移动端 | 加入收藏 | 设为首页 | 我要投稿 | 赞助本站 | RSS
 

freefq.comfree——免费、自由fq——翻墙

困在墙内,请发邮件到freefqcom#gmail.com获得最新免费翻墙方法!
您当前的位置:首页 > 网络安全

近期安全动态和点评(2020年2季度)

时间:2020-07-27  来源:  作者:编程随想
文章目录PNQ免费翻墙网
★隐私保护PNQ免费翻墙网
★新冷战与网络战PNQ免费翻墙网
★高危漏洞PNQ免费翻墙网
★网络与 WebPNQ免费翻墙网
★网络攻击PNQ免费翻墙网
★移动设备PNQ免费翻墙网
★言论审查与网络屏蔽PNQ免费翻墙网
★社会工程学PNQ免费翻墙网
★硬件与物理安全PNQ免费翻墙网
★安全编程
  又到了每季度的“安全动态汇总”。PNQ免费翻墙网
 

★隐私保护

 

◇微信

PNQ免费翻墙网
WeChat(微信)Surveils International Accounts To Decide What To Censor for Chinese Users, Study Says @ SlashdotPNQ免费翻墙网
PNQ免费翻墙网
微信监视所有用户的内容 @ Solidot
加拿大多伦多大学公民实验室发表报告称,微信监视所有用户的内容,无论是中国用户还是非中国用户,他们发送的内容都受到监视。微信是中国最流行的社交媒体平台,截至 2019 年底有 11.5 亿月活用户。PNQ免费翻墙网
微信曾被认为主要审查中国用户的账号,但公民实验室发现非中国国籍或者使用非中国手机注册的账号同样受到监视,这些用户发送的文件和图像都面临内容监视和审查。
PNQ免费翻墙网
微信是否监听了你的聊天记录? @ Solidot
《中国科学报》报道了某社交 App(aka 微信)被曝监听用户聊天记录。腾讯微信回应称,“聊天内容属于用户的通信秘密和个人隐私,微信不会监测用户的聊天记录,腾讯更不会通过监测用户聊天记录来 推送广告。”微信上的广告投放基于用户的合法授权和腾讯的数据技术支持诞生的,可以保护用户隐私的安全。PNQ免费翻墙网
但据《消费者报道》统计,要想关闭朋友圈的个性化广告,至少需要经过13个步骤、点击16次,并且只能关闭六个月的时间,不少用户甚至根本不知道可以自由选择关闭朋友圈广告。PNQ免费翻墙网
对于个性化广告,中科院自动所模式识别国家重点实验室研究员宗成庆称,“这些个性化广告通常基于推荐算法,其目的是满足用户的个性化需求,实现信息精准服 务,极具商业价值。目前,几乎所有 App、网站等都嵌入了该技术。”推荐算法就是对网络用户所积累的数据进行挖掘、归类,刻画用户的行为特征和倾向。一般只需三次人与物的关联,就能完成兴 趣发现,实现个性化推荐。PNQ免费翻墙网
宗成庆表示,推荐算法的最初目的是为了通过数据分析,优化用户体验,方便用户使用 App 等,但也有不少数据被用作商业用途。这一过程中,用户并不了解个人信息的去向,进而引发用户“我是不是被窃听了”的恐慌。
PNQ免费翻墙网
  编程随想注:PNQ免费翻墙网
  在这篇博文中,俺写了如下这段:
用户群很大的那几个 App,都很流氓PNQ免费翻墙网
这个道理,俺也聊过多次了。像“微信/支付宝/百度/京东”这些 App,装机量都是以【亿】计。这么大的安装量,朝廷的有关部门,难道会不动心吗?假如有关部门找到这几家公司的老板,要他们稍微配合一下,在 app 里面玩点猫腻,像"菊花疼、马淫、李阉红、刘强奸"这些老板,他们有胆量拒绝朝廷提的要求吗?答案显然是【否定】滴!
 

