adv

solidot新版网站常见问题,请点击这里查看。
Bug
blackhat(19032)
发表于2011年10月20日 11时10分 星期四
来自HTML5
tbw 写道 "Geek.com消息:Adobe 公司正在修复一个 Flash 相关的漏洞,该漏洞可以被利用暗中打开访客的麦克风和摄像头。"该问题在 Adobe 服务器的 Flash 播放器设置管理器中",Adobe 的发言人 Wiebke Lips 表示。"工程师正在加紧漏洞修复工作",Lips 在e-mail 中表示,"注意的是该漏洞不会涉及或需要产品更新,可被在线在服务器端修复。QA 工作完成后将马上发布。"预计该漏洞会在本周末被修复完毕。该漏洞是由斯坦福大学计算机系的学生 Aboukhadiieh 发现,并在昨天的博客中公布,且包含一段视频片段。该攻击使用一种叫“clickjacking”的点击劫持方式,隐藏 Flash 设置管理器 SWF 文件在页面 iFrame 的后面,这样可以绕过 framebusting JS 代码。据悉,该漏洞攻击曾在2008年出现过。"
Bug
blackhat(19032)
发表于2011年08月30日 15时00分 星期二
来自最近崩溃了一次-冻结了几次
Tyler Downer在博客上宣布离开Mozilla社区,他随后解释了原因——在除虫等质量管理上停滞不前。他说,在2010年春,在Bugzilla中Firefox大约有13000个UNCO bug,今天这个数字是5,934。其中2,598个UNCO bug在过去150天内没有任何处理。除了这些bug外,还有用户错误导致的bug,第三方软件造成的bug,等等。他认为Mozilla应该改进bug递交和管理,而不是为了快速发布周期而放弃质量管理,零bug是不可能的,但至少应该将bug数量降低到1千左右
Bug
blackhat(19032)
发表于2011年08月23日 10时00分 星期二
来自随机数
PHP脚本语言维护者发出警告,PHP最新版本v5.3.7中发现了严重加密bug,建议用户在修正前不要升级到PHP 5.3.7。开发者已经在20日修正了漏洞,但目前修正只包含在快照版中(snapshot 201108200030),开发者 预计在未来几天内发布PHP 5.3.8。该问题与加密函数输出处理有关,在使用MD5 salts调用crypt()函数时返回的结果只包含加盐值(salt)。
Bug
blackhat(19032)
发表于2011年08月10日 16时42分 星期三
来自泪滴攻击
微软周二发布了13个安全更新,修复了Internet Explorer、Windows、Office等软件的22个安全漏洞。有两个安全漏洞值得注意:其一是影响包括IE9在内的所有IE浏览器的高危漏洞MS11-057;另一个则是TCP/IP协议栈上的中等危险或重要级漏洞MS11-064。 根据MS11-064的描述,该漏洞允许攻击者通过向目标系统发送一个特制的Internet控制消息协议(ICMP)信息,或者是向服务器发送一个特制的URL请求,发动拒绝服务攻击。它影响的系统包括Windows Vista和Windows 7,Windows Server 2008和Windows Server 2008 R2。Windows XP和Windows Server 2003不受影响。这个漏洞让人回忆起了90年代早期出现Ping of Death攻击Youtube演示),攻击者通过向目标系统发送长度超过65,535 bytes的ping指令封包,使系统崩溃,有时候也会导致蓝屏死机。
Bug
blackhat(19032)
发表于2011年08月05日 14时04分 星期五
来自回滚到未升级前
操作系统的一次大升级在推出伊始不总能让每个人都感到幸福,苹果也不可能例外。许多苹果用户在官方论坛抱怨升级到最新的OS X Lion后系统出现了很多问题,如速度下降,崩溃之类,而某些配置的电脑似乎特别容易出现黑屏。太多的用户留言使苹果采取行动屏蔽了提及“抵制”或“请愿”的帖子。在故障硬件中,2010年中期搭载NVidia显卡的Macbook Pro笔记本显得相当多,苹果被指向用户提供了有故障的NVidia显卡驱动
Bug
blackhat(19032)
发表于2011年08月04日 11时32分 星期四
来自盛名之下
2011 Pwnie Awards已在本年度的Black Hat黑客大会上揭晓。前不久遭黑客攻击而失窃上亿用户信息的索尼成为最瞩目的“获奖者”。 Most Epic FAIL授予了索尼,它的PS3、服务器和PSN都被黑客攻陷;Epic 0wnage授予了破坏铀浓缩离心机的Stuxnet蠕虫;最迟钝的响应,RSA SecurID令牌泄漏,它在三月份就遭到攻击,但直到6月份才承认令牌存在风险;最佳服务器端bug是ASP.NET Framework Padding Oracle,该漏洞可被用于远程控制几乎任何ASP.NET Web应用,并进而导致在服务器上执行代码;最佳客户端bug是MobileSafari中的FreeType字体库漏洞,可被用于iOS越狱;最佳提升权限bug是Windows kernel win32k用户模式调用漏洞;最佳创新研究授予了Piotr Bania;终生成就奖授予了pipacs/PaX Team,他们创造了Linux内核补丁Pax和安全技术ASLR,影响了所有现代操作系统。
