和 Visual Studio。修复的一个漏洞是 Google 安全团队 Project Zero 在上月底披露的 Windows Kernel Cryptography Driver 漏洞(CVE-2020-17087),该提权漏洞据信正被利用,因此 Google 提前进行披露。
中国白帽子黑客被限制参加国外的安全挑战赛如 Pwn2Own,于是他们创办了一个国内的比赛去展现自己的技艺。这个比赛叫天府杯,2018 年举办了第一届,第三届于上周末举行。在这次安全挑战赛上,运行在 iPhone 11 Pro 上的 iOS 14 、三星 Galaxy S20、Windows 10 v2004、Ubuntu、Chrome、Safari、Firefox、Adobe PDF Reader、Docker (Community Edition)、VMWare EXSi、QEMU、VirtualBox、普联和华硕的路由器等成功遭到攻陷。360政企安全漏洞研究院获得了最佳产品破解奖一等奖,蚂蚁安全光年实验室基础研究小组获得二等奖。
安全公司卡巴斯基发现了 Windows 勒索软件 RansomEXX 的 Linux 版本。这是首次一种规模比较大的 Windows 勒索软件被发现移植到 Linux 平台。RansomEXX 是一种较新的勒索软件,是在今年 6 月最早发现的,主要针对能支付大额赎金的目标。它的受害者包括了得州交通部、柯尼卡美能达、政府承包商 Tyler Technologies,蒙特利尔公交系统和巴西法院系统。RansomEXX 背后的运营者创建 Linux 版本是因为今天的许多企业其内部系统运行在 Linux 而不是 Windows 上。
Adobe Flash 将于 2020 年 12 月 31 日终止支持,微软释出了更新 KB4577586 永久性移除 Adobe Flash,在移除之后用户将无法再重新安装。该更新尚未通过 Windows Server Update Service (WSUS) 推送给用户,而是需要通过 Microsoft Update Catalog 下载和安装。该补丁将在 2021 年初通过 WSUS 提供给用户。微软在 Adobe Flash 终止支持前提供卸载补丁的一个目的是让企业级用户测试在 Windows 系统移除 Flash 对企业应用的影响。
研究人员提取出英特尔 CPU 微码更新的密钥。CPU 的微码更新主要用于修复安全漏洞和其它类型的 bug。拥有解密微码更新的密钥将允许黑客逆向工程,了解微码更新修复了哪些漏洞。它还可以允许攻击者创造恶意的微码更新,然后加载到 CPU 上,但由于缺乏签名,这种恶意微码更新在重启之后就会失效。独立研究员 Maxim Goryachy 与安全公司 Positive Technologies 的两名研究员 Dmitry Sklyarov 和 Mark Ermolov 合作完成了这一壮举,Goryachy 称这是英特尔处理器历史上第一次你可以执行你的微码和对微码更新进行分析。
勒索软件攻击者入侵了芬兰提供心理和精神治疗的公司 Vastaamo,窃取了其客户数据库。攻击者索要价值 45 万欧元的比特币,如果 Vastaamo 不支付赎金它威胁公开患者的心理健康数据。勒索者从几天前开始在暗网网站以每天 100 人的速度公开数据,在公开了 200 多人之后它删掉了数据,很有可能是因为 Vastaamo 支付了赎金。对于支付赎金的询问 Vastaamo 拒绝证实或否认。
流行的密码管理器 1Password 发布了 Linux 桌面客户端的首个 beta 版本。这是一个功能完整的 Linux 桌面应用,正式版本预计将在明年初释出。Linux 版本的后端是完全用 Rust 语言开发的,利用了 ring 加密库实现端对端加密。其主要功能包括:快速查找和智能搜索建议;新的外观;等等。
