每日安全資訊:Mozilla 為 Firefox 上週的 bug 致歉
由於 Mozilla 方面的一個失誤,導致許多 Firefox 使用者在上週末遇到了附加元件無法使用的 bug 。後來該公司釋出了更新,才讓瀏覽器恢復正常。對於此事,這家機構現已發表正式道歉,詳細解釋發生了怎樣的事情,且承諾會刪除期間為了推出修復程式而收集的私人資料。據悉,為了修復 bug,Firefox 初期希望使用者啟用遙測選項。因為在預設的情況下,其出於隱私考量而停用了此類資料收集選項。
現在,我們已經知道附加元件遇到的故障,源自安全證書方面的 bug 。在 Mozilla Hacks 的一篇部落格文章中,技術長 Eric Rescorla 已經給出了詳細的解釋。
Joe Hidebrand 在另一篇文章中寫到:
我們在努力為 Firefox 帶來極棒的體驗,但可惜上週遭遇了失敗,對此我們深表歉意。
過去幾年,我們花費了很多時間,來思考如何將附加元件(Add-ons)變得更加安全。然而鑑於附加元件的功能是如此的強大,我們也必須努力構建和部署一套系統,以免使用者遭受惡意附加元件的侵擾。
至於上週的問題,其實源自防護系統中的一項錯誤部署—— 保險模式導致附加元件被停用了。
儘管我們認為這套機制的基本設計原則是合理的,但仍會努力改進該系統,以防將來再次發生類似的問題。
此外,Hildebrand 還向關注 Firefox 最初“緊急修復”時段收集私人資料一事的網友們保證:
為儘快解決這個問題,我們曾呼籲使用者開啟遙測選項,以獲取附加資訊。
不過在 5 月 8 日 23:28 分的 Firefox 附加元件部落格上,我們宣佈已經不再需要開啟遙測選項,所以請大家根據自己的真實意願來選擇是否退出。
為儘可能地尊重使用者,Mozilla 決定刪除 5 月 4 日 11:00 到 5 月 11 日 11:00 期間手機的所有使用者的遙測與研究資料。
最後,Mozilla 表示將會披露與本次事件有關的更多細節,感興趣的朋友可以留意後續釋出的報告。
更多資訊
涉及 2.75 億條印度公民資訊的 MongoDB 資料庫被曝光和公開索引
援引外媒Security Discovery報導,他們於5月1日發現了一個未經保護和公開索引的MongoDB資料庫,其中包括了涉及印度公民的個人身份資訊的275,265,298條記錄。這些資訊中包括姓名、電子郵件地址、性別、教育水平和專業領域、專業技能和職稱、手機號碼、就業經歷和當前僱主、出生日期以及當前的薪資水平。
來源: cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190511-5.html
研究人員披露駭客入侵了三家美國防毒軟體公司
Advanced Intelligence (AdvIntel) 公司的研究人員透露,名叫 Fxmsp 的組織正在積極銷售三家美國防毒軟體公司的原始碼和網路訪問。它提供了樣本作為證據證明其宣告是有效的。AdvIntel 的研究總監 Yelisey Boguslavskiy 稱他們已經通知了相關公司和美國執法機構。在安全社群 Fxmsp 已經是名聲在外,該組織在今年三月透露它能提供美國三家頂級防毒軟體公司的獨有資訊。它在地下駭客市場銷售這些公司軟體開發的原始碼和網路訪問,開價超過 30 萬美元。
來源: solidot.org
詳情: http://www.dbsec.cn/zx/20190511-3.html
惡意差評案件多發 侵蝕網路營商環境亟待立法規制
傳統的網路評價機制亟待改進,以最佳化網路營商環境。近日在杭州網際網路法院落槌的一起民事案件,將這一問題再次提上議事日程。在這起案件中,7 名 90 後組成的差評師團夥被判決賠償阿里經濟損失 8 萬餘元、合理支出 4 萬餘元。而這已經是他們因同一件事情所受到的第二次懲罰。
此前,深圳市龍華區法院以敲詐勒索罪對他們分別判處 7 個月至 2 年不等的刑期。這意味著因為惡意差評,這一團夥遭到刑事民事的“雙殺”。
來源: 法制日報
詳情: http://www.dbsec.cn/zx/20190511-2.html
美國巴爾的摩市政網路遭勒索軟體攻擊
美國巴爾的摩市政網路 5 月 7 日遭勒索軟體攻擊後下線。攻擊沒有影響警察、消防和緊急反應系統,但市政府的其它部門都在某種程度上受到衝擊。市政府的資訊長 Frank Johnson 在新聞釋出會上證實,攻擊他們的勒索軟體是 RobbinHood。