◇小米

PNQ免费翻墙网
Exclusive: Warning Over Chinese Mobile Giant Xiaomi Recording Millions Of People’s ‘Private’ Web And Phone Use @ Forbes/福布斯PNQ免费翻墙网
PNQ免费翻墙网
小米被指记录用户的 Web 和手机使用数据 @ Solidot
安全研究员 Gabi Cirlig 半开玩笑的说小米手机是带手机功能的后门。他发现小米公司在该公司生产的手机上收集了惊人的数据,这些数据被发送到小米在世界各地租用的服务器上。小米手 机默认的小米浏览器会记录用户访问的所有网站,通过 Google 或 DuckDuckGo 的所有搜索查询词,在新闻源浏览的所有条目,即使使用隐身模式小米仍然会跟踪用户。手机还会记录用户打开的文件夹,切换的屏幕,包括状态栏和设置页。PNQ免费翻墙网
另一位网络安全专家 Andrew Tierney 展开了更进一步的调查,发现小米通过 Google 官方应用商店发布的浏览器 Mi Browser Pro 和 Mint Browser 会收集相同的数据。Cirlig 认为这是一起严重的隐私事件,有数以百万计的用户受到影响。小米的设备以低价但高配置著称,但用户付出的代价是隐私。对于这一发现,小米公司回应声称不真 实。该公司发言人承认浏览器会收集数据,但表示数据是匿名收集的。
 

◇TikTok(字节跳动)

PNQ免费翻墙网
Apple 'Suddenly Catches TikTok Secretly Spying On Millions Of iPhone Users', Claims Forbes @ SlashdotPNQ免费翻墙网
PNQ免费翻墙网
TikTok 等 iOS 应用被指监视剪贴板内容 @ Solidot
今年3月,研究员 Talal Haj Bakry 和 Tommy Mysk 发现,数十个 iOS 应用存在获取用户隐私数据的严重问题,其中之一就是大受欢迎的短视频应用 TikTok。虽然遭到曝光,但至今这些应用都没有改变其做法。PNQ免费翻墙网
苹果刚释出了 iOS 14 Beta 版本,其中一项功能是每次有应用读取剪贴板内容它会警告用户,TikTok 等应用监视剪贴板的做法被发现并引发了广泛关注(YouTube 视频)。 通过持续监视剪贴板,应用可以获得非常敏感的用户信息如密码、数字钱包地址、账号重置链接,以及私密信息。苹果系统的剪贴板内容会在关联设备之间共享,这 项功能被称为通用剪贴板,允许一台设备复制的内容可以在另一台设备上使用。剪贴板很有可能会分享非常敏感的数据,如密码、比特币地址等。
 

◇Edge 浏览器

PNQ免费翻墙网
Microsoft Edge 被指悄悄导入了 Firefox 数据 @ Solidot
微软正通过 Windows Update 将它基于 Chromium 的新 Microsoft Edge 浏览器推送给 Windows 10 用户。部分 Firefox 用户报告 Microsoft Edge 未经允许就导入了 Firefox 数据。部分 Firefox 用户报告他们尝试杀死新 Microsoft Edge 的初始设置进程,结果虽然安装向导关闭,但 Firefox 数据仍然被拷贝了。部分用户在 reddit 上报告同样的行为也在他们的计算机上发生了。微软尚未就此发表评论。
PNQ免费翻墙网
PNQ免费翻墙网

★新冷战与网络战

PNQ免费翻墙网
  编程随想注:PNQ免费翻墙网
  在前不久(2020年5月)的博文中《聊聊“核战略的博弈模型”与“中美新冷战”》,俺已经提到了:
“新冷战”这个概念是有争议滴。有些人认为目前的中美对抗还没到这种地步,也有一些人认为目前的对抗已经达到“新冷战”的程度。俺的观点倾向于【后者】。
  从近期的一些动态来看,“新冷战”的迹象越来越明显(参见本章节后续的新闻)。PNQ免费翻墙网
  “冷战”区别于“热战”的关键之处——敌对各方【不】进行显式的军事冲突。在这种状态下,【网络战】成为一种很有效的手段。因为“网络战”的特点恰恰是【隐式】滴。PNQ免费翻墙网
 

