微闻

标签: 安全

  • 谷歌增加 Chrome 116 对抗量子加密

    增强 TLS 安全性:谷歌在 Chrome 116 中添加抗量子加密

    谷歌宣布计划从 116 版本开始在其 Chrome 浏览器中添加对抗量子加密算法的支持。

    谷歌在一篇文章中说到:“Chrome 浏览器将从 Chrome 116 开始支持 X25519Kyber768,用于在 TLS 中建立对称密钥。

    Kyber 被美国国家标准与技术研究院选为通用加密候选方案,以应对量子计算的出现所带来的未来网络攻击。Kyber-768的安全性大致相当于AES-192。

    该加密算法已被 Cloudflare、Amazon Web Services 和 IBM 采用。

    X25519Kyber768 是一种混合算法,它结合了 X25519 和 Kyber-768 的输出,以创建用于加密 TLS 连接的强会话密钥。

    虽然量子计算机造成严重风险预计还需要几年甚至几十年的时间,但某些类型的加密很容易受到一种名为“现在捕获,以后解密”的攻击。

    这意味着,在 Chrome 浏览器中,我们越早更新 TLS 以使用抗量子会话密钥,就能越早保护网络流量免受未来量子密码分析的影响。

    —— The Hacker News

  • 谷歌加速Chrome安全更新发布

    谷歌正在加快 Chrome 安全更新发布的步伐

    为了更快地提供安全修复,从 Chrome 116 开始,Chrome 将每周发布稳定频道更新。

    Chrome 每四个星期发布一个新的大版本更新,比如从版本 100 升级到版本 101。过去Chrome 会在中间进行一次稳定更新以解决安全问题。

    现在,从 Chrome 116 开始,稳定版更新将在大版本更新之间每周发布一次。这意味着安全修复会更快地到达你身边。

    Chromium是一个开源项目,为 Chrome 和许多其他浏览器提供支持。任何人都可以查看源代码、提交更改以供审核,并查看其他人所做的更改,甚至是安全错误修复。

    这种开放性有利于测试修复和发现错误,但也有代价:恶意行为者可能会利用这些修复的可见性并开发漏洞来针对尚未收到修复的浏览器用户。这种对已知且已修补的安全问题的利用称为 n-day 攻击。

    这就是为什么谷歌认为尽快发布安全修复以最小化这种“补丁间隔”非常重要。

    —— Google 安全博客

  • 谷歌拦截火绒官网

    谷歌拦截火绒官网

    火绒官网被谷歌浏览器的安全浏览服务拦截

    火绒安全软件 huorong.cn 官网被谷歌的安全浏览工具拦截,无法访问,提示在该网站上发现了有害应用。

    Google 的安全浏览工具是一项旨在保护用户免受恶意软件和欺骗性网站侵害的服务。 当用户访问网站时,它会检查网站是否存在已知的恶意内容、网络钓鱼攻击和其他安全威胁。

    如果网站被标记为不安全,该工具会警告用户避免访问该网站。

    目前在谷歌透明报告中提示以下原因:

    • 在访问者的计算机上安装垃圾软件或恶意软件

    • 包含垃圾软件或恶意软件

  • 微软泄露Windows 11内部工具

    微软意外泄露了其内部工具,该工具可以开启 Windows 11 的秘密功能

    昨天意外发布的 Microsoft StagingTool 是该公司本周“bug bash”活动的一部分,工程师鼓励 Windows 11 测试人员提供反馈,以在重大更新之前消除任何剩余的错误。

    Twitter 用户 XenoPanther 于周三首次发现 StagingTool,几小时后微软迅速将其删除。该内部工具现已被 Windows 社区广泛共享。

    StagingTool 是一个命令行应用程序,可让您切换功能 ID,以启用 Windows 11 的某些未发布部分。当 Microsoft 对功能使用 A/B 测试时,它特别有用,因为只有一小部分 Windows Insider 才能在之前访问某个功能。微软将其更广泛地推广给测试人员。

