技术,生活,随看 \随转
LineageOS、Ghost 和 DigiCert 服务器遭黑客入侵
过去几天,黑客利用了两个最近披露的 Salt 漏洞入侵了 LineageOS、Ghost 和 DigiCert 的服务器。Salt 是是一个监视和更新服务器状态的开源配置工具。上周安全公司 F-Secure 的研究人员披露了两个漏洞 CVE-2020-11651 和 CVE-2020-11652,允许远程攻击者绕过身份验证和授权控制,以 root 权限执行命令,它们是最高危的漏洞,CVSS 评分 10/10。负责 Salt 开发的 SaltStack 已在上周释出了补丁修复了漏洞。LineageOS 是一个非常受欢迎的 Android 分支,开发者表示对其服务器的攻击发生在周六晚上八点左右(美太时间),在攻击者未进行任何破坏前就被发现,源代码以及相关构建未受影响。与主基础设施隔离储存的签名钥匙也未受影响。Media
https://www.solidot.org/story?sid=64269
过去几天,黑客利用了两个最近披露的 Salt 漏洞入侵了 LineageOS、Ghost 和 DigiCert 的服务器。Salt 是是一个监视和更新服务器状态的开源配置工具。上周安全公司 F-Secure 的研究人员披露了两个漏洞 CVE-2020-11651 和 CVE-2020-11652,允许远程攻击者绕过身份验证和授权控制,以 root 权限执行命令,它们是最高危的漏洞,CVSS 评分 10/10。负责 Salt 开发的 SaltStack 已在上周释出了补丁修复了漏洞。LineageOS 是一个非常受欢迎的 Android 分支,开发者表示对其服务器的攻击发生在周六晚上八点左右(美太时间),在攻击者未进行任何破坏前就被发现,源代码以及相关构建未受影响。与主基础设施隔离储存的签名钥匙也未受影响。Media
https://www.solidot.org/story?sid=64269
Google 宣布对 Chrome Web Store 进行“大扫除”
Google 宣布对 Chrome Web Store 执行新的规定,减少商店里的低质量和重复递交扩展。新规定从 2020 年 8 月 27 日执行,扩展开发者将不再允许递交重复扩展,如不同名字的墙纸扩展在安装后展示的却是相同墙纸;不再允许滥用关键词在元数据字段输入多个关键词以在搜索时出现在多个类别中;不再允许使用误导性的、格式不当的、非描述性的、不相干或不恰当的元数据;禁止通过欺诈性的、付费的下载方式夸大扩展的评分、安装量和评价。Media
https://www.solidot.org/story?sid=64264
Google 宣布对 Chrome Web Store 执行新的规定,减少商店里的低质量和重复递交扩展。新规定从 2020 年 8 月 27 日执行,扩展开发者将不再允许递交重复扩展,如不同名字的墙纸扩展在安装后展示的却是相同墙纸;不再允许滥用关键词在元数据字段输入多个关键词以在搜索时出现在多个类别中;不再允许使用误导性的、格式不当的、非描述性的、不相干或不恰当的元数据;禁止通过欺诈性的、付费的下载方式夸大扩展的评分、安装量和评价。Media
https://www.solidot.org/story?sid=64264
下一代 Rust OS:zCore 正式发布
来自于清华大学:
> 尝试用 Rust 语言重新实现 Fuchsia 的微内核——Zircon,在此之前,我们已经有过用 Rust 写操作系统——rCore 的经验。经过 100 天的密集开发,赶在官方发布前,我们已经成功山寨了一个 Zircon 内核出来,目前能够正常运行 shell 等基础程序,总代码量仅为 1 万行左右。
https://github.com/rcore-os/zCore
https://zhuanlan.zhihu.com/p/137733625
来自于清华大学:
> 尝试用 Rust 语言重新实现 Fuchsia 的微内核——Zircon,在此之前,我们已经有过用 Rust 写操作系统——rCore 的经验。经过 100 天的密集开发,赶在官方发布前,我们已经成功山寨了一个 Zircon 内核出来,目前能够正常运行 shell 等基础程序,总代码量仅为 1 万行左右。
https://github.com/rcore-os/zCore
https://zhuanlan.zhihu.com/p/137733625
GitHub
GitHub - rcore-os/zCore: Zircon microkernel reimplemented in Rust.
Zircon microkernel reimplemented in Rust. Contribute to rcore-os/zCore development by creating an account on GitHub.
小米被指记录用户的 Web 和手机使用数据
安全研究员 Gabi Cirlig 半开玩笑的说小米手机是带手机功能的后门。他发现小米公司在该公司生产的手机上收集了惊人的数据,这些数据被发送到小米在世界各地租用的服务器上。小米手机默认的小米浏览器会记录用户访问的所有网站,通过 Google 或 DuckDuckGo 的所有搜索查询词,在新闻源浏览的所有条目,即使使用隐身模式小米仍然会跟踪用户。手机还会记录用户打开的文件夹,切换的屏幕,包括状态栏和设置页。另一位网络安全专家 Andrew Tierney 展开了更进一步的调查,发现小米通过 Google 官方应用商店发布的浏览器 Mi Browser Pro 和 Mint Browser 会收集相同的数据。Cirlig 认为这是一起严重的隐私事件,有数以百万计的用户受到影响。小米的设备以低价但高配置著称,但用户付出的代价是隐私。对于这一发现,小米公司回应声称不真实。该公司发言人承认浏览器会收集数据,但表示数据是匿名收集的。Media
https://www.solidot.org/story?sid=64260
安全研究员 Gabi Cirlig 半开玩笑的说小米手机是带手机功能的后门。他发现小米公司在该公司生产的手机上收集了惊人的数据,这些数据被发送到小米在世界各地租用的服务器上。小米手机默认的小米浏览器会记录用户访问的所有网站,通过 Google 或 DuckDuckGo 的所有搜索查询词,在新闻源浏览的所有条目,即使使用隐身模式小米仍然会跟踪用户。手机还会记录用户打开的文件夹,切换的屏幕,包括状态栏和设置页。另一位网络安全专家 Andrew Tierney 展开了更进一步的调查,发现小米通过 Google 官方应用商店发布的浏览器 Mi Browser Pro 和 Mint Browser 会收集相同的数据。Cirlig 认为这是一起严重的隐私事件,有数以百万计的用户受到影响。小米的设备以低价但高配置著称,但用户付出的代价是隐私。对于这一发现,小米公司回应声称不真实。该公司发言人承认浏览器会收集数据,但表示数据是匿名收集的。Media
https://www.solidot.org/story?sid=64260