◇中国 VS 美国

PNQ免费翻墙网
中国电信等四家中国国企(运营商)可能会被赶出美国市场 @ VOA/美国之音
美国联邦通讯委员会周五表示,它可能会吊销中国四家国有电信运营商在美国的运营许可证。该机构提供的原因是国家安全风险。PNQ免费翻墙网
联邦通讯委员会(FCC)已经向中国电信美国、中国联通美国、太平洋网络公司和 ComNet(USA)下达了命令,要求它们就对 FCC 提出的问题做出回应。PNQ免费翻墙网
太平洋网络公司和 ComNet(USA)都是中国政府的投资公司中信集团的全资控股公司。PNQ免费翻墙网
......
PNQ免费翻墙网
路透社:美国将华为海康等20家顶尖中企列入受军方支持名单 @ RFI/法广
据路透社周三(6月24号)根据看到的一份文件独家报道,特朗普政府已经决定将包括电信设备巨头华为和视频监控公司海康威视在内的20家中国顶尖企业列为中国军方拥有或控制的名单。白宫未说明是否会制裁名单上的企业,但评论认为这为美国实施新的金融制裁奠定了基础。PNQ免费翻墙网
除了华为,海康,美国政府声称得到中国人民解放军支持的20家公司包括中国移动通信集团、中国电信集团以及飞机制造商中国航空工业集团公司等,从名单上 看,20家企业涵盖通讯移动,航天,船舶重工,电子科技,核工业等多个领域。报道称,名单是由美国国防部起草,一位不愿透露姓名的美国国防部官员证实了这 份文件的真实性,并表示文件已经递交给国会。PNQ免费翻墙网
......
PNQ免费翻墙网
美国 FCC 正式将华为、中兴列为“国家安全威胁” @ 网易财经
当地时间6月30日,美国联邦通信委员会(FCC)发布官方声明,正式将我国电信设备制造商华为和中兴通讯认定为“国家安全威胁”。PNQ免费翻墙网
FCC 主席阿吉特·帕伊声称,他们综合考虑了来自国会、行政部门、情报机构、通讯商和盟友们的意见,有“压倒性的证据”显示,华为和中兴对美国的5G未来构成了威胁。PNQ免费翻墙网
......
PNQ免费翻墙网
谷歌前总裁作客 BBC 节目,纵论华为“威胁”和中美科技脱钩的是非 @ BBC/英国广播公司
美国高科技巨头谷歌前总裁、现任五角大楼国防创新委员会主任的埃里克·施密特(Eric Schmidt)在接受BBC广播四台专题节目《新科技冷战》访问时指称,华为从事了“令人无法接受的行为”,对西方国家构成“国家安全挑战”。PNQ免费翻墙网
不过,施密特在作出以上表述同时也明确指出,西方国家应该与中国在科技领域展开竞争,而不是简单化地脱钩或脱离关系。PNQ免费翻墙网
......PNQ免费翻墙网
施密特告诉 BBC 说:“华为毫无疑问从事了一些在(西方)国家安全方面令人无法接受的行为。”他认为可以把华为与英国的 GCHQ 和美国的 NSA 等“讯息情报部门”等同看待。PNQ免费翻墙网
施密特还指称:“毫无疑问流经华为路由器的数据最终被显然是(中国)国家的部门所掌握。”“不管这种情况是如何发生的,我们确认它发生了。”PNQ免费翻墙网
......
 

◇中国 VS 欧盟

PNQ免费翻墙网
英国政策急转,今年或将逐步淘汰华为 5G 设备 @ 德国之声
据英国媒体报道,英国首相约翰逊计划在今年内将华为设备从英国 的5G建设计划中淘汰。英国《每日电讯报》7月4日报道称,目前英国正在拟定计划,在六个月内停止在英国5G系统中安装华为技术,并且加速移除已经安装的 华为设备。据报道,英国政府通信总部(GCHQ)对使用华为技术的安全性表达了疑虑。PNQ免费翻墙网
......PNQ免费翻墙网
今年一月,约翰逊决定允许华为“有限”参与5G网络建设,该决定使得英美关系一度陷入紧绷。PNQ免费翻墙网
《每日电讯报》指出,英国正在草拟将华为排除在其5G建设外的计划,这意味着英国首相约翰逊的政策将出现大转弯。PNQ免费翻墙网
......
PNQ免费翻墙网
限制华为 5G,法国称:这是主权问题 @ RFI/法广
法国国家资讯系统安全局7月5日宣布将限制电信业者使用华为的授权许可。中国外交部7月6日呼吁法国提供各国企业公平且非歧视的环境,对此法国回覆,“这是风险管理,问题在于主权”。PNQ免费翻墙网
法国国家资讯系统安全局(ANSSI)局长普帕尔(Guillaume Poupard)5日接受法国《回声报》(Les Echos)访问时宣布,将限制采用中国华为的法国电信业者的授权许可年限,以作为让华为进入法国市场的交换条件。PNQ免费翻墙网
......PNQ免费翻墙网
这个决定不仅来自于产业考量,更受到华盛顿与北京长期外交紧张关係的影响。美国向其盟友施压, 希望他们以安全为由禁止疑似与中国政府关系密切的华为。PNQ免费翻墙网
......
 

