谷歌浏览器发布紧急更新修复一个已被利用的零日漏洞
谷歌已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个被实际利用的高严重性零日漏洞。
浏览器供应商在周五发布的安全公告中说:谷歌知道CVE-2022-1096的一个漏洞被利用。
99.0.4844.84版本已经在稳定的桌面频道中向全球推出,谷歌表示,直到它到达整个用户群可能需要一个星期的时间。
今天修复的零日漏洞(被追踪为CVE-2022-1096)是Chrome V8 JavaScript引擎的一个高严重性的类型混淆弱点,由一名匿名安全研究员报告。
虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃,通过读取或写入超出缓冲区的内存,攻击者也可以利用它们来执行任意代码。
即使谷歌说它检测到这一零日漏洞的攻击,该公司也没有分享有关这些事件的技术细节或其他信息。
—— Bleepingcomputer
苹果“需在 app 内提供帐户删除”的要求将于 1 月 31 日生效
根据苹果公司此前发布的通知:
为提供用户对其个人数据的控制,《App Store 审核指南》在去年(指2020年) 6 月对第 5.1.1 条进行了更新,表明所有允许创建帐户的 app 必须同时允许用户从 app 内提出删除帐户的要求。
此要求将对 2022 年 1 月 31 日起提交的所有 app 生效。苹果公司建议开发者查阅任何可能要求其维护某些类型数据的法律条款,并确保 app 向用户清晰说明该 app 将收集哪些数据以及数据的收集方式 、相关数据的所有用途、应用的数据保留和删除政策,以及指南中所述的更多内容。此类数据的例子包括电子健康记录以及销售和保修记录。此外,也开发者需要确认产品页面上的 app 隐私信息准确无误。
Linux 5.16 释出
Linus Torvalds 在内核邮件列表上宣布释出 Linux 5.16。
主要新特性包括:新系统调用 futex_waitv() 改进 Wine 项目模拟 Windows 游戏的性能,memcpy() 加固,新 fanotify 事件类型处理文件系统错误报告,引入内存页码(page folios)概念改进内存管理,任务调度器支持集群调度,支持英特尔的 Advanced Matrix Extensions (AMX)指令,基于 DAMON 的主动内存回收和物理内存监视,改进写入拥堵,等等。更多可浏览 KernelNewbies 5.16。
ssrplus 现已移除 alterId 配置项并强制启用 Vmess AEAD 认证
—— @owrt_fans
Log4j 2.17 可能的新 RCE
相关对话在 Twitter 上展开,请持续关注。
==Update==============
Log4j 2.17 出现新 RCE 漏洞
影响范围:2.0-beta7 ~ 2.17.0
利用条件:
1.You are loading configuration from a remote server and/or someone can hijack/modify your log4j configuration file;
2. You are using the JDBC log appender with a dynamic URL address.
详细信息:CVE-2021-44832
总结:需要在非默认配置下才能被利用,属实是屑啦,不必惊慌。
微信发布关于《微信外部链接内容管理规范》的更新说明
更新内容如下:
1、在点对点聊天场景中将可直接访问外部链接;
2、在监管部门指导下,为贯彻安全底线原则,同时兼顾用户使用体验,将在群聊场景下试行开放电商类外部链接直接访问功能;
3、后续计划开发自主选择模式,为用户提供外链管理功能。
https://mp.weixin.qq.com/s/7zxqex8DuuWj8cFfDhz2bw
CMHK已经可以提前实名登记
链接
1、可用于登记的证件
香港身份证、澳门身份证、护照、往来港澳通行证
2、CMHK要求
2022年3月1日或之后的储值卡及上台月费服务计划卡需要完成登记后方可启用服务。
现有储值卡可在2022年3月1日或之后开始登记。所有电话卡必须于2023年2月23日(包括当天)或之前,完成登记。
沒有在2023年2月23日(包括当天)或之前完成登记的电话卡将于2023年2月24日停止服务。
陆续有用户称iOS 15.2 beta 3更新完毕后,自动亮度会失效。估计是 developer beta。目前未知是否是偶发还是普遍。
#Apple
今天,苹果发布了 iOS 15 正式版的推送。与此同时,iPadOS 15、watchOS 8、tvOS 15也同步转正,只有macOS 12 Monterey仍在打磨中。
