网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


【安全帮】苹果被起诉:因未告知iCloud有时依靠AWS/谷歌云

2019-08-17 08:16 推荐: 浏览: 28 views 字号:

摘要: 卡巴斯基杀毒软件会泄漏用户 ID 德国安全研究人员在测试卡巴斯基杀毒软件时发现它会以安全的名义在用户访问的每一个网页注入它的脚本,而这个脚本还带有唯一  ID,这个 ID 在不同计算机上是不同的,也就是说它可以作为跟踪代码使用。研究人员将这一发现报告给了卡巴斯...

卡巴斯基杀毒软件会泄漏用户 ID

德国安全研究人员在测试卡巴斯基杀毒软件时发现它会以安全的名义在用户访问的每一个网页注入它的脚本,而这个脚本还带有唯一  ID,这个 ID 在不同计算机上是不同的,也就是说它可以作为跟踪代码使用。研究人员将这一发现报告给了卡巴斯基。卡巴斯基承认了数据泄漏,它释出了补丁修复了编号为 CVE-2019-8286 的问题。这个补丁去除了唯一 ID,留下了相同的 ID,也就是说网站仍然会知道有安装了卡巴斯基软件的用户访问了。

参考来源:

https://www.solidot.org/story?sid=61738

 

北京将允许外资提供VPN服务 试点区外资股比不超50%

推动工信部在示范园区放宽国内互联网虚拟专用网业务(VPN)外资准入条件。今年年底前,北京将推动开放互联网游戏、视频和图书等互联网内容运营业务外资准入条件,探索在北京试点开放区域,突破现有政策,允许外资在满足内容监管和数据安全的前提下,提供网络游戏下载和网络视听节目服务。815日,北京市公布服务业扩大开放综合试点重点领域开放改革三年行动计划。互联网信息领域三年行动计划推出16项开放改革措施。在增值电信业务中,争取更加开放的政策措施落地北京。推动工信部在示范园区放宽国内互联网虚拟专用网业务(VPN)外资准入条件,外资企业开展VPN业务,试点开放外资股比不超过50%,吸引海外电信运营商为在京外资企业提供专属互联网虚拟专用网落地服务。

参考来源:

http://www.cww.net.cn/article?id=456660

 

诺基亚未如期交网,致Sprint 5G商用服务推迟

814日消息,据报道,诺基亚为Sprint提供5G设备的市场——洛杉矶、纽约、凤凰城和华盛顿,目前尚未推出商用服务,从而导致Sprint未能完成2019年上半年在首批共计9个市场全部推出5G商用服务的目标。不过,诺基亚为Sprint提供5G设备市场之一的纽约可能已经准备就绪。另一家媒体报道说,Sprint5G信号可供纽约市内使用兼容5G设备的用户享受到高达300Mbit/s的速度。

参考来源:

参考来源:

https://www.bianews.com/news/flash?id=41629

 

Let’s Encrypt 网站推出中文版

旨在让每个网站都能使用 HTTPS 加密的非营利性组织 Let’s Encrypt 发布了简体中文版,方便中文用户使用 Let’s Encrypt 签发的证书 。中文版主要是汉化了一下主页和文档,而文档实际上还没有完成翻译,感兴趣的志愿者可以通过 GitHub 帮助它翻译网站文档。Let’s Encrypt 目前支持包括中文在内的七种语言,它的证书已获得了主要浏览器开发商的信任。

参考来源:

https://www.cnbeta.com/articles/tech/879097.htm

 

外媒:有史以来最大规模的数据泄露事件并不是那么糟糕

据外媒报道,今年年初曾发生一起称为Collection #1的大规模数据泄露事件,包含了7.73亿电子邮件地址和2100多万个唯一密码。外媒曾称其为有史以来遭泄露的最大数据集。外媒认为,如果仔细阅读所泄露的数据,与过去的其他大规模数据泄露事件相比,Collection #1事件实际上并没有那么糟糕。外媒认为,用户需要做的重要改变是确保使用唯一的密码,并在任何地方启用双因素身份验证。当Collection #1之类的数据泄露事件发生时,网络犯罪分子会使用所谓的撞库(Credential-Stuffing)入侵用户的帐户,这几乎是用户在线安全面临的唯一真正风险。这些是自动攻击,黑客通过收集互联网已泄露的用户和密码信息,尝试批量登陆其他网站后,得到一系列可以登录的账户。而如果用户使用唯一的密码和双因素身份认证,这些攻击将无法正常工作。

参考来源:

http://hackernews.cc/archives/26965

 

苹果被起诉:因未告知iCloud有时依靠AWS/谷歌云

据国外媒体报道,因未披露“iCloud存储有时依靠第三方云服务,苹果遭到两名iCloud用户起诉。当苹果在美国的用户注册iCloud服务时,他们需要同意一份合同,其中规定:iCloud启用时,你的内容将被自动发送到苹果,并由苹果存储。合同中没有提到,事实上,苹果有时会将iCloud数据存储在亚马逊网络服务(AWS)或谷歌云平台(Google Cloud Platform)等第三方云存储服务上。iOS安全指南中则进行了这一表述。本周,两名苹果用户对这家科技巨头提起集体诉讼,控告其未能披露其iCloud存储操作。苹果被控违反合同、虚假宣传和违反加州的不公平竞争法。

参考来源:

https://tech.163.com/19/0816/07/EMMEOE1L00097U7T.html

 

Mozilla刚解决Firefox中的一个密码管理漏洞

近期,Mozilla修复了Firefox浏览器中的一个密码管理漏洞,攻击者可利用该漏洞非法获取存储在浏览器中其他网站的登录密码。在最新的浏览器版本Mozilla Firefox 68.0.2中,该漏洞已被修复。由于Firefox浏览器中Firefox Password Manager功能的“主密码”可被轻易绕过,导致他人可在未经身份验证的情况下获取浏览器中存储的密码。根据Mozilla发布的公告,在已设置主密码的情况下,如果想访问已保存的用户登录其他网站的凭证,就必须先验证主密码。但是,研究人员发现,当攻击者选定登录信息,右击,选择“复制密码”,即可把密码复制到剪贴板,虽然有主密码输入提示,但无需输入主密码,导致该权限验证成为摆设。

参考来源:

https://nosec.org/home/detail/2875.html

联系站长租广告位!

中国首席信息安全官


关闭


关闭