◇中国 VS 印度

PNQ免费翻墙网
印度宣布禁用59款中国应用,包括 TikTok 和微信等 @ 网易新闻
不见图 请翻墙PNQ免费翻墙网
(编程随想注:被印度查禁的天朝 app 清单)
PNQ免费翻墙网
印度命令 ISP 屏蔽被禁止的中国应用 @ Solidot
印度周一(6月29日)以“威胁主权和完整为由”宣布封杀59个中国应用,周二公布了具体的封锁措施,命令 ISP 屏蔽这些应用的访问。其方法应该与中国对外国社交服务和应用的封锁类似。PNQ免费翻墙网
据报道,印度电信部表示,互联网运营商应“立即阻止”访问这些应用程序及其网站,并警告称,如果不这样做,将采取法律行动。两位消息人士称,印度政府已分别与谷歌和苹果进行了接触,正式要求他们从应用程序商店中删除这些应用程序,以阻止新的下载。PNQ免费翻墙网
三位业内人士称,对于已经下载到印度手机上的应用程序,未来几天电信公司将设法使其无法使用。在被禁的应用中,最受欢迎的是字节跳动的视频应用 TikTok,印度是其最大的增长市场,在其全球20亿下载量中占 30%。PNQ免费翻墙网
......
PNQ免费翻墙网
印度限制中国电力设备进口,称可能存在特洛伊沐码 @ 网易新闻
从突然终止商业合作到设置通关壁垒,再到抵制中国商品、封禁中国公司研发的手机应用程序,印度针对中国的“全方位报复”行动还在继续。据路透社3日消息,印度电力部今天出台新规,要求印度企业从中国进口电力设备和部件将需要得到政府许可。PNQ免费翻墙网
......PNQ免费翻墙网
不仅出台针对中企的新规,印度电力部长辛格3日在会见各邦的能源官员时还更为强硬地宣称,“我们已经决定不允许从中国和巴基斯坦进口任何(电力)设备。”PNQ免费翻墙网
“其中(电力设备)可能存在恶意软件或特洛伊沐码,它们可以被远程激活(瘫痪我们的电力系统)。我们将不允许你们(各邦)从中国及巴基斯坦进口任何东西(电力设备)。”辛格还如此宣称道。PNQ免费翻墙网
......
  编程随想注:PNQ免费翻墙网
  “电力设备”已经成为“网络战”关注的重点。对于攻击者而言,可以通过“破坏电力基础设施”(比如变电站的软件系统)来瘫痪某个城市。这可不是俺的臆想,已经有先例。参见《近期安全动态和点评(2019年3季度)》一文的如下章节:PNQ免费翻墙网
◇对2016年一次未遂网络战的事后分析PNQ免费翻墙网
 

