adv

致长期以来一直关注solidot的海内外朋友,请点击这里查看。
Bug
blackhat(19032)
发表于2012年05月14日 14时48分 星期一
来自Adobe认为开发补丁很费钱
上周Adobe发出警告,它旗下的三个商业产品Photoshop CS5Illustrator Flash Professional存在严重安全漏洞,能在感染后允许攻击者执行任意代码。修复的方法很简单,付费升级到Photoshop CS6。在招致大量批评后,Adobe改变了它的初衷,宣布将为Adobe Photoshop CS5.x制作安全补丁。
Bug
blackhat(19032)
发表于2012年04月27日 11时36分 星期五
来自关掉铁道部
12306中国铁路客服中心声称,网站无法识别同名同姓用户信息。 一位用户在火车票官网上购买了一张火车票,结果却收到了退票通知,接着又接到了另一名声称同名同姓者的电话,声称他登录网站看到了购票者的个人信息。两位同名同姓用户认为,在实名制注册情况下,12306官网却接受同名同姓用户注册,影响了用户网上购票安全性及个人信息安全。12306中国铁路客服中心表示,目前官网暂时无法识别同名同姓用户,对用户名和密码相同的用户,暂无法识别区分。对遇到此类问题的用户,会为其搭建沟通平台,建议其中一方更改用户名,并承诺网站不会泄露用户个人信息。
Bug
blackhat(19032)
发表于2012年04月25日 10时32分 星期三
来自虫虫危机
意大利安全研究员Luigi Auriemma发现三星电视机和蓝光系统有漏洞,能允许攻击者远程控制这些设备。他声称漏洞影响所有支持遥控器的三星设备,其中一个bug会导致死循环无限重启,另一个bug可能会导致缓冲区溢出。他是在恶作剧兄弟的时候无意中发现这些漏洞,他本只是想通过WIFI网络向兄弟的电视机发送遥控器请求,结果却差点毁掉电视,最后是在服务模式下重置才从死循环中拯救了电视机。
Bug
blackhat(19032)
发表于2012年03月19日 16时35分 星期一
来自微软制造BSD
一家中国文件共享网站上周五公开了微软远程桌面协议(RDP)漏洞的概念验证攻击代码,该代码实际是微软创造的,软件巨人表示正对泄漏一事进行调查 意大利研究员Luigi Auriemma去年五月向微软报告了RDP漏洞,微软开发了验证攻击代码进行内部测试,然后通过Microsoft Active Protections Program (MAPP)项目与安全合作伙伴共享信息,让安全供应商能开发出恶意程序指纹。安全合作伙伴都签署了严格的保密协议,但微软分享的漏洞情报最终还是被泄露了出去。软件巨人表示正对此展开积极调查。
Bug
blackhat(19032)
发表于2012年03月15日 15时54分 星期四
来自铁道部表示正在开发新系统
研究证实政府开发的软件bug最多 程序员并不十分擅长写出安全的代码,但当他们付费或受雇为政府开发软件时,情况会变得愈加恶劣。Bug搜寻公司Veracode的CTO Chris Wysopal 计划本周末在Black Hat Europe安全会议上发表演讲,该公司分析了9910款应用程序,发现政府所开发软件的安全漏洞明显多于私企软件。Veracode发现,只有16%的政府Web应用程序是安全的,相比下金融行业软件是24%,商业软件是28%。对于离线应用程序,18%的政府程序通过测试,相比下金融行业软件是28%,商业软件是34%。
Bug
blackhat(19032)
发表于2012年03月01日 13时48分 星期四
来自千年虫后闰年虫
四年一度的闰年把微软云服务的客户扔在了黑暗之中 Azure云服务周二发生了严重下线事故,部分客户在长达12小时的时间内无法访问核心服务。微软发表声明,“2012年2月28日,5:45 PM PST,微软发现了一个影响多区Windows Azure服务管理的问题。”微软最初指出问题是cert证书导致的,因此很快有人推测问题与闰年有关。3月1日,微软负责云服务的副总裁Bill Laing在官方博客中承认确实源于闰年:“问题迅速被触发”,他们确定问题是一个软件bug引起,“问题看起来是对闰年的时间计算不正确所致”。
