Forwarded from AIM扩散力场 (零件)
This media is not supported in your browser
VIEW IN TELEGRAM
【这是一条来自Bernard小哥的高考祝福,请您查收~】
祝大家高考顺利!学业有成!
祝大家高考顺利!学业有成!
Forwarded from Hacker News
GitHub
acme.sh runs arbitrary commands from a remote server · Issue #4659 · acmesh-official/acme.sh
Hello, You may already be aware of this, but HiCA is injecting arbitrary code/commands into the certificate obtaining process and acme.sh is running them on the client machine. I am not sure if thi...
CVE-2023-34312
In Tencent QQ through 9.7.8.29039 and TIM through 3.4.7.22084, QQProtect.exe and QQProtectEngine.dll do not validate pointers from inter-process communication, which leads to a write-what-where condition.
https://nvd.nist.gov/vuln/detail/CVE-2023-34312
In Tencent QQ through 9.7.8.29039 and TIM through 3.4.7.22084, QQProtect.exe and QQProtectEngine.dll do not validate pointers from inter-process communication, which leads to a write-what-where condition.
https://nvd.nist.gov/vuln/detail/CVE-2023-34312
Forwarded from Hacker News
words.filippo.io
I want XAES-256-GCM/11
I want the extended-nonce 256-bit reduced-rounds XAES-256-GCM/11 AEAD. It has infinitely randomizable nonces, a comfortable margin of multi-user security, and nearly the same performance as AES-128-GCM. Only issue is that it doesn’t exist.
Forwarded from Solidot
Mozilla 反对 Google 的 Web Environment Integrity API 提议
2023-07-25 12:57 by 守卫者
四名 Google 开发者——其中至少一人是隐私沙盒(Privacy Sandbox)团队成员——提出了一个新的 Web 标准 Web Environment Integrity API。该 API 在功能上类似苹果的 App Attest 和 Android 的 Play Integrity API,以 Play Integrity API 为例,如果它检测到 Android 设备获得了 root 访问权限,不管是用户做的还是恶意程序做的,那么特定应用程序如银行或钱包应用将会拒绝运行。换句话说,Google 想要在 Web 上创造某种 DRM。这一提议引发了广泛争议。浏览器 Firefox 的开发商 Mozilla 已经表达了反对意见,认为它会和 EME 一样从理论上的供应商中立变成实际上的供应商锁定。
https://github.com/mozilla/standards-positions/issues/852
https://arstechnica.com/gadgets/2023/07/googles-web-integrity-api-sounds-like-drm-for-the-web/
#Mozilla
2023-07-25 12:57 by 守卫者
四名 Google 开发者——其中至少一人是隐私沙盒(Privacy Sandbox)团队成员——提出了一个新的 Web 标准 Web Environment Integrity API。该 API 在功能上类似苹果的 App Attest 和 Android 的 Play Integrity API,以 Play Integrity API 为例,如果它检测到 Android 设备获得了 root 访问权限,不管是用户做的还是恶意程序做的,那么特定应用程序如银行或钱包应用将会拒绝运行。换句话说,Google 想要在 Web 上创造某种 DRM。这一提议引发了广泛争议。浏览器 Firefox 的开发商 Mozilla 已经表达了反对意见,认为它会和 EME 一样从理论上的供应商中立变成实际上的供应商锁定。
https://github.com/mozilla/standards-positions/issues/852
https://arstechnica.com/gadgets/2023/07/googles-web-integrity-api-sounds-like-drm-for-the-web/
#Mozilla
Forwarded from 科技圈🎗在花频道📮 (在花⭐️投稿📮Bot)
惠普声称其无线打印机并不支持USB,但事实上他们只不过用了一张贴纸遮挡USB接口
