美国国防部面临华为难题 国会不愿解决
美国国防部面临一个问题:如何避免与依赖华为的公司做生意?到目前为止,尽管2019年美国法律禁止其与任何使用华为设备的人签订合同,但国防部表示仍无法做到,国防部推动豁免的行为引发了其与国会的新一轮对峙,国防官员警告说,如果不解决,可能会危及国家安全。国防部就一直寻求正式豁免《2019年国防授权法案》第889条所承担的义务,该条款禁止政府机构与使用华为零部件的实体签订合同。其理由是,华为在其开展业务的国家的体系中根深蒂固,该公司占全球电信设备收入的近三分之一,因此不可能找到替代方案。官员们认为,严格遵守这些限制将会破坏国防部购买军队所依赖的大量医疗用品、药品、服装和其他类型后勤支持的能力。
—— 彭博社
Cloudflare 推出阻止人工智能机器人的工具
云服务提供商 Cloudflare 推出了一款新的免费工具,以防止机器人抓取其平台上托管的网站数据来训练人工智能模型。要启用,只需导航到 Cloudflare 仪表板的“安全性”>“自动程序”,打开“AI 爬虫程序和爬网程序”选项。该公司表示:“客户不希望人工智能机器人访问他们的网站,尤其是那些不诚实的机器人”为了解决规避检测问题,Cloudflare 分析了人工智能机器人和爬虫流量,以微调自动机器人检测模型。除其他因素外,模型还考虑了人工智能机器人是否会通过模仿使用网络浏览器的用户行为来试图逃避检测。
—— TechCrunch、Cloudflare
Chrome 将证书颁发机构 Entrust 移出信任列表
谷歌通过博客公告,从 2024 年 11 月 1 日发布的 Chrome 127 版本开始,默认情况下不会信任验证 Entrust 或 AffirmTrust roots 发布的 TLS 服务器验证证书。谷歌称,过去几年中,公开披露的事件报告突显了 Entrust 的一系列令人担忧的行为,这些行为未能达到上述期望,并且削弱了人们对其作为公众信任的 CA 所有者的能力、可靠性和诚信的信心。此前,Mozilla 在 5 月份发布了一份报告,其中汇总了今年 3 月至 5 月期间 Entrust 证书问题的详细清单。
以上变化将在除苹果公司移动端以外的所有 Chrome 和 Chromium 发行版上生效,2024 年 11 月 1 日之后签发的 Entrust 证书将被视为无效,并被浏览器默认阻止连接到对应的服务器。
—— 谷歌安全博客
谷歌“快速分享”出现安全漏洞 新版本已修复
谷歌警告其“快速分享” (Quick Share) 软件中存在两处安全漏洞。这些漏洞影响 Android 和 Windows 版本,可能允许攻击者在未经用户同意的情况下向 Windows 计算机发送数据。漏洞 (CVE-2024-38272) 的 CVSS 评分为 7.1,允许攻击者绕过 Windows 版“快速分享”中的文件接受对话框。通常,当设置为“接收所有人”或“接收联系人”模式时“快速分享”需要用户确认才能接收文件。然而,这个漏洞使攻击者能够绕过这个安全措施。第二个漏洞 (CVE-2024-38271) 的 CVSS 评分为 5.9,可使恶意行为者能够在数据传输过程中充当中间人。谷歌目前已在“快速分享”最新版本 1.0.1724.0 中修复了这些漏洞。
—— Stackdiary、下载链接
DeepMind:政治深度伪造居恶意使用人工智能榜首
谷歌旗下 DeepMind 部门首次对人工智能最常见的恶意使用情况进行的研究显示,利用人工智能生成的“深度伪造”冒充政客和名人,远比利用人工智能协助网络攻击的行为普遍得多。该研究表示,制作逼真的假冒人物图像、视频和音频的情况几乎是第二高频率滥用生成式人工智能工具情况的两倍:使用聊天机器人等基于文本的工具伪造信息,生成虚假信息并发布到网上。分析发现,行为者滥用生成式人工智能的最常见目标是塑造或影响公众舆论。这一占到使用的27%,加剧了人们对深度伪造可能影响今年全球选举的担忧。
—— 英国金融时报(全文截图)
印尼国家数据中心遭网侵 黑客勒索800万美金
印尼国家数据中心遭到网络攻击,数百个政府办公室受到影响。印尼通讯部高级官员旁格拉潘6月24日说,黑客近日入侵了印尼国家数据中心,影响了国家和地方层面的210个机构。首都主要机场出现延误,黑客索要800万美元赎金。上周,雅加达苏加诺-哈达国际机场系统在遭受攻击后瘫痪,导致入境口排起长队。旁格拉潘说,入境服务已于24日上午恢复正常,目前正在努力恢复其他受影响的业务。黑客此次攻击使用的是俄罗斯勒索软件公司 LockBit 开发的“Brain Cipher”软件。该软件通过加密,使政府数据无法访问。
—— 联合早报
AMD称黑客攻击不会对业务造成重大影响
美国超微半导体公司 (AMD) 发现黑客在近期的一次网络攻击中窃取了有限的信息,并表示此次入侵不会对其运营产生重大影响。在有报道称黑客“Intelbroker”入侵了该公司系统后,这家电脑处理器制造商本周启动了一项调查。当地时间19日,AMD 随后表示,入侵并未获取关键业务信息。该公司发言人表示:“根据我们的调查,我们认为是在第三方供应商网站上获取了与组装某些 AMD 产品规格相关的有限信息,我们认为此次数据泄露不会对我们的业务或运营产生重大影响。”
—— 彭博社
欧盟委员会要求三大成人网站提供儿童保护措施的详细信息
当地时间13日,欧盟委员会根据《数字服务法案》(DSA) 要求全球最大三家成人色情网站 Pornhub、XVideos 和 Stripchat 必须在7月4日前提供其采取措施的详细信息,以更好地保护未成年人免于访问其内容并防止基于性别的暴力行为。欧盟委员会说:“委员会正在要求这些公司提供更详细的信息,说明他们为认真评估和减轻与未成年人在线保护相关的风险、以及防止非法内容和性别暴力扩散所采取的措施。”欧盟希望了解已实施了哪些保障措施来确保观众不是未成年人。
—— 美联社
微软员工的网络安全贡献将计入其薪酬
微软总裁布拉德·史密斯在周四美国众议院委员会就该软件制造商的安全实践举行的听证会之前表示,微软将评估员工在网络安全方面的贡献,并将其计入员工的薪酬。史密斯在周三提交给众议院国土安全委员会的书面证词附录中写道,在2025财年 (从7月1日开始) 中,安全将与其他领域一起成为公司员工与管理人员每年两次审查的新的核心优先事项。史密斯写道,对于定期与首席执行官萨蒂亚·纳德拉会面的高管来说2025财年奖金中“个人绩效”部分的三分之一将与董事会薪酬委员会对其网络安全工作的审查挂钩。
—— CNBC
TikTok 缓解针对知名账户的恶意软件攻击
TikTok表示已修复导致本周发生网络攻击的漏洞。黑客向用户发送了一条带有恶意软件的私人消息,用户打开该消息后就会接管用户的帐户。TikTok 证实,身份不明的黑客已经成功接管 CNN 的账号。黑客还试图劫持帕丽斯·希尔顿 (Paris Hilton) 的 TikTok 账户。目前尚不清楚此次攻击的幕后黑手是谁以及黑客利用了什么漏洞,但这种类型的攻击极为罕见,可能不会影响普通用户。TikTok 发言人补充说,公司正在积极与受影响的账户所有者合作,以恢复他们的访问权限
—— Axios