WSJ研究:中国正在执行将美国技术赶出去的指令
对于在中国的美国科技公司来说,不祥之兆已经出现,并且写在了“国资委2022年79号文件”上。中国政府2022年的这一指令扩大了将美国技术挤出中国的行动,一些人将其称为“消A”,即“清除美国科技 ” 。
据知情人士称,79号文十分敏感,高级官员和高管只是看到了该指令,但不许复制。该文件要求金融、能源和其他行业的国有企业在2027年之前更换IT系统中的外国软件。
这项指令是由领导和监管中国庞大国央企系统的国资委下达的,中国最大的100家上市公司中有60多家都属于国企系统。2022年中国国有部门的公共采购支出超过人民币48万亿元。该指令利用这种购买力来支持中国的科技公司,而这些公司反过来又可以改进产品,缩小与美国竞争对手的技术差距。
—— 华尔街日报
Notepad++ 多个漏洞让攻击者能执行任意代码
流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞,允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。
GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现,Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞,这些漏洞的风险评分从 5.5(中危)到 7.8(高危)不等。
他是在四月底报告了漏洞,但直到 Notepad++ 发布最新版本 v8.5.6 漏洞仍然没有修复,因此根据披露政策公开了漏洞和 PoC。
—— solidot
网络犯罪分子正在利用Telegram内的自动化功能,如机器人执行恶意软件计划
Intel 471观察到网络犯罪分子利用这些信息应用来传播他们自己的恶意软件的几种不同方式。主要是与信息窃取者一起使用,网络犯罪分子已经找到方法,利用这些平台来托管、分发和执行各种功能,最终使他们能够从毫无戒心的用户那里窃取证书或其他信息。
Intel 471研究人员发现了几个可供自由下载的信息窃取器,它们的功能依赖于Discord或Telegram。…
此前,Intel 471观察到网络犯罪地下服务的上升,这些服务允许攻击者利用Telegram机器人,努力拦截一次性密码(OTP)令牌。恶意行为者继续建立这些服务,在各种网络犯罪论坛上出售对它们的访问。
Intel 471研究人员在4月份观察到的一个机器人,被称为Astro OTP,允许运营商获得OTP和短信息服务(SMS)验证码。据称,运营商可以通过Telegram界面执行简单的命令直接控制该机器人。
访问该机器人的费用非常便宜,25美元可以买到一天的订阅,300美元可以买到终身订阅。
—— Intel 471