标签 安全漏洞 下的文章

OpenAI 宣布 DALL-E 3,让提示工程过时

OpenAI 发布了 DALL-E 3,其可以与 ChatGPT 完全集成在一起。从提供的样本来看,DALL-E 3 在图像合成方面的能力似乎比现有的任何其他模型都要强,能更有效地完善手部等小细节。它可以将 ChatGPT 作为头脑风暴伙伴对图像进行会话完善,在 “无需魔改或提示工程” 的情况下默认创建引人入胜的图像。也就是说,你无需像对 MidJourney 那样输入一些反直觉的提示词,而 ChatGPT 会很好的理解你意图,并生成符合意图的图像。

消息来源:Ars Technica
老王点评:想起了国内某过气的技术大佬曾经说 10 年后全世界有 50% 的工作会是提示工程。这话颇像当年他们嘲笑云计算就是新瓶装旧酒一样。

谷歌用 “iPager” 广告嘲讽苹果

长期以来,谷歌一直试图公开向苹果施压,迫使其采用 RCS(富通信服务)消息协议,但苹果的库克回应是,消费者“应该给他们的妈妈买一部 iPhone”。谷歌最近发布了一则尖刻的广告,这则名为 “iPager” 的广告模仿了苹果的营销语言,展示了一个复古风格的传呼机(BP 机),表明苹果选择的信息平台已经落后于时代。广告称,iPager 使用 “过时的短信技术” 来 “与安卓手机发短信”,并列举了在与安卓手机通信时坚持使用短信技术的许多明显缺点。实际上,有 30 年历史的短信技术确实可以追溯到老式的传呼机。

消息来源:Engadget
老王点评:用传呼机收短信,这是个好主意~ ?

苹果和谷歌不完全披露的 libwebp 漏洞造成大麻烦

两周前,苹果公司报告称,威胁者正在积极利用 iOS 系统中的一个零点击漏洞来安装间谍软件。几天后,谷歌报告了其 Chrome 浏览器中的一个 WebP 堆缓存区溢出漏洞,并且该漏洞已经被利用。这两个漏洞的相似之处,让安全研究人员认为它们极有可能源自同一个漏洞,特别是 libwebp,它是应用程序、操作系统和其他代码库用于处理 WebP 图像的代码库。由于这两个漏洞是单独披露的,拥有不同的 CVE,并没有追溯到根源,很有可能数百万个使用了 libwebp 的应用程序都存在该漏洞。这包括各种 Linux 操作系统、各种浏览器、各种使用 Electron 框架的的应用。

消息来源:Ars Technica
老王点评:难道报告漏洞也要各扫门前雪了么?

回音

  • 米高梅酒店 的计算机系统在 10 天后 恢复。据称,该公司支付了要求的 3000 万美元赎金的一半,以换取数据不被泄露。

Vivaldi 将伪装成 Edge 以让用户使用必应聊天

很多网站和服务会根据用户代理(UA)字符串来限制浏览器访问,比如谷歌的一些服务。Vivaldi 在 2019 年修改了 UA 冒充 Chrome 以实现更好的谷歌服务兼容性。而最近,微软的基于 GPT-4 的必应聊天也限制只能在 Edge 浏览器中使用,因此,最新版本的 Vivaldi 将能冒充 Edge 浏览器以帮助用户绕过使用限制。

消息来源:Vivaldi
老王点评:虽然说是让用户方便了,但是总感觉这种做法不够大气,像这样的功能,就不应该是浏览器官方提供的功能,而应该是第三方插件的功能。

邮件网关厂商让用户更换有漏洞的设备而不是打补丁升级

Barracuda 公司的电子邮件安全网关(ESG)负责扫描所有传入和传出的电子邮件以查找恶意软件。在收到关于来自其 ESG 设备的异常流量的报告后,该公司发现恶意流量是利用了其 ESG 设备中一个以前未知的漏洞,于是向所有受影响的设备推送了一个漏洞补丁。到这里都还是正常的剧本。令人震惊的是,该公司突然开始敦促其 ESG 客户批量废弃并更换受影响的设备,而不是打补丁。并且,该公司还说 ESG 客户还应该轮换与设备相连的任何凭证。