◇Zoom 视频软件

PNQ免费翻墙网
  编程随想注:PNQ免费翻墙网
  上半年的全球疫情,导致很多企业和政府机构只能采用【远程视频】的方式开会。有一款名叫 Zoom 的远程视频软件很受欢迎。PNQ免费翻墙网
  虽然该公司的总部在美国,但其技术团队在天朝,公司老板也是华人,因此引发了很多国家的担忧。PNQ免费翻墙网
PNQ免费翻墙网
US Senate Tells Members To Stop Using Zoom @ Slashdot @ SlashdotPNQ免费翻墙网
PNQ免费翻墙网
美国参议院建议参议员不要用 Zoom @ cnBetaPNQ免费翻墙网
PNQ免费翻墙网
台湾政府禁止使用 Zoom 视频软件 @ VOA/美国之音PNQ免费翻墙网
PNQ免费翻墙网
印度称 Zoom 不是视频会议的安全平台 @ SolidotPNQ免费翻墙网
PNQ免费翻墙网
肺炎疫情——Zoom 远程会议软件到底有多安全 @ BBC/英国广播公司
......PNQ免费翻墙网
中国背景PNQ免费翻墙网
PNQ免费翻墙网
可能很多人都是在肺炎疫情爆发封城隔离之后才开始听到 Zoom 这个远程会议软件,但事实上 Zoom 已经发展成长了好几年,去年其股票首次公开上市时市值达到150亿美元,现在更上涨到385亿美元。PNQ免费翻墙网
PNQ免费翻墙网
Zoom是由移民到美国的中国软件工程师袁征在2011年创办的,袁征出生于山东,在中国完成硕士学位后于1997年到美国就职于 WebEx 公司,期间发展视频会议软件,后来该公司被思科(Cisco)收购。PNQ免费翻墙网
PNQ免费翻墙网
袁征2011年创办了 Zoom 远程会议软件公司,因为 Zoom 的一些简单容易使用的功能,包括变换会议背景的设置,其市场逐渐超越对手 Skype 和 Microsoft Teams。PNQ免费翻墙网
PNQ免费翻墙网
使用 Zoom 不需付费,但基本款限制三人以上参加的会议最长只能有40分钟,但现在在肺炎疫情下,该公司已经暂时取消这个时间限制,好让学校能够让在家学习的学生进行线上教学。PNQ免费翻墙网
PNQ免费翻墙网
隐私隐忧?PNQ免费翻墙网
PNQ免费翻墙网
Zoom 远程会议软件收集大量资料用于分析其服务,并提供企业可用参考。PNQ免费翻墙网
PNQ免费翻墙网
电子前线基金(Electronic Frontier Foundation)对其安全问题进行研究,得出以下几点结论:PNQ免费翻墙网
1. 在屏幕分享情况下,会议的主持人能够监看参与者的活动,能够得知 Zoom 视窗是否活跃或待机中。PNQ免费翻墙网
2. 管理员能够掌握使用者的详细活动资料,包括会议时间的排名顺序。PNQ免费翻墙网
3. 如果有使用者录音或录影会议过程,管理员也能读取其会议内容。PNQ免费翻墙网
4. 在会议进行期间,管理员能够看到每个会议参与者的操作系统,IP地址,关于地点的信息和装置的信息。PNQ免费翻墙网
......
 

◇国内银行要求外企安装的财务软件,内置了安全后门

PNQ免费翻墙网
Chinese Bank Required Two Western Companies to Use Tax Software With a Hidden Backdoor @ SlashdotPNQ免费翻墙网
PNQ免费翻墙网
航天信息的智慧税务被指含有恶意程序 @ Solidot
两家最近在中国开设办事处的英国公司被当地银行要求安装了航天信息股份有限公司的智慧税务软件,安全公司 Trustwave 称该税务软件包含了恶意程序。Trustwave 为英国公司提供了网络安全服务,它观察到客户网络的可疑请求,它随后对税务软件进行了分析,发现它除了提供纳税功能外还包含了一个隐藏的后门,该后门被称 为 GoldenSpy,具有系统级运行权限,允许远程攻击者连上被感染的系统,执行命令或上传和安装其它软件。PNQ免费翻墙网
很多此类的软件都有远程访问功能以调试服务,但 Trustwave 称它发现的功能在恶意程序中更常见。GoldenSpy 安装了两个相同的版本作为持久性的自启服务;税务软件的卸载功能不卸载 GoldenSpy;GoldenSpy 是在税务软件安装两个小时后下载安装的,之后会悄悄运行;GoldenSpy 不连税务软件的网络基础设施,而是访问域名 ningzhidata.com
PNQ免费翻墙网
  编程随想注:PNQ免费翻墙网
  请注意:上述新闻中提及的税务软件,是应天朝国内银行的要求,强制安装滴;结果被老外查出有【安全后门】。PNQ免费翻墙网
  在新冷战的大环境下,各国都对天朝充满怀疑(敌意),这类新闻会进一步增加各国对天朝的猜忌。PNQ免费翻墙网
PNQ免费翻墙网
PNQ免费翻墙网

★高危漏洞

 