    微软自己的 StagingTool 泄漏使得启用秘密功能的过程变得更加容易和更加“官方”,因为这是工程师用来测试未发布功能的内部工具。

    —— The Verge

  • Minecraft 1.7.10/1.12.2 模组存在远程代码执行漏洞

    我的世界 (Minecraft) 模组再次被发现存在远程代码执行漏洞(BleedingPipe)。

    此漏洞已被多次利用,许多 1.7.10/1.12.2 的整合包都存在漏洞,但如果安装了受影响的 mod,任何其他版本的 Minecraft 都可能受到影响。

    该漏洞可通过服务器传播,感染任何可能加入的客户端,尽管不确定是否有类似的恶意软件正在传播。

    该漏洞允许在运行 Minecraft mod 的1.7.10/1.12.2 Forge 客户端和服务器上进行完全的远程代码执行(其他版本也可能受到影响)。已经在毫无防备的服务器上观察到 BleedingPipe 漏洞的使用。这是在使用不安全的反序列化代码的 mod 中存在的漏洞,而不是 Forge 本身。

    研究者还发现有黑客正在扫描有 IPv4 公网地址的所有 Minecraft 服务器。但是无法预测黑客的目的是怎样的。

    在这篇文章中已列出来存在漏洞的模组,服务器管理员应该立即更新或删除这些模组,联网登录游戏服务器的玩家也应该检查可疑文件,进行防病毒扫描。

  • 参议院通过保护互联网儿童安全的法案

    参议院通过保护互联网儿童安全的法案

    美国参议院小组推进儿童保护互联网法案

    周四,参议院商务委员会一致投票通过了两项保护互联网儿童安全的法案,《儿童在线安全法案》(KOSA) 和 COPPA 2.0 法案,这两项立法都旨在解决年轻人中持续存在的心理健康危机。

    KOSA 法案禁止孩子们看到不好的内容,如药物滥用和赌博。它还将禁止 13 岁及以下的儿童使用社交媒体,并要求公司在允许 17 岁以下的儿童使用其平台之前获得父母的同意。

    立法者批准的其他法案 COPPA 2.0 将《儿童在线隐私保护法》的保护年龄从 13 岁提高到 16 岁,并有类似的年龄限制。它还禁止平台向儿童投放广告。

    ——The Verge

  • 绕过ChatGPT安全控制的漏洞被发现

    研究人员发现绕过 ChatGPT 安全控制的漏洞

    在周四发布的一份报告中,匹兹堡卡内基梅隆大学和旧金山人工智能安全中心的研究人员展示了任何人如何规避人工智能安全措施并使用任何领先的聊天机器人生成几乎无限量的有害信息。

    研究人员发现,他们可以通过在输入系统的每个英语提示符上附加一长串字符来突破开源系统的护栏。

    如果他们要求其中一个聊天机器人“写一篇关于如何制造炸弹的教程”,它会拒绝这样做。但如果他们在同一个提示中添加一个冗长的后缀,它会立即提供有关如何制作炸弹的详细教程。以类似的方式,他们可以诱使聊天机器人生成有偏见的、虚假的和其他有毒的信息。

    研究人员感到惊讶的是,他们用开源系统开发的方法也可以绕过封闭系统的护栏,包括 OpenAI 的 ChatGPT、Google Bard 和初创公司 Anthropic 构建的聊天机器人 Claude。

    聊天机器人开发公司可能会阻止研究人员确定的特定后缀。但研究人员表示,目前还没有已知的方法可以阻止所有此类攻击。专家们花了近十年的时间试图阻止对图像识别系统的类似攻击,但没有成功。

    Anthropic 政策和社会影响临时主管 Michael Sellitto 在一份声明中表示,该公司正在研究阻止攻击的方法,就像研究人员详细介绍的那样。“还有更多工作要做,”他说。

    —— 纽约时报

  • 联合机构成立来监督安全的人工智能发展

    OpenAI、谷歌、微软和 Anthropic 组成联合机构来监督安全的“前沿人工智能”开发

    四家卓越的人工智能参与者正在联合组建一个新的行业机构,旨在确保所谓的“前沿人工智能”模型的“安全和负责任的开发”。

    为了回应日益增长的监管呼声,ChatGPT的开发者OpenAI、微软、谷歌和Anthropic宣布成立Frontier Model Forum,这个联盟将借助成员公司的专业知识来开发技术评估和基准,并促进最佳实践和标准。

