谷歌推出的新款 Titan 安全密钥,USB-C 版本 35 美元
谷歌现推出了最新款 Google Titan 安全密钥,可以与苹果、微软、谷歌和其他公司的无密码技术搭配使用。
有两个不同的型号可供选择,都带有 NFC 功能,一种是 USB-C 接口,一种是 USB-A 接口,分别为 35 美元和 30 美元,其他方面与之前的 2021 的版本几乎一样。
Titan 安全密钥包含由谷歌设计的特殊固件,可用于验证密钥的完整性,基于 FIDO 开放标准,与所有支持 FIDO 的(第三方)服务一起使用,它还可以保存多达 250 个账户的密钥。
—— Google 商店
Cloudflare 在为期两天的故障后所有服务均已恢复至运行状态。
尝试恢复供电
虽然我们尚未得到官方确认,但员工告诉我们,有三件事阻碍了发电机重新上线。首先,由于接地故障导致电路跳闸,因此需要对它们进行物理访问并手动重新启动。其次,Flexential 的门禁系统没有备用电池供电,因此处于离线状态。第三,现场的夜班人员不包括经验丰富的操作或电气专家——夜班人员包括保安和一名只上岗一周的无人陪伴的技术人员。
详情请看:Cloudflare 的 Control Plane 和 Analytics 中断的事后分析
新提出的 eiDAS 修正案赋予了欧盟监控 HTTPS 网站的法定权力
2018年,欧盟推出了电子身份识别、认证和信任服务(eiDAS)法规,作为一套规定,通过电子签名、印章、时间戳、交付服务和网站认证,建立了网络空间信任和安全的基准。随着疫情远程办公的出现,一些法规不得不进行修订。
而修订后的 eiDAS 可能很快包括第 45 条,该条允许欧盟政府通过各种方式拦截 HTTPS 协议上的加密互联网流量,从而监视欧盟公民和居民。这一特定的条款未经公众同意进行了修改,现在有超过 300 名学者和技术专家试图通过一封公开信来呼吁采用已建立的网络标准,以抨击对人权的如此严重侵犯。
如果第 45条 按照原样通过,欧盟政府将能够在借口提高网站用户安全性的情况下随意插入新的根 HTTPS 证书,并禁止浏览器对这些证书进行安全审查,未经政府许可,浏览器不得撤销对这些证书的信任。然而,这些新插入的证书也可能用于拦截整个欧盟的 Web 流量,从中收集机密数据。
签署者敦促欧洲委员会“紧急重新考虑这一文本,并明确第 45 条不会干扰用于保护 Web 流量的加密密钥和证书的信任决策。”
—— Mozilla 基金会
Cloudflare 服务受数据中心断电影响,影响多个服务。
Cloudflare 发布故障通告表示,正在评估断电对数据中心的影响,同时对服务进行故障转移。并正在努力解决这个问题。
该事件影响多个服务在 data plane / edge level 出现故障:Logpush、WARP/Zero Trust device posture、Cloudflare 仪表板、Cloudflare API、Stream API、Workers API、警报通知系统。
部分在 control plane / core level 受到影响,这意味着只有现有配置的更改受到影响,但产品在边缘运行:Magic Transit, Argo Smart Routing, Workers KV, WAF, Rate Limiting, Rules, WARP / Zero Trust Registration, Waiting Room 等。
—— Cloudflare
Bitwarden 开始为其密码管理器添加 Passkey 支持
Bitwarden 是一款自由且开源密码管理器,它正在其最新版本的浏览器扩展中添加对 Passkey 的支持。
Passkey 可以使用设备的 PIN、面部或指纹进行身份验证,是比传统密码更安全、更方便的替代方案,也更能抵御网络钓鱼攻击。
该公司宣布将在新的 2023.10 版本中支持 Passkey,目前 Chrome 应用商店上的版本已经更新到这一最新版本,Safari 上的也已可以使用了。但目前无法在该公司的移动应用中存储 Passkey。
—— The Verge、Bitwarden 更新日志
