#telegram #隐私 #漏洞 #Mac #密码 #安全
【Mac版Telegram被发现漏洞 造成没有真正销毁自毁视频与明文保存密码】
如果你在 Mac 上使用 Telegram,你应该升级到其最新7.4版本,因为该公司修复了两个可能影响你的隐私的关键漏洞。分别是没有删除 macOS 电脑上的自毁视频和以明文保存应用程序的密码。
安全研究人员 Dhiraj Mishra 在 Telegram 稳定的 macOS 客户端(7.3版本)中发现了这些漏洞,而 Telegram 颁发了3000美元的漏洞赏金。
Mishra 发现,由于一个 bug,即使从桌面客户端删除了媒体文件,媒体文件仍然存在于接收方的本地系统中。而如果发送者和接收者使用的是 macOS 应用,那么文件会在两端存储。
Mishra 还发现,用户可以应用一个密码来打开应用,但这个密码被以纯文本的形式存储在一个 JSON 文件中,任何能够访问电脑的人都可以读取。
Mishra 还说:我在2020年12月26日就向 Telegram 报告,到2021年1月6日才收到回复,直到1月30日推出的最新版本中才对漏洞进行了修复。Telegram 的责任披露政策一般,可以改进。(cnbeta)(thenextweb)(portswigger)
【Mac版Telegram被发现漏洞 造成没有真正销毁自毁视频与明文保存密码】
如果你在 Mac 上使用 Telegram,你应该升级到其最新7.4版本,因为该公司修复了两个可能影响你的隐私的关键漏洞。分别是没有删除 macOS 电脑上的自毁视频和以明文保存应用程序的密码。
安全研究人员 Dhiraj Mishra 在 Telegram 稳定的 macOS 客户端(7.3版本)中发现了这些漏洞,而 Telegram 颁发了3000美元的漏洞赏金。
Mishra 发现,由于一个 bug,即使从桌面客户端删除了媒体文件,媒体文件仍然存在于接收方的本地系统中。而如果发送者和接收者使用的是 macOS 应用,那么文件会在两端存储。
Mishra 还发现,用户可以应用一个密码来打开应用,但这个密码被以纯文本的形式存储在一个 JSON 文件中,任何能够访问电脑的人都可以读取。
Mishra 还说:我在2020年12月26日就向 Telegram 报告,到2021年1月6日才收到回复,直到1月30日推出的最新版本中才对漏洞进行了修复。Telegram 的责任披露政策一般,可以改进。(cnbeta)(thenextweb)(portswigger)
#肯德基 #漏洞 #诈骗 #传授犯罪方法 #非法谋利 #百胜
【大学生发现免费吃肯德基漏洞 传授4人借此非法谋利被获刑两年半】
上海市徐汇区人民法院开庭审理了“5名在校大学生让肯德基品牌所有者百胜公司损失了20余万元案”,此案中徐某等五人因犯诈骗罪、传授犯罪方法罪被判处有期徒刑两年六个月至一年三个月不等,并处罚金。
徐某,1998年生,是江苏某大学的在校生。2018年4月,在利用肯德基客户端点餐过程中,徐某无意间发现两个漏洞...分别可免费一份兑换券与一份套餐。
发现这个漏洞后,从当年4月起,徐某除了自己这样点餐操作,徐某还将诈骗得来的套餐产品通过线上交易软件低价出售给他人,从中获利。
同时,他还将犯罪方法当面或通过网络传授给丁某等4名同学。截至同年10月案发,徐某的行为造成百胜公司损失5.8万余元,丁某等四人造成百胜公司损失0.89万元至4.7万元不等。
徐汇法院审理查明,无论哪种方法,被告人是利用系统的数据不同步来实施犯罪,并非系统本身发生的机械故障或者缺陷,其行为存在欺骗性。...法院认定各被告人明知百胜公司旗下品牌肯德基APP客户端和微信客户端自助点餐系统存在数据不同步的漏洞,仍以非法占有为目的,进行虚假交易,进而非法获取财物的行为认定为诈骗罪。
...
根据被告人犯罪的事实、性质、情节和对于社会的危害程度,徐汇法院依法认定徐某犯诈骗罪,判处有期徒刑二年,并处罚金人民币六千元;犯传授犯罪方法罪,判处有期徒刑十个月,决定执行有期徒刑二年六个月,并处罚金人民币六千元。
丁某等四人皆因相同案由被分别认定为诈骗罪或诈骗罪、传授犯罪方法罪,分别被判处有期徒刑两年至一年三个月,并处罚金人民币四千元至一千元不等的刑罚。(澎湃新闻)
【大学生发现免费吃肯德基漏洞 传授4人借此非法谋利被获刑两年半】
上海市徐汇区人民法院开庭审理了“5名在校大学生让肯德基品牌所有者百胜公司损失了20余万元案”,此案中徐某等五人因犯诈骗罪、传授犯罪方法罪被判处有期徒刑两年六个月至一年三个月不等,并处罚金。
徐某,1998年生,是江苏某大学的在校生。2018年4月,在利用肯德基客户端点餐过程中,徐某无意间发现两个漏洞...分别可免费一份兑换券与一份套餐。
发现这个漏洞后,从当年4月起,徐某除了自己这样点餐操作,徐某还将诈骗得来的套餐产品通过线上交易软件低价出售给他人,从中获利。
同时,他还将犯罪方法当面或通过网络传授给丁某等4名同学。截至同年10月案发,徐某的行为造成百胜公司损失5.8万余元,丁某等四人造成百胜公司损失0.89万元至4.7万元不等。
徐汇法院审理查明,无论哪种方法,被告人是利用系统的数据不同步来实施犯罪,并非系统本身发生的机械故障或者缺陷,其行为存在欺骗性。...法院认定各被告人明知百胜公司旗下品牌肯德基APP客户端和微信客户端自助点餐系统存在数据不同步的漏洞,仍以非法占有为目的,进行虚假交易,进而非法获取财物的行为认定为诈骗罪。
...