◇Windows 漏洞

PNQ免费翻墙网
微软修补了三个正被利用的 0day 漏洞 @ Solidot
在本周二(4月14日)释出的例行更新中,微软修补了三 个正被利用执行恶意代码或提权的 0day 漏洞。其中两个 CVE-2020-1020 和 CVE-2020-0938 存在于 Adobe Type Manager Library 中,在非 Windows 10 系统中,成功利用漏洞的攻击者能远程执行代码;在 Windows 10 中,攻击者能在 AppContainer 沙盒中运行代码,虽然权限有限制,但仍然能创建账号,使用完整的用户权限安装程序,浏览、修改或删除数据。PNQ免费翻墙网
另一个 0day 漏洞 CVE-2020-1027,利用了 Windows 内核处理内存对象的漏洞进行提权。微软未提供利用漏洞进行攻击的细节。
PNQ免费翻墙网
  编程随想注:PNQ免费翻墙网
  关于“Adobe Type Manager Library”的高危漏洞,3月下旬已经曝光。这个漏洞非常危险!在上一期的《近期安全动态和点评(2020年1季度)》,俺介绍过该漏洞的原理和危险性。PNQ免费翻墙网
 

◇iOS 漏洞

PNQ免费翻墙网
Researchers Say They Caught an iPhone Zero-Day Hack in the Wild @ Slashdot
......PNQ免费翻墙网
"These vulnerabilities," ZecOps researchers wrote in a report they published Wednesday, "are widely exploited in the wild in targeted attacks by an advanced threat operator(s) to target VIPs, executive management across multiple industries, individuals from Fortune 2000 companies, as well as smaller organizations such as MSSPs." One of the two vulnerabilities, according to Avraham, is what's known as a remote zero-click. This kind of attack is dangerous because it can be used by an attacker against anyone on the internet, and the target gets infected without any interaction -- hence the zero-click definition.PNQ免费翻墙网
......
PNQ免费翻墙网
iPhone 曝出“惊天漏洞”,波及全球超 5 亿部苹果手机 @ InfoQ
近日(4月下旬),网络安全公司 ZecOps 发布了一份研究报告,报告称,ZecOps 公司在调查一起客户网络攻击事件中发现 iPhone 和 iPad 存在两个零日漏洞,其中,漏洞可能影响全球超 5 亿部苹果手机,危害极大。PNQ免费翻墙网
PNQ免费翻墙网
据悉,这两个零日漏洞主要与 iPhone 和 iPad 中内置的苹果官方邮件应用 Mail App 有关。利用上述漏洞,攻击者可以通过发送空白电子邮件的方式,强制在目标手机上执行任意代码,从而为攻击者窃取设备上的数据打开“方便之门”,比如偷取照 片和获取联系方式等。PNQ免费翻墙网
PNQ免费翻墙网
ZecOps 还表示,即使运行着最近的 iOS 版本(编程随想注:iOS 6 至 iOS 13.4.1),漏洞仍然允许攻击者远程窃取 iPhone 数据。“只要是 Mail App 可以访问的,漏洞都能访问,包括设备中的机密信息”。PNQ免费翻墙网
PNQ免费翻墙网
加拿大学术安全研究组织 Citizen Lab 的安全研究者 Bill Marczak 形容上述漏洞“很可怕”。PNQ免费翻墙网
PNQ免费翻墙网
据路透社报道,一名苹果公司发言人承认 iPhone 和 iPad 中默认的邮件应用程序 Apple Mail 存在漏洞。苹果公司计划开发一个修复程序,并将很快准备发布一个安全更新。
PNQ免费翻墙网
  编程随想注:PNQ免费翻墙网
  这2个 iOS 漏洞都是“zero-day”漏洞(经常看俺博客的,应该都晓得“zero-day”为何意)。值得一提的是:其中一个漏洞是【zero-click】漏洞(具体参见刚才那段洋文)。PNQ免费翻墙网
  看不懂洋文的,俺稍微解释一下:PNQ免费翻墙网
  大部分安全漏洞,都需要受害者执行某个操作——PNQ免费翻墙网
比如攻击者要利用“浏览器漏洞”,通常需要先诱使受害者访问某个挂马的网站;PNQ免费翻墙网
比如攻击者要利用“Word 的漏洞”,通常需要先诱使受害者打开某个嵌入恶意代码的 doc 文档;PNQ免费翻墙网
(以此类推)PNQ免费翻墙网
  【zero-click】漏洞是指——【不】需要受害者进行任何操作,就可以直接触发攻击代码。这也就意味着——PNQ免费翻墙网
其一,攻击者可以悄无声息地执行入侵(受害者根本没啥感觉);PNQ免费翻墙网
其二,因为【不】需要受害者参与互动,(相比那些需要互动的漏洞而言)用【zero-click】漏洞进行入侵的成功率非常高。PNQ免费翻墙网
  正是因为上述特点,【zero-click】漏洞非常值钱。比如说:如果两个漏洞都能够进行“本地提权”,各方面差不多,但一个是【zero-click】另一个不是。那么两者在黑市上的价格可能会相差一个数量级(或更多)。PNQ免费翻墙网
 