Mastodon用户指控惠普欺诈,惠普声称其廉价打印机只支持Wi-Fi而没有USB接口。但实际上,该用户发现可以通过隐藏的USB接口进行链接,而惠普只是贴了个"ban usb"的小标签欺骗消费者。
该用户担心认为惠普试图将用户文件存储在不安全的云服务中,可能被黑客攻击。并建议不要将个人数据交给HP。
投稿:@ZaiHuaBot
频道:@TestFlightCN
Mastodon用户指控惠普欺诈,惠普声称其廉价打印机只支持Wi-Fi而没有USB接口。但实际上,该用户发现可以通过隐藏的USB接口进行链接,而惠普只是贴了个"ban usb"的小标签欺骗消费者。
该用户担心认为惠普试图将用户文件存储在不安全的云服务中,可能被黑客攻击。并建议不要将个人数据交给HP。
来源:Mastodon(@netspooky)投稿:@ZaiHuaBot
频道:@TestFlightCN
Forwarded from Solidot
Notepad++ 漏洞允许执行任意代码
2023-09-05 13:00 by 图夫航行记
流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5(中危)到 7.8(高危)不等。他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC。
https://cybersecuritynews.com/multiple-notepad-flaw/
https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources
#安全
2023-09-05 13:00 by 图夫航行记
流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5(中危)到 7.8(高危)不等。他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC。
https://cybersecuritynews.com/multiple-notepad-flaw/
https://securitylab.github.com/advisories/GHSL-2023-092_Notepad__/#resources
#安全
https://www.bilibili.com/video/av233299423
省流: 红星 OS 在打开具有写权限的 docx, png, mp3 等文件浏览时会在文件内添加设备标识符。
省流: 红星 OS 在打开具有写权限的 docx, png, mp3 等文件浏览时会在文件内添加设备标识符。
Bilibili
红星OS能离线追踪用户?实测结果令人震惊!_哔哩哔哩_bilibili
红星OS能离线追踪用户?实测结果令人震惊!, 视频播放量 799932、弹幕量 2906、点赞数 27263、投硬币枚数 4246、收藏人数 9151、转发人数 6569, 视频作者 科技老男孩, 作者简介 商务合作请联系微信:shukea02,相关视频:能离线追踪用户的操作系统,红星OS的数字水印到底记录了什么?,体验一下朝鲜的操作系统,并给它连上互联网。,【软件科普】认识Linux系统,这是抓了多少个美国程序员才搞出来的?揭秘朝鲜自研系统红星OS!,朝鲜发出严正警告!,最像macOS的Linux系统——红星OS…
Forwarded from Solidot
通过 Google Play 传播的恶意版 Telegram 被下载了逾六万次
2023-09-12 13:54 by 盲点
通过 Google Play 传播的恶意版 Telegram 在被 Google 下架前下载了逾六万次。恶意版本主要针对中文用户,感染之后会通过间谍软件窃取用户消息和通讯录等数据。恶意版 Telegram 被宣传是原版更快的替代。它们表面上与原版相同,但加入了窃取用户数据的代码。恶意版本包括了名叫 com. wsys 的包,能访问用户的联系人,收集用户名、用户 ID 和电话号码。当用户收到消息时,间谍软件会向位于 sg[.]telegrnm[.]org 指令控制服务器发送副本。恶意版本的包名称为 org.telegram.messenger.wab 和 org.telegram.messenger.wob,原版是 org.telegram.messenger.web。今年早些时候安全研究人员还发现了恶意版本的 Signal 和 WhatsApp,也被认为主要针对中文用户。
https://www.bleepingcomputer.com/news/security/evil-telegram-android-apps-on-google-play-infected-60k-with-spyware/
#安全
2023-09-12 13:54 by 盲点
通过 Google Play 传播的恶意版 Telegram 在被 Google 下架前下载了逾六万次。恶意版本主要针对中文用户,感染之后会通过间谍软件窃取用户消息和通讯录等数据。恶意版 Telegram 被宣传是原版更快的替代。它们表面上与原版相同,但加入了窃取用户数据的代码。恶意版本包括了名叫 com. wsys 的包,能访问用户的联系人,收集用户名、用户 ID 和电话号码。当用户收到消息时,间谍软件会向位于 sg[.]telegrnm[.]org 指令控制服务器发送副本。恶意版本的包名称为 org.telegram.messenger.wab 和 org.telegram.messenger.wob,原版是 org.telegram.messenger.web。今年早些时候安全研究人员还发现了恶意版本的 Signal 和 WhatsApp,也被认为主要针对中文用户。
https://www.bleepingcomputer.com/news/security/evil-telegram-android-apps-on-google-play-infected-60k-with-spyware/
#安全
👍3