根据被告人犯罪的事实、性质、情节和对于社会的危害程度,徐汇法院依法认定徐某犯诈骗罪,判处有期徒刑二年,并处罚金人民币六千元;犯传授犯罪方法罪,判处有期徒刑十个月,决定执行有期徒刑二年六个月,并处罚金人民币六千元。
丁某等四人皆因相同案由被分别认定为诈骗罪或诈骗罪、传授犯罪方法罪,分别被判处有期徒刑两年至一年三个月,并处罚金人民币四千元至一千元不等的刑罚。(澎湃新闻)
#GitHub #安全 #恶意软件 #漏洞 #托管
【GitHub推出新政策,允许托管以安全研究为目的的恶意软件】
6月4日,GitHub 更新了社区准则,允许托管以安全研究为目的的漏洞和恶意软件
此前3月10日,安全研究员 Nguyen Jang 在 GitHub 上传了一个关于微软 Exchange ProxyLogon 的概念验证漏洞(PoC),而 GitHub 官方不久后向他发送了一封邮件,邮件称为了保护微软 Exchange 服务器,已将该上传的漏洞删除。
然而,GitHub 官方的这一做法引来了质疑,安全人员表示:如果仅仅是因为微软的软件有漏洞,GitHub 就不允许托管漏洞和恶意软件,并且进行监管,那么这种做法是不对的。
经过数月的探讨,GitHub 发布了新的社区准则,允许托管以安全研究为目的的漏洞和恶意软件,禁止为恶意活动托管恶意软件、充当命令和控制服务器,以及用于分发恶意脚本而创建的仓库。GitHub 表示,他们将继续支持社区对其政策的反馈,以继续改进其政策。(it之家)(bleepingcomputer)(GitHub)(vice)
【GitHub推出新政策,允许托管以安全研究为目的的恶意软件】
6月4日,GitHub 更新了社区准则,允许托管以安全研究为目的的漏洞和恶意软件
此前3月10日,安全研究员 Nguyen Jang 在 GitHub 上传了一个关于微软 Exchange ProxyLogon 的概念验证漏洞(PoC),而 GitHub 官方不久后向他发送了一封邮件,邮件称为了保护微软 Exchange 服务器,已将该上传的漏洞删除。
然而,GitHub 官方的这一做法引来了质疑,安全人员表示:如果仅仅是因为微软的软件有漏洞,GitHub 就不允许托管漏洞和恶意软件,并且进行监管,那么这种做法是不对的。
经过数月的探讨,GitHub 发布了新的社区准则,允许托管以安全研究为目的的漏洞和恶意软件,禁止为恶意活动托管恶意软件、充当命令和控制服务器,以及用于分发恶意脚本而创建的仓库。GitHub 表示,他们将继续支持社区对其政策的反馈,以继续改进其政策。(it之家)(bleepingcomputer)(GitHub)(vice)
#工信部 #漏洞 #平台 #网络安全
【工信部网络安全威胁和漏洞信息共享平台正式上线运行】
为落实《网络产品安全漏洞管理规定》有关要求,工业和信息化部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台于2021年9月1日正式上线运行。
根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网APP产品安全漏洞专业库、车联网产品安全漏洞专业库等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。
平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。(工信微报 @微信)
【工信部网络安全威胁和漏洞信息共享平台正式上线运行】
为落实《网络产品安全漏洞管理规定》有关要求,工业和信息化部网络安全管理局组织建设的工业和信息化部网络安全威胁和漏洞信息共享平台于2021年9月1日正式上线运行。
根据《网络产品安全漏洞管理规定》,网络产品提供者应当及时向平台报送相关漏洞信息,鼓励漏洞收集平台和其他发现漏洞的组织或个人向平台报送漏洞信息。平台包括通用网络产品安全漏洞专业库、工业控制产品安全漏洞专业库、移动互联网APP产品安全漏洞专业库、车联网产品安全漏洞专业库等,支持开展网络产品安全漏洞技术评估,督促网络产品提供者及时修补和合理发布自身产品安全漏洞。
平台由中国信息通信研究院会同国家工业信息安全发展研究中心、中国软件评测中心、中国汽车技术研究中心等国家网络安全专业机构共同建设。(工信微报 @微信)