苹果修复 Vision Pro 安全漏洞,该漏洞可能会泄露输入的内容
今年,由六名计算机科学家组成的小组发现了 Apple Vision Pro 中的一个安全漏洞,该漏洞允许他们重建人们输入的内容,包括密码、PIN 和消息。当 Vision Pro 用户使用虚拟 Persona 头像时,研究人员能够通过分析 Persona 的眼球运动或“注视”来判断用户在头显虚拟键盘上输入的内容。研究人员称,人们的目光通常会集中在他们接下来可能按下的键上。因此,研究人员在五次猜测内能够92%的准确率识别出人们在消息中输入的字母,对于密码的识别准确率为77%。研究人员于四月份向苹果公司披露了此漏洞,苹果于七月份在 visionOS 1.3 中解决了此问题。
—— 连线杂志
存在软件问题 斯特兰蒂斯召回近150万辆皮卡
当地时间9月7日,汽车制造商斯特兰蒂斯宣布召回近150万辆公羊(RAM)皮卡,以修复一个可能导致电子稳定控制系统失效的软件问题。美国的安全标准要求电子稳定控制系统在车辆驾驶的所有阶段都起作用,而本次召回皮卡所安装的防抱死制动软件可能会关闭稳定控制系统。斯特兰蒂斯表示,经销商将为客户免费更新软件。据悉,此次全球召回主要影响北美市场,将涵盖2019年以及2021年至2024年的相关车型。
—— 央视新闻、Engadget
备受争议的AI安全法案在加州议会获得通过
加州议会批准了一项有争议的人工智能安全法案,要求公司确保其技术不会造成重大伤害。SB 1047法案现在将返回州参议院进行确认投票和可能的修订,然后交由州长加文·纽森审议。该法案以41票赞成、9票反对的结果在州议会获得通过。SB 1047要求开发强大人工智能模型的公司采取“合理谨慎”措施,确保其技术不会造成“严重伤害”,例如大规模人员伤亡或超过5亿美元的财产损失。该法案要求公司采取预防措施,例如实施可以随时关闭其技术的开关。还要求将模型提交给第三方测试,以确保将严重风险降至最低。不遵守该法案的公司可能会被加州总检察长起诉。
—— 彭博社
马斯克意外支持加州人工智能法案
埃隆·马斯克公开支持加州的SB 1047法案,该法案要求大型AI模型的制造商制定并记录防止这些模型造成严重危害的安全措施。“这是一个艰难的决定,会让一些人不满,但综合考虑,我认为加州可能应该通过SB 1047人工智能安全法案,”他在周一下午于X平台上写道。“在过去的20多年里,我一直倡导对人工智能进行监管,就像我们对任何可能存在风险的产品/技术进行监管一样。”尽管马斯克承诺离开加州,但他自己的大型人工智能公司xAI仍将受到SB 1047法案的要求约束。马斯克此前曾警告失控的人工智能带来的危险。
—— Techcrunch
微软macOS应用存在危险漏洞 但微软不这么看
思科 Talos 表示,微软 macOS 应用中的八个漏洞可能被恶意人员滥用,从用户设备录制视频和声音、访问敏感数据、记录用户输入以及提升权限。这些漏洞存在于 Excel、OneNote、Outlook、PowerPoint、Teams 和 Word 中,但微软告诉 Talos 不会修复这些漏洞。所有八个漏洞如下所示:
CVE-2024-42220 (Outlook)
CVE-2024-42004 (Teams – work or school) (main app)
CVE-2024-39804 (PowerPoint)
CVE-2024-41159 (OneNote)
CVE-2024-43106 (Excel)
CVE-2024-41165 (Word)
CVE-2024-41145 (Teams – work or school) (WebView.app helper app)
CVE-2024-41138 (Teams – work or school) (com.microsoft.teams2.modulehost.app)
Talos 高级安全研究工程师弗朗西斯科·本韦努托表示:“微软认为这些问题风险较低,他们声称他们的一些应用需要允许加载未签名的库来支持插件,因此拒绝修复这些问题。”