中方确认3名中国公民在哈马斯恐袭以色列过程中丧生,亲历者称对方在看出他们是中国人的情况下仍对他们开枪
在10月12日的例行记者会上,中国外交部发言人汪文斌就记者有关巴以冲突期间中国公民伤亡情况表示,据了解,目前已确认有3名中国公民在冲突中不幸遇难,2人失联,数人受伤。他说,“我们对遇难者表示沉痛哀悼,向遇难者家属和伤者表示诚挚慰问”,并表示,中国有关驻外外交机构正全力协调救治伤员,做好遇难者善后工作,敦促外方全力搜救失联人员,采取一切有效措施,保障中方人员和机构安全。
10月11日,香港电台援引以色列中华商会的消息称,自周六哈马斯发动对以色列的恐怖袭击以来,至少已有两名失踪的中国籍工人丧生。此前还有消息称,在当地有3名中国人中弹受伤,4名中国人处于失联状态。死者中有一名邹姓工人,来自江苏,35岁。家属已获悉消息,正等待处理后事。
网上还流传一段标有”以色列中华商会”的视频里,一名王姓先生讲述他在10月7日遭遇哈马斯恐怖袭击的经历。当时,他被要求双手抱头趴在地上,但是对方在看出他们是中国人的情况下仍对他们开枪,他不幸身中两弹,后被以色列的急救直升机救走送到医院救治。另外一名同行工友一起下车时被枪击倒,当时他听到了工友中枪后的惨叫,之后两人失去联系。
—— 德国之声
谷歌将开始在登录帐户时提示用户创建通行密钥(Passkeys)
在 5 月份首次推出后,Google 很快将积极鼓励用户为其帐户设置通行密钥(Passkeys)。
使用通行密钥,登录 Google 帐户只需输入用户名,然后使用你的手机或计算机的现有密码(PIN码、指纹、面部识别等)来确认登录尝试。
谷歌将在用户“下次登录谷歌帐户时”显示创建通行密钥的提示。你必须为每部手机、平板电脑、笔记本电脑和台式机创建一个 Google 帐户通行密钥,而通行密钥则无需 Google 的两步验证。
用户仍然可以通过关闭“尽可能跳过密码输入步骤”选项来仅使用密码而不是通行密钥。如果设备丢失,你可以在设置中撤销 Google 帐户通行密钥。
—— 9to5google
订阅转换工具 SubConverter 发布 v0.8.0 版本,修复 RCE 安全漏洞
SubConverter 是在各种订阅格式之间进行转换的实用程序。日前曝光出 RCE 安全漏洞,目前官方已发布新版本 v0.8.0 修复了此漏洞,项目官方强烈建议所有用户更新。
详细信息:
https://github.com/tindy2013/subconverter/releases/tag/v0.8.0
谷歌发布 2023 年 10 月份 Android 安全公告 ,其中 2023-10-06 安全补丁将修复 WebP 0day 漏洞
最近被发现的 WebP 编解码器的严重漏洞(CVE-2023-4863),这个漏洞涉及到 WebP 图像格式中的堆缓冲区溢出。谷歌计划在 2023-10-06 安全补丁中修复。
现在谷歌正式发布了 2023 年 10 月的 Android 安全公告,详细介绍了 2023-10-0X 安全补丁级别中解决的漏洞。其中的 2023-10-06 SPL 表示已针对最近的关键 WebP 0day 漏洞(CVE-2023-4863)进行了修补。
https://source.android.com/docs/security/bulletin/2023-10-01
—— Mishaal Rahman
谷歌修补商业间谍软件供应商利用的零日漏洞
谷歌已紧急修复 Chrome 中被商业间谍软件供应商利用的零日漏洞。
就在补丁发布前两天,谷歌威胁分析小组(TAG)的 Clement Lecigne 向 Chrome 团队报告了该漏洞。 谷歌表示,它已经意识到这个漏洞的存在,该漏洞被追踪为 CVE-2023-5217,并被描述为“libvpx 中 vp8 编码的堆缓冲区溢出”。
谷歌威胁分析小组(TAG)的研究员 Maddie Stone 在推特上发帖称,该 Chrome 漏洞已被利用来安装间谍软件。
该漏洞已在 Google Chrome 117.0.5938.132 中修复,该版本现已通过稳定桌面通道向 Windows、Mac 和 Linux 用户推出。
—— Techcrunch