Bug
blackhat(19032)
发表于2012年02月20日 10时42分 星期一
来自等待量子级突破
加州大学和微软的研究发现(PDF),随着芯片尺寸缩小,NAND Flash记忆体会出现显著的性能退化。当电路尺寸从今天的25nm缩小到6.5nm,SSD的延迟会增加一倍。加州大学的研究生Laura Grupp说,他们测试了7家SSD供应商的45种不同类型NAND Flash芯片,这些芯片采用了72nm到25nm的光刻工艺,发现芯片尺寸缩小伴随着性能退化和错误率增加。TLC (三层存储单元)NAND的性能最差,之后是MLC(双层存储单元)NAND和SLC(单层存储单元)NAND。研究人员说,由于性能退化,基于MLC NAND的固态硬盘难以超过4TB,基于TLC NAND的固态硬盘难以突破16TB,因此固态硬盘的未来之路可能在2024年到头。
Bug
blackhat(19032)
发表于2012年02月08日 11时00分 星期三
来自其实是去休假式治疗
搭载中国萤火一号的俄罗斯火卫一土壤火星探测器未能成功进入火星轨道,并最终在1月中旬坠入太平洋。据俄官方的调查报告,程序错误是导致探测器失败的主因 根据非官方的事故报告英译,在电子设备上的两块芯片遭遇辐射损坏后,飞船的舰载计算机程序崩溃。虽然飞船处于低地球轨道,位于辐射带下,调查人员认为辐射是最有可能导致芯片故障的原因。不管是什么导致芯片故障,但最根本的原因是电子设备未能达到太空使用标准。
Bug
blackhat(19032)
发表于2012年02月04日 14时20分 星期六
来自万千玩家树指
因为服务器迁移和DRM限制的原因,育碧旗下的部分大作将无法游戏 ,其中包括无联机部分的单机游戏。 育碧宣布将从2月7日 开始 将服务器从第三方数据中心迁移到新的厂房,迁移过程中将有部分游戏受到影响。《刺客信条之启示录》、《Anno 2070》和《Driver San Francisco》不受影响。MAC版《刺客信条》、《细胞分裂定罪》和《工人物语》,PC版《Tom Clancy’s H.A.W.X.2》、《魔法门之英雄无敌VI》和《工人物语7》将无法游戏。育碧没有透露迁移将需要持续多长时间。
Bug
blackhat(19032)
发表于2011年12月20日 13时56分 星期二
来自测试不够硬
澳大利亚运输安全委员会发现,软件bug要对澳洲航空公司(Qantas)空中客车A330两次从巡航高度骤降负责。 2008年10月,A330飞行控制系统突然让飞机从巡航高度骤降了197米,导致51位乘客受伤,其中39人被送往医院。这次事故被发现是空速传感器故障造成的,该故障与算法中的一个bug综合作用,导致了这起颠簸事故。算法的功能是将传感器的数据翻译成动作,而当飞行控制系统只用一个传感器的错误数据时可能会操作飞机骤降。软件更新于2009年11月安装,澳大利亚运输安全委员会表示,乘客、机组人员和操作员可以相信同类事故不会再发生。
Bug
blackhat(19032)
发表于2011年11月24日 16时27分 星期四
来自不完美照样蓝屏死机