但苹果的安全模型是基于权限的。例如,黑客可以利用 Word,并将一些代码注入 Word 的进程,他们就能够访问受保护的资源。
—— The Register
美国制定道路安全计划让汽车相互“对话”
美国交通部制定了一项全国性的道路安全计划,该计划将使汽车之间能够互相通信。该机构希望,广泛部署车联网 (V2X) 技术将增强其“致力于采取全面措施将道路交通事故死亡人数降至零”的承诺。V2X 使车辆能够彼此保持联系,并与行人、骑行者、其他道路使用者和路边基础设施保持联系。让他们可以共享位置、速度以及道路状况等信息。即使在能见度较差的情况下,如拐角处、浓雾或大雨中也能实现。短期内,该计划的目标是到 2028 年在 20% 的美国国家高速公路系统上建立 V2X 基础设施,并在全国 25% 的大都市地区的信号交叉口启用 V2X。
—— 美国公共广播电台
谷歌将更新 Verizon 版 Pixel 手机以删除有安全风险的演示应用
Verizon 运营商定制版本的谷歌 Pixel 手机中存在安全隐患。安全研究人员表示,该问题与“Showcase.apk”有关,这是为 Verizon 制作的软件,用于在零售店展示 Pixel 设备时将其置于演示模式。该软件通过未加密的网络连接下载配置文件,由于 Showcase 的深度访问权限,这可能会允许不良行为者在设备上执行远程代码执行或远程包安装。该演示应用无法在用户级别卸载。虽然默认情况下不启用,但有多种方法可以激活。谷歌发言人表示:“谷歌将在未来几周内通过软件更新从所有 Pixel 设备中删除该软件。”
—— Engadget
Windows 曝严重安全漏洞,攻击者可零点击远程入侵设备
此漏洞被编号为 CVE-2024-38063,是一个严重漏洞,评分为9.8。它存在于 Windows 的 TCP/IP 网络堆栈中,是一个严重的远程代码执行漏洞。未经身份验证的攻击者可以通过反复向 Windows 设备发送特制的 IPv6 数据包,触发漏洞并实现远程代码执行。
攻击者无需任何用户交互即可利用漏洞,入侵系统并获取最高权限。利用难度低,攻击者可以通过批量扫描互联网,寻找存在漏洞的主机。攻击者无需以用户身份进行身份验证。不需要访问受害者计算机上的任何设置或文件。受害者设备用户不需要进行任何交互操作,无需点击链接、加载图像或执行文件。
强烈建议用户立即更新系统至最新版本。微软正在发布相关补丁以修复此漏洞。如果目标计算机上禁用 IPv6,系统不会受到影响。 大多数情况下,用户获取到的 IPv6 地址为公网地址,因此攻击者极有可能对特定公司、学校、机构或目标人群进行有针对性的入侵。
—— LoopDNS资讯 ,微软
华为鸿蒙 NEXT 为 Webview 加入网址检查 API,违规诈骗检测接口不可关闭
ArkTS API 11+ 可以启用检查网站安全风险的功能。开发文档显示违规和诈骗网站的检查是默认启用的,不能通过此接口关闭;风险网站的检查是默认关闭的,可以通过此接口开启或关闭。
违规和诈骗网站的检查会发送 URL 哈希前缀和网站域名到服务器做检测,风险网站的检查会发送 URL 哈希前缀和脱敏 URL 到服务器做检测。
—— 在花频道、鸿蒙 NEXT开发文档
联合国推动具有争议的《联合国打击网络犯罪公约》,反对者担忧侵犯人权
尽管有人担心这项协议可能让世界各国政府通过调查电子通讯和绕过隐私保护来侵犯人权,但一项关于计算机技术犯罪使用的全球协议仍在推进。
近200个国家在周四举行的特别委员会会议上批准了《联合国打击网络犯罪公约》,结束了数月复杂的谈判。该公约为各国合作打击互联网相关犯罪建立了框架,其中包括非法获取和拦截计算机信息、电子窃听和网络儿童性虐待。条约预计数月内将获得联大批准。
预计今年晚些时候在大会上通过的公约始于几年前俄罗斯的一项倡议,批评人士表示,他们在该条约诸多有利于实施压迫的文字中看到与俄罗斯的渊源。
—— 美联社