乌鸦观察
15.5K subscribers
7.28K photos
320 videos
491 files
16.6K links
不定期推送新闻和杂谈;您的订阅、投稿和转发是对我们最大的支持;

有任何事宜欢迎通过 @big_crow_bot 联系,因我们知识精力有限,期盼各位多多指正;

整理不易,转发请自觉标记出处;

推荐使用浅色模式阅读,深色模式加粗重点显示不明显;

同义词检索欢迎使用:https://t.me/bigcrowdev/11487

无穷的远方,无数的人们,都和我们有关,向收到此信息的世界致以美好的祝愿。
——地狱乌鸦
Download Telegram
This media is not supported in your browser
VIEW IN TELEGRAM
#苹果 #腾讯 #漏洞 #M1

【腾讯安全玄武实验室:苹果新款MacBook、iPhone 12Pro涉及重大系统漏洞】

近日,腾讯安全玄武实验室的最新安全尝试显示,搭载M1的新款MacBook Air、iPhone 12系列手机和iPad Pro等被发现漏洞。只需一个脚本,1秒不到的功夫,攻击者取得了系统最高权限root身份,可读取用户设备上相册、通讯录,甚至是账号密码等隐私数据。(财经网 @微博)
#北京 #行政诉讼 #拆迁 #漏洞 #疫苗

【“安排干部诉政府”:北京大兴疑现10余起“架空”行政诉讼案】

2017年5月,韩晋平收到大兴法院判决书,驳回了她的诉讼。“本院认为”部分里,写明“诉讼标的为生效判决的效力所羁束的,人民法院应当依法裁定驳回起诉”。这句话说明,法院援引了已生效的判决,换言之,在韩晋平之前,与她同村的,已经有人起诉过并且败诉了。是谁先行起诉的呢?
...
大兴区榆垡镇有多名政府公职人员、拆迁村的村集体领导参与了类似诉讼。这些干部中,除了去世的两位,其他人均承认,并不认识“自己的”代理律师。有干部在接受《中国经营报》记者采访时称,当时有人组织他们填表,“演习一下”。也有干部称自己完全不知情,怀疑被人冒充。

这类诉讼案号相连,分批次集中进行了合并开庭审理。它们有着奇妙的共同点:相同的代理律师(李书江、郭元春),相同的主审法官(大兴区法院行政庭副庭长李彬,已辞职),相同的判决结果(败诉)。而律师郭元春、李书江向记者否认曾代理过这些案件。

一边是村干部镇领导的公职身份、带头签约的模范,一边却又挑头儿、抢先诉政府拆迁违法;起诉后都不出席庭审,败诉后还均未上诉;聘请的律师一致,却又都不认识“自己的”律师……这些矛盾、疑点在目前已知的10余起案件中,普遍存在。
...
内详(telegraph)(中国经营报)
#粉圈 #流量 #流量造假 #刷单 #推广 #买粉 #黑客 #漏洞 #黑产 #非法控制计算机信息系统

【流量造假:“蔡徐坤微博转发过亿”幕后推手星援 App 开发者一审获刑五年】

2018年,“明星蔡徐坤一条微博转发量过亿”事件引发舆论对流量造假的关注。按照当时的微博用户数量,转发量一亿意味着每三个微博用户中就有一人转发了蔡徐坤的微博。

2019年6月,操纵上述微博刷量事件的幕后推手“星援”APP被查。日前,中国裁判文书网公布了“星援”APP开发者蔡坤苗的判决书,其因提供侵入计算机信息系统程序罪一审获刑五年。

北京市丰台区法院审理查明,2018年1月至2019年3月间,被告人蔡坤苗未获得被害单位北京微梦创科网络技术有限公司授权而自行开发“星援”APP,有偿为他人提供不需要登录新浪微博客户端即可转发微博博文及自动批量转发微博博文的服务。后大量用户以向“星援”APP充值的形式有偿使用该软件,并通过运行上述软件侵入新浪微博服务器。

经鉴定,“星援”APP通过截取新浪微博服务器中对应账号的相关数据,后使用与其截取数据相同的网络数据格式向该服务器提交数据并完成与该服务器的交互,以实现不登录新浪微博客户端即可转发微博博文的功能以及自动批量转发微博博文的功能。经统计,至案发时该软件已有用户使用19万余个控制端微博账号登录,被告人蔡坤苗获取违法所得人民币6253752.86元。(中新社)(南方都市报