还有人记得WordPerfect吗?在1980年代它一度是市场上领先的字处理软件,但在90年代陷入了困境,最终完全败给了微软的办公软件。WordPerfect被转手过两次,一次是1994年被Novell收购,接着在1996年又将其出售给Corel。它的WordPerfect 7是设计运行在Windows 95上,但上市时间比Windows 95和Microsoft Office 95晚了9个月,并且没有微软的“Designed for Windows 95”logo。 2004年,Novell起诉微软,指控比尔盖茨骗Novell说将在Windows 95中包含WordPerfect,然后又因为它太优秀而撤回承诺,它声称微软的反竞争行为导致WordPerfect销售损失12亿美元。盖茨在周二出席听证会作证,称他作出拒绝WordPerfect的决定是因为代码问题,他担心程序的一个元素会导致计算机崩溃。问题出在“命名空间扩展”上,它是显示文件夹和文件所必要用到的技术。Novell律师Jeff Johnson承认微软没有法律义务让Novell提前接触Windows 95以开发一个兼容版本,但指控微软引诱Novell专注于一个版本,却在Windows 95上市前几个月撤回支持,“我们被人从背后捅了一刀”。
Bug
blackhat(19032)
发表于2011年11月06日 15时54分 星期日
来自
西安手机 写道 "摩托罗拉在Twitter上警告其Android设备同样有iPhone 4S之前出现的夏时制结束导致的电池损耗问题,虽然苹果之前没有确认该问题的存在,但有一些用户发现,限制通知功能并关掉自动调整时区的功能,对解决电池问题有所帮助,而摩托罗拉此次将夏时制的问题公开暴露出来,更是从侧面证实了这一点。摩托罗拉机型的问题只出现在Android 2.3系统上,解决该问题的方法很简单,重新启动一次系统即可。"
Bug
blackhat(19032)
发表于2011年10月26日 15时45分 星期三
来自不能联网升级
捷豹公司在发现了一个严重的软件故障后召回了约18000辆X型轿车。 故障可能会导致司机无法关闭自动控速,问题与捷豹自己研发的引擎管理控制软件有关。问题软件只安装在采用柴油发动机的X型轿车上,生产时间是在2006年到2010年,共有17678辆汽车被召回。如果真的发生故障,自动控速只能通过关掉点火开关关闭,这可能会导致其它设备停止工作。捷豹表示,汽车召回后只需要升级软件,不需要更换硬件。
Bug
blackhat(19032)
发表于2011年10月20日 11时10分 星期四
来自HTML5
tbw 写道 "Geek.com消息:Adobe 公司正在修复一个 Flash 相关的漏洞,该漏洞可以被利用暗中打开访客的麦克风和摄像头。"该问题在 Adobe 服务器的 Flash 播放器设置管理器中",Adobe 的发言人 Wiebke Lips 表示。"工程师正在加紧漏洞修复工作",Lips 在e-mail 中表示,"注意的是该漏洞不会涉及或需要产品更新,可被在线在服务器端修复。QA 工作完成后将马上发布。"预计该漏洞会在本周末被修复完毕。该漏洞是由斯坦福大学计算机系的学生 Aboukhadiieh 发现,并在昨天的博客中公布,且包含一段视频片段。该攻击使用一种叫“clickjacking”的点击劫持方式,隐藏 Flash 设置管理器 SWF 文件在页面 iFrame 的后面,这样可以绕过 framebusting JS 代码。据悉,该漏洞攻击曾在2008年出现过。"
Bug
blackhat(19032)
发表于2011年08月30日 15时00分 星期二
来自最近崩溃了一次-冻结了几次
Tyler Downer在博客上宣布离开Mozilla社区,他随后解释了原因——在除虫等质量管理上停滞不前。他说,在2010年春,在Bugzilla中Firefox大约有13000个UNCO bug,今天这个数字是5,934。其中2,598个UNCO bug在过去150天内没有任何处理。除了这些bug外,还有用户错误导致的bug,第三方软件造成的bug,等等。他认为Mozilla应该改进bug递交和管理,而不是为了快速发布周期而放弃质量管理,零bug是不可能的,但至少应该将bug数量降低到1千左右
Bug
blackhat(19032)
发表于2011年08月23日 10时00分 星期二
来自随机数