逆向工程 RobbinHood 樣本的安全研究人員 Vitali Kremez 稱,惡意程式在一個系統只針對檔案,不會透過網路共享傳播。這意味著惡意程式是逐個的部署到機器上的,攻擊者需要在部署前已經獲得了網路的管理級別的訪問許可權。
市長 Bernard “Jack” Young 表示, IT 部門有備份,但無法簡單的替換備份。他說他不希望人們認為他們沒有備份。
來源:solidot.org
詳情: http://www.dbsec.cn/zx/20190511-1.html
相關文章
- 每日安全資訊:Mozilla 資助開發更有效的在 Firefox 中整合 TorFirefox
- 每日安全資訊:Mozilla Firefox 開始預設阻止網路跟蹤器運作Firefox
- Mozilla Firefox 119 現已可供下載Firefox
- 如何修復 Mozilla Firefox 中出現的 “Network Protocol Error”FirefoxProtocolError
- Mozilla Firefox開始支援Web元件技術FirefoxWeb元件
- Mozilla 的 Firefox Nightly 不再對 TLS 1.0/1.1 提供支援FirefoxTLS
- 駭客線上出售 4 億 Twitter 使用者資料;Mozilla 修復了 18 年的歷史 bug|思否週刊
- Mozilla 在過去兩週內禁止了將近 200 個惡意 Firefox 附加元件Firefox元件
- Mozilla Firefox和Google Chrome即將放棄對FTP的支援FirefoxGoChromeFTP
- Mozilla Firefox將提供拒絕網頁挖礦的選項Firefox網頁
- Mozilla Firefox將很快獲得包含Tor模式的擴充套件元件Firefox模式套件元件
- Mozilla Firefox 將很快獲得包含 Tor 模式的擴充套件元件Firefox模式套件元件
- Mozilla Firefox 67 將引入“反指紋跟蹤”技術Firefox
- 每日安全資訊:谷歌為 G Suite 使用者引入一系列新的安全工具谷歌UI
- Mozilla Firefox 預設在美國啟用 DNS over HTTPS(DoH)FirefoxDNSHTTP
- Mozilla拒絕將DarkMatter根證書納入Firefox白名單Firefox
- Mozilla Firefox開始預設阻止網路跟蹤器運作Firefox
- 每日安全資訊:Stack Overflow 遭遇黑客攻擊黑客
- Mozilla Firefox 86瀏覽器開始預設支援無專利版稅的AV1視訊新格式Firefox瀏覽器
- Google Chrome和Mozilla Firefox將支援全新無密碼登入規範GoChromeFirefox密碼
- 每日安全資訊:Stack Overflow 安全事件新進展:部分使用者私人資訊遭竊事件
- 資料庫週刊32丨中國DBA聯盟邀請函;騰訊雲MySQL 8.0上線;PG安全加固;SQL每日一練…資料庫MySql
- 每日安全資訊:大多數黑客僱傭服務都是假的黑客
- Mozilla宣佈Firefox beta將開始原生支援Win10 ARM64FirefoxWin10
- 每日安全資訊:保險公司以“網路戰”為由拒絕為網路攻擊理賠
- 京東金融App收集使用者敏感資訊?致歉來了APP
- 每日安全資訊:哪些屬於App違法違規收集使用個人資訊?APP
- 每日安全資訊:Linksys 路由器可能洩露與之相連的任何裝置的大量資訊路由器
- 每日安全資訊:蘋果為高機密工作申請了一項 AR 新專利蘋果
- 每日安全資訊:吾愛破解宣佈閉站調整
- 每日安全資訊:NCSC 釋出最常被駭客入侵的密碼列表密碼
- 每日安全資訊:NSO,一家專業入侵 iPhone 的神祕公司iPhone
- 記憶體安全週報第117期 | Firefox 107修補了有嚴重危害的漏洞記憶體Firefox
- OpenBSD 上的 Firefox 將預設禁用 DoHFirefox
- 修正FIREFOX下批量上傳的錯誤Firefox
- 每日安全資訊:美國欲將全球拖入網路戰爭
- 每日安全資訊:近百萬臺 Windows 存在高危漏洞 BlueKeep 隱患Windows
- 騰訊安全姬生利:《資料安全法》下,雲上資料安全最佳實踐