Bug
blackhat(19032)
发表于2011年07月30日 19时30分 星期六
来自不是bug是特性
甲骨文在Java 7中作出某些改变时,可能没很好的进行测试;但在发现严重bug后,它仍按时间表推出了Java 7。 Java 7和Java 6都存在相同的bug,不同之处是前者默认启用,而后者没有。HotSpot Loop优化中的bug可能会导致JVM崩溃,或者是执行错误。Bug影响了多个Apache项目,包括Apache Lucene Core和Apache Solr。甲骨文计划在Update 2中修正错误
Bug
blackhat(19032)
发表于2011年07月05日 09时00分 星期二
来自守护神变异
Ubuntu、CentOS、Fedora和RHEL Linux等发行版默认的FTP服务器程序vsftpd的源代码中发现了后门 vsftpd代表Very Secure FTP Daemon,自称是类Unix系统中最安全、最快的FTP服务器。它的v2.3.4版本的可下载源代码中被人加入了后门代码,它会在FTP中加入一个笑脸符号:)用户名,黑客开玩笑的意图可能多于制造麻烦。目前还不清楚后门代码上线了多长时间。vsftpd作者Chris Evans已经将源代码迁移到Google的托管网站
Bug
blackhat(19032)
发表于2011年07月01日 12时36分 星期五
来自索尼好好学
每年,SANS协会和Common Weakness Evaluation都会合作创建一个最危险软件错误列表,帮助程序员预防和避免犯下严重的错误。 2011年版的最危险软件错误包括:SQL注入,OS命令注入,缓冲溢出、跨站脚本、缺少验证、缺少认证、使用硬编码证书、敏感数据忘记加密、不受限制上传文件类型、依赖不可信的输入、用不必要的高级权限执行任务、跨站请求伪造....
Bug
blackhat(19032)
发表于2011年06月20日 10时36分 星期一
来自虫虫
比尔盖茨曾经通过电子邮件告诉雇员,如果要在增加新特性和解决安全问题之间做出选择,他们应该选择安全。然而,随着预算的限制和产品发布周期的缩短,程序bug的数量明显有上升的趋势。软件开发商们则通过奖励鼓励外部测试者报告bug。开源浏览器Firefox的开发商Mozilla从2004年开始提供捉虫奖金,它每年支付的奖金在4万美元以上。捉虫者中收入最高的是一名德国学生,他通过一系列bug发现而挣到了3万美元。Chrome的开发商Google同样提供奖金,到目前它支付的奖金超过了5万美元。今年25岁的Aaron Portnoy从19岁起就开始了捉虫的生涯,他声称曾在3个月内挣到了6万美元。他描绘“捉虫”是“令人兴奋的体验,好像他就是电脑上的魔术师”。
Bug
blackhat(19032)
发表于2011年05月14日 21时36分 星期六
来自有大阴谋
想获得美国永久居民卡的外籍移民须经由美国国会授权的摇号程序,这一程序又被称为“绿卡彩票”。美国政府宣布,2012年的摇号结果将作废,原因是程序的随机选择算法存在错误 5月1日美国公布了摇号结果,5月6日以技术问题为由从网上撤除。5月13日宣布结果作废,美国国务院对此表示道歉。美国官员说,电脑故障造成摇号过程并非随机。这意味着,已公布的22,000名成功“中奖”的人必须与大约一千五百万申请者一起重新碰运气。新的结果预计将于7月15日公布。
Bug
blackhat(19032)
发表于2011年04月23日 13时54分 星期六
来自笔记本暂停升级
Phoroni在笔记本上测试了不同版本Ubuntu的总体系统性能、耗电量、启动性能,注意到最近推出的新版内核在某些工作负荷下消耗了更多电量,平均增加了10%,最高达到了30%。对Linux 2.6.35, 2.6.36, 2.6.37, 2.6.38和2.6.39(开发版本)内核的测试显示,2.6.38内核的耗电量显著增加,而2.6.39版本存在同样的问题,尚未被修复。在Ubuntu的bug报告系统,有用户反映,运行Ubuntu 11.04的笔记本电池续航力比10.10大幅减少,从4小时减少至2:45左右。
Bug
blackhat(19032)
发表于2011年04月22日 13时15分 星期五
来自云不安全