PHP脚本语言维护者发出警告,PHP最新版本v5.3.7中发现了严重加密bug,建议用户在修正前不要升级到PHP 5.3.7。开发者已经在20日修正了漏洞,但目前修正只包含在快照版中(snapshot 201108200030),开发者 预计在未来几天内发布PHP 5.3.8。该问题与加密函数输出处理有关,在使用MD5 salts调用crypt()函数时返回的结果只包含加盐值(salt)。
Bug
blackhat(19032)
发表于2011年08月10日 16时42分 星期三
来自泪滴攻击
微软周二发布了13个安全更新,修复了Internet Explorer、Windows、Office等软件的22个安全漏洞。有两个安全漏洞值得注意:其一是影响包括IE9在内的所有IE浏览器的高危漏洞MS11-057;另一个则是TCP/IP协议栈上的中等危险或重要级漏洞MS11-064。 根据MS11-064的描述,该漏洞允许攻击者通过向目标系统发送一个特制的Internet控制消息协议(ICMP)信息,或者是向服务器发送一个特制的URL请求,发动拒绝服务攻击。它影响的系统包括Windows Vista和Windows 7,Windows Server 2008和Windows Server 2008 R2。Windows XP和Windows Server 2003不受影响。这个漏洞让人回忆起了90年代早期出现Ping of Death攻击Youtube演示),攻击者通过向目标系统发送长度超过65,535 bytes的ping指令封包,使系统崩溃,有时候也会导致蓝屏死机。
Bug
blackhat(19032)
发表于2011年08月05日 14时04分 星期五
来自回滚到未升级前
操作系统的一次大升级在推出伊始不总能让每个人都感到幸福,苹果也不可能例外。许多苹果用户在官方论坛抱怨升级到最新的OS X Lion后系统出现了很多问题,如速度下降,崩溃之类,而某些配置的电脑似乎特别容易出现黑屏。太多的用户留言使苹果采取行动屏蔽了提及“抵制”或“请愿”的帖子。在故障硬件中,2010年中期搭载NVidia显卡的Macbook Pro笔记本显得相当多,苹果被指向用户提供了有故障的NVidia显卡驱动
Bug
blackhat(19032)
发表于2011年08月04日 11时32分 星期四
来自盛名之下
2011 Pwnie Awards已在本年度的Black Hat黑客大会上揭晓。前不久遭黑客攻击而失窃上亿用户信息的索尼成为最瞩目的“获奖者”。 Most Epic FAIL授予了索尼,它的PS3、服务器和PSN都被黑客攻陷;Epic 0wnage授予了破坏铀浓缩离心机的Stuxnet蠕虫;最迟钝的响应,RSA SecurID令牌泄漏,它在三月份就遭到攻击,但直到6月份才承认令牌存在风险;最佳服务器端bug是ASP.NET Framework Padding Oracle,该漏洞可被用于远程控制几乎任何ASP.NET Web应用,并进而导致在服务器上执行代码;最佳客户端bug是MobileSafari中的FreeType字体库漏洞,可被用于iOS越狱;最佳提升权限bug是Windows kernel win32k用户模式调用漏洞;最佳创新研究授予了Piotr Bania;终生成就奖授予了pipacs/PaX Team,他们创造了Linux内核补丁Pax和安全技术ASLR,影响了所有现代操作系统。
Bug
blackhat(19032)
发表于2011年07月30日 19时30分 星期六
来自不是bug是特性
甲骨文在Java 7中作出某些改变时,可能没很好的进行测试;但在发现严重bug后,它仍按时间表推出了Java 7。 Java 7和Java 6都存在相同的bug,不同之处是前者默认启用,而后者没有。HotSpot Loop优化中的bug可能会导致JVM崩溃,或者是执行错误。Bug影响了多个Apache项目,包括Apache Lucene Core和Apache Solr。甲骨文计划在Update 2中修正错误