相关报道
2021-03-10【流量造假:“蔡徐坤微博转发过亿”幕后推手星援 App 开发者一审获刑五年】- IT之家
2020-12-31【蔡坤苗提供侵入、非法控制计算机信息系统程序、工具一审刑事判决书】- 北京法院网
2019-06-11【“一亿转发量”,你们也真敢刷!】- 人民日报 @ 微博
2019-06-10【微博配合北京警方侦破星援App流量造假案】- 新浪科技
2019-06-10【净网2019,星援APP被查】- 首都网警 @ 微博
2019-02-24【微博社区公告 关于某些微博转发数据异常偏高问题的说明】- 微博管理员
2018-08-02【Pull Up - official version】- 蔡徐坤 @ 微博
2018-04-28【官微迁移至微信公众号公告】- 星援网络 @ 微信
2015-09-25【鹿晗转发微博评论超1亿,再度刷新世界纪录】- 吉尼斯世界记录 @ 微博
#信息安全 #安全漏洞 #漏洞 #网络安全

【工业和信息化部 国家互联网信息办公室 公安部 关于印发网络产品安全漏洞管理规定的通知】

第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。

第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施:
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。

第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定:
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。

第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。

第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。

第十六条 本规定自2021年9月1日起施行。

内详👉(工信部)
#漏洞 #Log4j2 #Log4j

【广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件】

12月9日深夜,据腾讯云、阿里云等云厂商消息,Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。

据介绍,Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。

这一漏洞是在使用 Log4j 2 在一定场景条件下处理恶意数据时,可能会造成注入类代码执行。

由于Log4j2 作为日志记录基础第三方库,被大量Java框架及应用使用,只要用到 Log4j2 进行日志输出且日志内容能被攻击者部分可控,即可能会受到漏洞攻击影响。因此,该漏洞也同时影响全球大量通用应用及组件,例如 :Flink、Kafka、ElasticSearch、Redis等等等。。。

影响的版本有:Apache log4j2 >= 2.0, <= 2.14.1

目前,官方已修复,但暂未发布正式漏洞补丁及修复版本,请密切关注官方最新版本发布,并关注服务器的异常行为。用户可排查Java应用是否引入 log4j-api , log4j-core 两个jar包,如有使用可考虑使用如下官方临时补丁进行修复。

也可以通过使用禁止联网、设置参数等方式进行临时缓解。(阿里云)(腾讯云)
乌鸦观察
#漏洞 #Log4j2 #Log4j 【广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件】 12月9日深夜,据腾讯云、阿里云等云厂商消息,‌Apache Log4j 2 被披露出存在严重代码执行漏洞,目前官方还没有正式发布安全公告及版本,漏洞被利用可导致服务器被入侵等危害。 据介绍,Apache Log4j 2是一个开源的日志记录组件,使用非常的广泛。在工程中以易用方便代替了 System.out 等打印语句,它是JAVA下最流行的日志输入工具。 这一漏洞是在使用 Log4j 2…
#漏洞 #Log4j2 #Log4j #开源 #捐赠 #基建

【只有三个人赞助 Log4j 维护者】

在 OpenSSL 项目曝出 Heartbleed 高危漏洞前,人们并不知道许多关键基础组件虽然人人用但却无人维护。在 Java 日志框架 Log4j 本周末曝出高危漏洞后,又一个广泛使用但几乎没人维护的开源项目暴露在人们面前。

Log4j 维护者称他有全职软件开发工作,只能在空闲时间维护该项目,他也想全职维护开源项目,但在这之前 只有三个人(现在人数增加了)赞助 Log4j。使用 Log4j 项目的知名企业包括苹果和微软。

有人主张,如果一家企业使用了一个开源项目但不想自己维护一个版本,那么它有道德上的责任赞助和支持项目的维护者。(Solidot)
乌鸦观察
#漏洞 #Log4j2 #Log4j #开源 #捐赠 #基建 【只有三个人赞助 Log4j 维护者】 在 OpenSSL 项目曝出 Heartbleed 高危漏洞前,人们并不知道许多关键基础组件虽然人人用但却无人维护。在 Java 日志框架 Log4j 本周末曝出高危漏洞后,又一个广泛使用但几乎没人维护的开源项目暴露在人们面前。 Log4j 维护者称他有全职软件开发工作,只能在空闲时间维护该项目,他也想全职维护开源项目,但在这之前 只有三个人(现在人数增加了)赞助 Log4j。使用 Log4j 项目的知名企业包括苹果和微软。…
#漏洞 #log4j #阿里云 #工信部 #消息人士