消息来源:Krebs on Security
老王点评:这操作委实厉害,连软件更新都无法挽救了。

iOS 17 会自动删除链接的跟踪参数

在链接中添加跟踪参数是广告商和分析公司试图跟踪用户在网站上的活动的一种方式。与其存储第三方 Cookie,不如简单地将跟踪标识符添加到页面 URL 的末端,这将规避 Safari 的标准智能跟踪预防功能。iOS 17 和 macOS Sonoma 将新增链接跟踪保护功能,在邮件、信息和 Safari 浏览器的私人浏览模式下自动激活。它可以检测到链接 URL 中可识别的用户跟踪参数,并自动将其删除。

消息来源:9to5mac
老王点评:这是完全不给广告商留路的做法啊,这里的跟踪参数估计不少是谷歌的吧。

苹果 AR 眼镜被无限期推迟

据报道,由于技术上的挑战,苹果公司已经无限期推迟了其轻型增强现实(AR)眼镜的推出,但仍计划在今年推出其首款混合现实(MR)头盔。MR 头盔结合了增强现实和虚拟现实(VR),将在今年的春季活动中推出,该设备的价格将在 3000 美元左右。但 Meta 的 Quest Pro 价格只有它的一半左右。

消息来源:路透社
老王点评:看来在 AR 眼镜上又一家巨头折戟了,我原本很看好苹果的 AR 眼镜。

数千 Sophos 防火墙存在严重漏洞

数千台暴露在互联网上的服务器运行的 Sophos 防火墙中存在一个严重漏洞,允许黑客执行恶意代码。它的严重性评级为 9.8/10。当 Sophos 在去年 9 月披露该漏洞时,它已经作为一个零日漏洞在野外被利用。该安全公司敦促客户安装热补丁或完整的升级。最新的研究发现,有超过 4400 台运行 Sophos 防火墙的服务器仍然存在漏洞,约占所有的 Sophos 防火墙的 6%。

消息来源:ARS Technica
老王点评:作为第一道防御措施,如果连严重漏洞都不去修补,无异于给盗贼开门。

Windows 专业版也将默认禁止访客访问

这意味着最新版本的 Windows 10、Windows Server 2019、使用 SMB2 和 SMB3 的系统将不再默认允许访客账户访问远程服务器,或允许那些提供无效凭证的人回退到访客账户。这使得 Windows 专业版与企业版和教育版中安全性保持一致,它们自 Windows 10 以来就不再允许默认访问。允许客户端使用访客登录使用户容易受到中间人攻击或恶意服务器的影响。微软称,自 Windows 2000 以来,Windows 客户端和服务器就不允许访客访问或远程用户作为访客或匿名用户连接。只有第三方远程设备可能默认需要访客访问,但运行 Windows 的系统不需要。

消息来源:The Register
老王点评:默认访客可能是方便,但在当前网络安全越来越重要的形式下,显然是个严重的安全缺陷。

谷歌已经干砸了 267 款硬件

据一家国外网站不完全统计,预计到明年 3 月(按照谷歌的预告),谷歌画上句号的硬件产品有 267 款。其中包括 Nexus 手机(2012-2015)、谷歌眼镜(2012-2015)、谷歌 Cardboard VR 纸盒(2014-2019)等等。

消息来源:Tech Going
老王点评:看来谷歌还需要在硬件上证明自己,不过似乎这些只有苹果在硬件上一直保持不错的成绩,其它软件大厂大多在硬件上的成功不如其软件。

漏洞披露 15 分钟后黑客就开始扫描

最近发布的一份事故响应报告称,黑客一直在监视安全公司的新漏洞披露报告,通常在 CVE 公布 15 分钟后就开始扫描漏洞,在数小时内就能观察到首次漏洞利用尝试。以 2022 年 5 月 4 日披露的 F5 BIG-IP 远程执行漏洞 CVE-2022-1388 为例,在 CVE 公布 10 小时内就记录到了 2552 次扫描和漏洞利用尝试。据该报告,2022 年上半年利用最多的漏洞是 ProxyShell 占 55%,其次是 Log4Shell 占 14%,SonicWall 7%,ProxyLogon 5%。

消息来源:Bleeping Computer
老王点评:从 CVE 公布之时,就是安全专家和黑客赛跑的发令枪。我觉得作为安全专家,真是太难了。

华为正式发布 HarmonyOS 3

27 日,华为正式发布了 HarmonyOS 3,将于 9 月启动规模升级。用户已经可以申请测试版尝鲜,支持多达 14 款设备。截止今年 7 月,搭载 HarmonyOS 2 的华为设备突破 3 亿台。此次的 HarmonyOS 3,升级主要围绕超级终端、鸿蒙智联、万能卡片、流畅性能、隐私安全和信息无障碍六大方面。

消息来源:鸿蒙
老王点评:期待了很久的鸿蒙 3 终于发布了,你准备升级你的华为手机吗?