安全公司 Rapid7 和安全研究员 Rafay Baloch 合作在 7 款移动浏览器上发现了十个假冒网址漏洞。受影响的浏览器包括了 Apple Safari、Opera Touch 和 Opera Mini,以及 Bolt、RITS、UC Browser 和 Yandex Browser。所谓假冒网址漏洞是指浏览器允许恶意的网站修改其网址冒充知名网站。这些漏洞是在今年初发现的,在 8 月报告给了浏览器开发商,大型开发商已经修复了漏洞,而小型开发商根本就没有回应研究人员,更不用说修复漏洞了。
Hugo Xu 在流行广告扩展 uBlock Origin 基础上开发了广告屏蔽扩展 Nano Adblocker 和 Nano Defender,安装量大约有 30 万。18 天前他表示自己没有时间维护扩展,其开发落后于上游版本几个月,因此他决定出售发布在 Google 扩展商店 Chrome Web Store 中的版本所有权,声明对新开发者的任何行动不再负责任。几天前,uBlock Origin 的开发者 Raymond Hill 透露,新开发者释出了更新加入了恶意功能。新版本会悄悄上传用户浏览数据,并操作用户的社交媒体账号给 Instagram 上的照片点赞。Google 在收到报告之后已经将扩展移除。Xu 表示发表在 Firefox 和 Microsoft Edge 扩展商店的版本不受影响。这不是第一次扩展转手之后变成了恶意程序。
美国宣布起诉 6 名俄罗斯政府黑客。这些黑客隶属于 Sandworm,代表俄罗斯情报总局 74455 部队发动了多起备受瞩目的黑客攻击,其中包括对乌克兰政府及其基础设施的 NotPetya 攻击,对法国选举的攻击,对韩国平昌冬奥会的主办方及 IT 系统的攻击(当年俄罗斯被禁赛),对禁止化学武器组织的攻击,对格鲁吉亚公司和政府实体的攻击。六人被控 7 项罪名,包括计算机欺诈罪,破坏受保护计算机罪和身份盗窃等。
纽约州金融服务部公布了发生在 7 月 15 日的 Twitter 黑客攻击调查报告。报告称,攻击始于 7 月 14 日下午,一名或多名黑客打电话给多名 Twitter 员工,自称是 IT 部门的技术支持,声称他们收到了 VPN 问题相关的报告。在切换到远程工作之后,VPN 出问题在 Twitter 十分常见。黑客尝试将 Twitter 员工引导到一个模仿 VPN 入口的钓鱼网站,当员工在钓鱼网站输入他们的登陆凭证,黑客同时在真实的 Twitter 网站输入账号。错误输入产生了一个 Multi-Factor Authentication 通知,要求员工验证身份,部分员工这么做了。没有证据表明 Twitter 员工知道他们在帮助黑客。黑客利用收集到的 Twitter 员工个人信息来说服员工相信他们是真的技术支持。黑客获得的 Twitter 员工登陆凭证并不能让他们访问内部工具,但通过该账号黑客掌握了更多内部系统的信息。7 月 15 日,黑客针对了能访问内部工具的 Twitter 员工。之后他们使用内部工具接管和出售 OG(original gangste) 账号,劫持名人的账号骗取比特币,窃取到价值超过 11.8 万美元的比特币。
微软在 8 月的例行更新中修复了被命名为 Zerologon 的高危漏洞 CVE-2020-1472,它允许已在目标网络立足的任意攻击者完全控制 Active Directory。该漏洞可被用于发动勒索软件攻击或植入间谍软件。安全研究人员在 9 月中旬公开了漏洞利用的 poc 代码,之后就传出黑客正在利用该漏洞的消息。安全研究员 Kevin Beaumont 上周披露,他设立的蜜罐探测到黑客正尝试利用 Zerologon 向尚未打补丁的服务器植入后门。攻击是利用脚本发动的,所有命令都在数秒内完成,攻击者使用用户名 sdb 和密码 jinglebell110@ 创建了账号并启用了远程桌面,即使服务器后来打上了补丁攻击者仍然能持续远程访问。