【阿里云被暂停工信部网络安全威胁信息共享平台合作单位】

南方财经全媒体记者独家获悉,近期,工业和信息化部网络安全管理局通报称,阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,未及时向电信主管部门报告,未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,现暂停阿里云公司作为上述合作单位6个月。暂停期满后,根据阿里云公司整改情况,研究恢复其上述合作单位。(21世纪经济报道)

据了解,11月24日,阿里云安全团队曾向Apache官方报告了Apache Log4j2远程代码执行漏洞。但直到12月9日,工业和信息化部网络安全威胁和漏洞信息共享平台才收到有关网络安全专业机构报告。

网络产品安全漏洞管理规定》规定:网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚;该规定2021年9月1日起施行。
乌鸦观察
#漏洞 #log4j #阿里云 #工信部 #消息人士 【阿里云被暂停工信部网络安全威胁信息共享平台合作单位】 南方财经全媒体记者独家获悉,‌近期,‌工业和信息化部网络安全管理局通报称,‌阿里云计算有限公司(简称“阿里云”)是工信部网络安全威胁信息共享平台合作单位。近日,‌阿里云公司发现阿帕奇(Apache)Log4j2组件严重安全漏洞隐患后,‌未及时向电信主管部门报告,‌未有效支撑工信部开展网络安全威胁和漏洞管理。经研究,‌现暂停阿里云公司作为上述合作单位6个月。暂停期满后,‌根据阿里云公司整改情况,…
#漏洞 #log4j #阿里云 #工信部

【阿里云:早期未意识到漏洞严重性,将提升合规意识】

12月23日,阿里云发布关于开源社区Apache log4j2漏洞情况的说明称,近日,阿里云一名研发工程师发现Log4j2 组件的一个安全bug,遂按业界惯例以邮件方式向软件开发方Apache开源社区报告这一问题请求帮助。Apache开源社区确认这是一个安全漏洞,并向全球发布修复补丁。随后,该漏洞被外界证实为一个全球性的重大漏洞。

阿里云表示,因在早期未意识到该漏洞的严重性,未及时共享漏洞信息。阿里云将强化漏洞管理、提升合规意识,积极协同各方做好网络安全风险防范工作。(阿里云 @微信)

业内普遍质疑阿里云的这次上报操作,使中国政府和企业陷入被动。根据美国国土安全部网络安全和基础设施安全局的声明,黑客从12月1日起,就在利用这一漏洞进行攻击。比利时国防部也对外确认,在12月16日发现有人利用该漏洞对其发起攻击,导致其部分网络瘫痪数日。据英国国家网络安全中心,该漏洞将影响全球数百万电脑,有可能是近年来最严重的网络安全漏洞。

12月22日,财新从各方证实,工信部暂停阿里云作为合作单位6个月,多位云计算人士告诉财新,这更像是一次警告,对阿里云业务的影响极为有限。(财新网)

相关新闻🔗
21-12-10 广泛使用的日志框架Log4j2 存在远程代码执行漏洞,影响大量组件
21-12-22 阿里云被暂停工信部网络安全威胁信息共享平台合作单位
#美国 #Log4J #漏洞 #问责 #诉讼

【FTC 警告将对未能修补 Log4j 漏洞的组织采取法律行动】

美国联邦贸易委员会(FTC)警告,未能保护客户数据免受 Log4Shell 漏洞影响的美国组织可能会面临法律后果。Log4Shell 是广泛使用的 Log4j Java 日志库零日漏洞名称。

FTC 警告称,在 12 月首次被发现的严重漏洞正在被越来越多的攻击者利用,对数百万的消费者产品构成“严重风险”。

公开信敦促各大组织解决该漏洞,以减少对消费者造成伤害的可能性并避免法律诉讼风险。

该机构表示,“当这些漏洞被发现并被利用时,可能会导致个人信息的丢失或泄露,造成经济损失并带来其他不可逆的伤害。”

该机构也表示,“包括《联邦贸易委员会法案》和《金融服务现代化法案》在内的法律要求采取合理的措施解决已知的软件漏洞问题。依赖 Log4j 的公司及其供应商现在就要采取行动,减少对消费者造成伤害的可能性并避免 FTC 采取法律行动,这一点至关重要。”(solidot)(FTC)