太平洋时间周四凌晨一时左右,亚马逊北弗吉尼亚州数据中心发生了严重的宕机事故,28小时过去了,问题依旧没有完全解决上百家网站因宕机而下线,很多网站现在不得不采取关闭网站部分功能的紧急措施。受影响的知名网站包括Reddit, Quora,Foursquare,Hootsuite,Change.org,甚至还有微软的Web应用Big Box of Awesome Facebook。 官方论坛上,有人开玩笑的留言说是不是天网干的?由于Change.org最近几天曾遭到了来自中国的DDoS攻击,有人因此怀疑亚马逊的宕机是不是和中国有关?受宕机影响的主要是US-East-1区的客户,亚马逊为客户提供了多区域故障转移选择,一个区域的服务出现性能问题,可以迅速转移到另一个可用区的数据中心,这项冗余服务被认为将保证网站永不下线,然而如果可用区靠得太近,它们可能会同时出现宕机,昨天的情况正是如此
Bug
blackhat(19032)
发表于2011年04月20日 15时54分 星期三
来自升级到IPv6
普林斯顿大学无线网络屏蔽了400多台Android设备,原因是Android的DHCP动态主机配置协议存在bug,在DHCP租期过期后仍然会占用着IP地址,干扰网络上其他设备的连接。 DHCPv4允许设备自动从网络中租用一个内网IPv4地址,例如租用192.168.1.2六个小时。如果用户想续租,DHCP客户端会在三个小时后联络DHCP服务器,请求续租。如果设备离线,占用的IPv4地址将会释放给其它设备使用。当设备再次上线后,它会重新发出请求分配新的内网地址。Android 2.1,2.2,2.3.1和3.0.0设备的DHCP实现存在bug,在过期后仍然会占着原来的IP地址,在重新联网后不会发出请求,因此会干扰网络上使用相同IP地址的设备。截至4月17日,共有超过490台Android设备发现存在该问题。
Bug
blackhat(19032)
发表于2011年04月16日 19时08分 星期六
来自箭在弦上
一份新测试报告让Ubuntu 11.04默认用户界面Unity的可用性再一次受到无数用户的质疑,一些人认为采用Unity的决策愚蠢,界面设计存在诸多缺陷。 Ubuntu 11.04目前处于beta测试阶段,但测试者发现Unity桌面频繁的崩溃。Canonical设计团队成员Charline Poirier进行了一次试验,11名Mac和Windows用户执行了一系列任务。结果发现,许多用户不清楚Ubuntu按钮的意义;11人中有5人在测试中Unity发生崩溃,其中一位用户的quicklist失去响应,一直处于最上层;Windows用户习惯性的双击launcher中的应用程序和文件/文件夹;一位测试者将Ubuntu软件中心当成了回收站。
Bug
blackhat(19032)
发表于2011年04月02日 17时27分 星期六
来自哦-哦-哦
匿名读者 写道 "国外程序员 Katelynn Eaton 在其博文总结分享了程序员和测试人员之间的高频对话(中文)。
Bug
blackhat(19032)
发表于2011年03月29日 13时48分 星期二
来自英特尔打了个盹
网络安全公司迈克菲的官网却有很多安全隐患,这是颇令人感到讽刺的事情。它的营销部门如何让客户相信其产品能正确检测网站的安全性? 安全研究人员发现www.mcafee.com有很多问题,可能会面临跨站脚本和其它类型的攻击。他们在2月10日通知了迈克菲,2月12日迈克菲表示正着手解决问题,3月27日发现漏洞没有完全修复,于是将其漏洞公诸于众。
Bug
blackhat(19032)
发表于2011年03月15日 09时00分 星期二
来自睡懒觉
上周日,美国开始实行夏时制,即时间将拨快一小时,苹果的iOS设备再次出现问题,它不是向前拨快一小时,而是向后拨慢了一小时,结果导致周日早晨用户发现少了两小时。去年11月夏时制结束时iOS设备也出现过类似问题,不过当时不是拨快或拨慢,而是没有响应时间调整。解决新问题的方法很简单,关闭手机然后重启;或者切换到“飞行模式”。
Bug
shizhao(1428)
发表于2011年03月11日 20时40分 星期五
来自老问题
captmjc 写道 "看帖子时,发现有网友询问此事。验证自己发的回复一看,果然服务器时间或者时区有问题,比北京时间晚了一小时。"
Bug
blackhat(19032)
发表于2011年03月01日 16时32分 星期二
来自云虫
昨天大约有0.02%的Gmail用户发现邮件被Google误删,Google对此表示歉意,称数据没有丢失,他们已经恢复了所有受影响用户的邮件。Gmail全球用户近2亿,0.02%相当于四万。Google称问题是软件bug。 昨天,受到影响的用户群起涌入Google论坛来探求问题,甚至已回报连Google Apps用户也受牵连。Google官方表示他们将在今日以前修复这尚未确认的问题。目前Gmail正陆续接受复原程序。Google称他们当时开始部署一个存储软件更新,结果发现软件有bug,当注意问题时,他们立即停止了部署,恢复到了旧版本。