美国政府拟要求关键软件必须在 2026 年之前剔除非内存安全语言
美国网络安全和基础设施安全局 (CISA) 和联邦调查局 (FBI) 最近联合发布了一份关于“产品安全不良做法”的报告,警告软件制造商不要采取不良做法。其中包含使用内存不安全的编程语言。该指南定义,在有现成的替代内存安全语言可供使用的情况下,使用内存不安全语言(例如 C 或 C++)开发用于关键基础设施的新产品线是危险的;对于使用内存不安全语言编写的现有产品,如果在 2026 年 1 月 1 日之前没有发布内存安全改进路线图,则被视为危险的。该指南不适用于已宣布终止支持日期在 2030 年 1 月 1 日之前的产品。这份指南中还包括缺少多因子认证、缺少入侵追踪日志等涵盖产品属性、安全功能和组织流程和政策的不良做法警告。CISA 正在对该指南征求公众意见,截至2024 年 12 月 16 日之前。
—— CISA
网络研究人员敦促水务、石油公用事业公司修复漏洞
网络安全公司 Censys Inc. 研究显示,用于控制水、石油、农业和其他美国产业的数百个数字系统容易受到开放互联网上的外界干扰。经过数月的互联网扫描,Censys 的研究人员发现,全国有超过 430 种工业机械软件控制可以在线访问,其中超过一半的软件控制没有保护措施来验证使用者的身份。“没有密码。这些软件实际上就放在公共互联网上,任何人都可以随意找到并控制。”政府和公司使用这些软件来管理工业系统,包括从水坝和水泵到变电站和油井。Censys 的审查还发现大约 18,000 个通常用于工业控制的系统暴露在全美开放的互联网上。目前没有迹象表明外部人员大规模劫持了此类技术,但确实存在黑客操纵这些技术的情况。
—— 彭博社
继开源编辑器 VS Code 被倒卖后,开源直播推流软件 OBS Studio 也被盗卖
使用百度搜索“OBS Studio”,前几条基本都是广告,点击前几条广告下载后,安装界面显示需付费 43 元才能继续安装,如上图所示。
OBS Studios 是一款免费开源录屏和直播软件,在直播领域使用的比较广泛。
该项目的 Github 地址(点此),目前最新正式版本是 29.1.3。
—— oschina
Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞
Clash for Windows 的开发者确认了一个被反馈的远程代码执行漏洞,包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。
GitHub 用户 LDAx2012 说,当受攻击者订阅了一个恶意链接,订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖,cfw-setting.yaml 中 parsers 的 js代码将会被执行。
该漏洞还在修复中,普通用户应该避免使用不可靠来源的订阅。