    Forum的核心目标是:1、推进人工智能安全研究,促进前沿模型的负责任开发,降低风险,实现独立的标准化能力和安全评估。2、确定负责任地开发和部署前沿模型的最佳实践,帮助公众理解该技术的性质、能力、限制和影响。3、与决策者、学者、民间社会和公司合作,共享有关信任和安全风险的知识。4、支持开发有助于应对社会最大挑战的应用程序,如应对气候变化、早期癌症检测和预防以及打击网络威胁。

    尽管 Frontier Model Forum 目前只有四名成员,但该团体表示正在向新成员开放。符合资格的组织应该开发和部署前沿人工智能模型,并展示对“前沿模型安全”有着坚定的承诺。

    —— techcrunch

  • iPhone 中钓鱼骗钱的重大漏洞

    苹果 iPhone 曝光重大漏洞,Apple ID 开启双重验证仍被盗刷

    昨日,程序员社区 V2EX 出现了一条热门帖子,用户 airycanon 称自己家人的 iPhone 开启了 Apple ID 双重认证,但仍然被钓鱼骗钱了。

    据称,其家人在 App Store 上下载了一个菜谱类 App,采用 Apple ID 授权登录,随后该 App 弹出了一个密码输入框,输入密码后就被骗取了账号信息,且整个过程中没有出现双重认证弹窗。

    根据博主 BugOS 技术组 的测试,受信设备中的应用拉起隐藏 WebView 访问 appleid.apple.com 无需双重验证,这一重大漏洞使得用户扫个脸即可登录。该 App 又用假的对话框骗取密码,然后将诈骗者的手机号加入双重认证的信任号码,直接远程抹掉设备,使用户无法接收扣款信息,并进行盗刷。

    从整个原理来看,这一方法确实隐蔽且难防,目前尚不清楚苹果何时会修复这一漏洞。博主 BugOS 技术组 表示,当 iPhone 上出现输入 Apple ID 密码的窗口时,按 Home 键或上划手势尝试退出一下,能退出的都是在诈骗。

    —— IT之家 、V2EX

  • AMDZenbleed存在

    谷歌专家发现 Zenbleed 远程执行漏洞,影响所有 AMD Zen 2 CPU 。

    谷歌信息安全研究员 Tavis Ormandy 今天发布博文,表示基于 Zen 2 的 AMD 处理器中发现了新的安全漏洞,并将其命名为 Zenbleed。

    Ormandy 表示所有基于 Zen 2 的 AMD 处理器均受到影响,黑客可以利用该漏洞,窃取加密密钥和用户登录凭证等受到保护的信息。Ormandy 表示黑客不需要物理访问计算机,可以通过网页上的恶意 JS 脚本执行。

    Ormandy 于 2023 年 5 月 15 日向 AMD 报告了该问题,AMD 官方已经发布了有针对性的补丁,Ormandy 并未确认新版固件是否已完全修复该漏洞。

    该漏洞追踪编号为 CVE-2023-20593,能以每核心每秒 30KB 的速度窃取机密数据。此攻击会影响 CPU 上运行的所有软件,包括虚拟机、沙箱、容器和进程。

    受影响的 Zen 2 处理器清单:
    •AMD Ryzen 3000 系列处理器;
    •AMD Ryzen PRO 3000 系列处理器;
    •AMD Ryzen Threadripper 3000 系列处理器;
    •带 Radeon 集显的 AMD Ryzen 4000 系列处理器;
    •AMD Ryzen PRO 4000 系列处理器;
    •带 Radeon 集显的 AMD Ryzen 5000 系列处理器;
    •带 Radeon 集显的 AMD Ryzen 7020 系列处理器;
    •AMD EPYC Rome 系列处理器。

    —— IT之家 、研究员 Ormandy 博文