TikTok 已将美国用户数据转移到甲骨文

TikTok 表示,将 TikTok 的所有美国用户数据存储在美国的甲骨文数据服务器上。此前,TikTok 一直将其美国用户数据存储在位于弗吉尼亚州的数据中心,并在新加坡进行备份。字节跳动希望以此来解决美国海外投资委员会对数据安全的担忧。此外,TikTok 还成立了一个有数百人的美国数据安全管理团队,作为美国用户信息的看门人,并将其与字节跳动隔离开来。甚至 TikTok 正在讨论让该团队将自主运作,不受 TikTok 的控制或监督。

消息来源:路透社
老王点评:好吧,好好去毒害他们吧。

思科称不会修复终止支持的 VPN 路由器的零日漏洞

该漏洞的 CVSS 严重性评级为 9.8(满分 10.0),影响到了四款 VPN 路由器。思科表示,他们不会发布安全更新来解决该问题,因为这些设备已不再支持,建议这些“报废”的路由器升级到较新的型号。用户除了关闭广域网接口上的远程管理外,没有其他可用的缓解措施。

消息来源:Bleeping Computer
老王点评:一句报废就丢下了所有责任,这就是商业产品。

GNOME 项目得到了微软 FOSS 基金的 10000 美元资助

微软每月都会让员工提名其所依赖的第三方开源社区项目,每轮提名 5-20 个左右的开源项目,这些项目需要采用 OSI 批准的开源许可证。投票决出者便可拿到 10000 美元的奖励,通常每月拨付 1000 美元,并持续 10 个月的时间。systemd、curl、QEMU 等也得到该捐助。捐助并不附带任何条件。

消息来源:微软
老王点评:虽然对于 GNOME 这种大型项目来说聊胜于无,但是好歹是无条件赞助的。国外的很多 IT 公司都有类似项目。

回音

  • 前两天 IE 落幕 时,一幅 IE 墓碑的相片风传全网。该墓碑是 真实存在 的,出自 38 岁的韩国软件工程师郑其永,该墓碑放置于韩国庆州一家由其兄弟经营的咖啡馆屋顶上。

美国司法部修订反黑客法律,将不对白帽黑客追究责任

美国司法部周四修订了其反黑客法律《计算机欺诈和滥用法》(CFAA)。该部指示检察官不要用 CFAA 来起诉网络安全研究人员,即所谓的“白帽黑客”、“道德黑客”。CFAA 是美国于 1986 年颁布的一项美国联邦法规,其禁止未经授权或超出授权的情况下访问计算机。此举意义重大,因为 CFAA 经常对安全研究人员构成威胁,他们可能会探测或入侵系统,以确定漏洞,从而修复这些漏洞。政策的修订意味着这种研究不应面临指控。

消息来源:techcrunch
老王点评:保护这些白帽子才能保护网络安全。不过想想某个被封的某云和被起诉的白帽子,也就是想想罢了,还是自己保护自己吧。

2 个严重程度为 9.8 级的漏洞正在被利用!

之前我们 报道 过 F5 的 BIG-IP 防火墙有一个评分为 9.8(满分为 10)的漏洞正在被利用,F5 已经提供了相关补丁。而更早一些时候,VMware 多个产品系列的未修补版本也被发现存在 9.8 级的安全漏洞。这两个漏洞使攻击者有能力远程执行恶意代码或命令,并以不受约束的 root 系统权限运行。而根据披露的补丁,攻击者可以很快就开发出相关的攻击代码,并将其积极投入利用。

消息来源:arstechnica
老王点评:随着世界局势不稳定,这种恶性漏洞也会越来越多的被发现。再结合上一条,你品一下。

谷歌宣布开源卸载友好协议 PSP

谷歌早在十多年前就对数据中心之间的流量进行加密,但加密和解密的处理需要大约 0.7% 的处理能力,以及相应的内存占用。这促使谷歌研发了 PSP 协议,将加密处理卸载到网卡上,也就是将本来由操作系统进行的一些数据包处理(如 TCP 分段、IP 分片、重组、校验、TCP 协议处理等)放到网卡硬件中去做,降低系统 CPU 消耗的同时提高处理的性能。PSP 加密卸载可节省约 0.5% 的谷歌整体处理能力。

消息来源:谷歌
老王点评:虽然谷歌总是被批评,但是平心而论,无论是科研水平,还是开放程度,都不是一般的科技公司能比拟的。