◇macOS 上的 Adobe 产品漏洞

PNQ免费翻墙网
Adobe Acrobat Reader 安全漏洞允许恶意程序悄悄获得 macOS 的 root 权限 @ Solidot
macOS 版本的 Adobe Acrobat Reader 释出了补丁,修复了三个高危漏洞(CVE-2020-9615,CVE-2020-9614 和 CVE-2020-9613)。这些漏洞是腾讯安全玄武实验室的研究人员发现和报告的,漏洞允许普通用户从本地进行提权,在不被注意的情况下获得 root 权限。腾讯安全研究人员通过 GitHub 博客披露了漏洞细节PNQ免费翻墙网
com.adobe.ARMDC.SMJobBlessHelper 是 Adobe Acrobat Reader 负责更新的一个组件,它运行在 root 权限下,没有应用沙盒,三个漏洞 Bad Checking,绕过临时文件夹 root 保护,竞争条件与之相关。
 

◇华为陷“HKSP 门”丑闻——其“Linux 内核补丁”包含高危漏洞

PNQ免费翻墙网
  编程随想注:以下是事情经过PNQ免费翻墙网
  5月10日,华为在“Linux 内核加固邮件列表”上提交了一个补丁,名为 HKSP,全称是【huawei kernel self protection】。
来顶一下
返回首页
返回首页
欢迎评论:免登录,输入验证码即可匿名评论 共有条评论
用户名: 密码:
验证码: 匿名发表

推荐资讯

SpeedUp VPN - 兼容SSR的免费高速VPN(自带节点)
SpeedUp VPN - 兼容SS
VPN Gratis Ilimitado - Brasil, Chile, Argentina
VPN Gratis Ilimitado
苹果手机iphone的iOS版赛风浏览器
苹果手机iphone的iOS版
SGreen VPN-Simple Green & Safe下载链接
SGreen VPN-Simple Gr
相关文章
栏目更新
栏目热门
墙外新闻
读者文摘

你可以访问真正的互联网了。You can access the real Internet.

管理员精中特别提醒:本网站域名、主机和管理员都在美国,且本网站内容仅为非中国大陆网友服务。禁止中国大陆网友浏览本站!若中国大陆网友因错误操作打开本站网页,请立即关闭!中国大陆网友浏览本网站存在法律风险,恳请立即关闭本站所有页面!对于您因浏览本站所遭遇的法律问题、安全问题和其他所有问题,本站均无法负责也概不负责。

特别警告:本站推荐各种免费科学上网软件、app和方法,不建议各位网友购买收费账号或服务。若您因付费购买而遭遇骗局,没有得到想要的服务,请把苦水往自己肚子里咽,本站无法承担也概不承担任何责任!

本站严正声明:各位翻墙的网友切勿将本站介绍的翻墙方法运用于违反当地法律法规的活动,本站对网友的遵纪守法行为表示支持,对网友的违法犯罪行为表示反对!

网站管理员定居美国,因此本站所推荐的翻墙软件及翻墙方法都未经测试,发布仅供网友测试和参考,但你懂的——翻墙软件或方法随时有可能失效,因此本站信息具有极强时效性,想要更多有效免费翻墙方法敬请阅读本站最新信息,建议收藏本站!本站为纯粹技术网站,支持科学与民主,支持宗教信仰自由,反对恐怖主义、邪教、伪科学与专制,不支持或反对任何极端主义的政治观点或宗教信仰。有注明出处的信息均为转载文章,转载信息仅供参考,并不表明本站支持其观点或行为。未注明出处的信息为本站原创,转载时也请注明来自本站。

鉴于各种免费翻墙软件甚至是收费翻墙软件可能存在的安全风险及个人隐私泄漏可能,本站提醒各位网友做好各方面的安全防护措施!本站无法对推荐的翻墙软件、应用或服务等进行全面而严格的安全测试,因此无法对其安全性做保证,无法对您因为安全问题或隐私泄漏等问题造成的任何损失承担任何责任!

S. Grand Ave.,Suite 3910,Los Angeles,CA 90071

知识共享许可协议
本作品采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可。