關注最新資訊,瞭解與你我息息相關的前沿訊息,打造你的衝浪新姿勢!
1、微軟Window加密庫中存在漏洞
1月14日,微軟在2020年的週二釋出了第一個補丁集,其中包含一個更新,用於更新版本的Windows中的加密庫中的關鍵漏洞。
CVE-2020-0601是由國家安全域性(NSA)通過微軟協調漏洞披露程式向微軟披露的。影響包括Windows 10和Windows Server 2016/2019以及依賴於Windows CryptoAPI的應用程式。
關於 CVE-2020-0601
CVE-2020-0601是crypt32.dll中的一個欺騙漏洞,crypt32.dll是Microsoft Windows中的一個核心加密模組,負責在Microsoft的CryptoAPI中實現證書和加密訊息傳遞功能。
由於CVE-2020-0601繞過了Windows驗證加密信任的功能,攻擊者可能會將惡意應用程式作為合法可信的程式碼傳遞出去,從而使Windows主機處於危險之中。
攻擊者需要以另一種方式危害系統才能部署利用此漏洞的惡意軟體。他們可能會使用常見的網路釣魚策略誘使受信任的使用者與惡意應用程式互動,或者使用中間人攻擊通過環境中另一個受損的裝置欺騙被攔截的更新並用惡意軟體替換。
分析指出了一些信任驗證會受到影響的例子:
- HTTPs連線
- 簽名檔案和電子郵件
- 作為使用者模式程式啟動的簽名可執行程式碼
* 部分內容參考Tenable安全LYA:Windows再曝高風險漏洞,這次是美國國家安全域性(NSA)發現並報告給微軟,因此解決十分迅速。
昨天是微軟停止支援Windows 7 的日子,你更新了嗎?
2、全球首個活體機器人誕生
近日,美國佛蒙特大學電腦科學家和塔夫茨大學生物學家釋出最新研究成果,使用100%青蛙DNA創造出可程式設計的四足異種活體機器人Xenobot,這是一種自然界從未見過的全新的生命形式。
Xenobot使用非洲爪蛙早期胚胎中的皮膚細胞和心臟細胞,由超級計算機的“進化演算法”設計,聚集了500到1000個皮膚細胞和心臟細胞,其寬度不到一毫米,前肢較小,後肢較大,有紅色的心肌層,其形態像一個移動的肉團。
這種機器人能夠按照計算機設計的路線移動,還能負載一定的重量,除了步行、游泳、合作工作之外,還能夠在人體內部移動,並且在沒有食物的情況下也能夠生存數週,受損後也能自己治癒傷口。
對於這種活體機器人的功能,這項研究表明Xenobot能實現鋼鐵和塑料機器人無法做到的事情,由於其自身的可降解性,也更加環保和安全。例如清除放射性廢物、在海洋中收集微塑料、在人體內部運輸藥物甚至進入動脈清除斑塊。
除此之外,活體機器人也能夠幫助研究人員深入瞭解細胞生物學,利用程式設計按需製作3D生物組織,修復先天缺陷或戰勝衰老,為人類健康和長壽的未來發展做出貢獻。
有國外網友表示:不要把它植入體內,很容易造成替代和暗殺;麻省理工學院的研究員曾指出技術帶來的負面影響跟AI的關係不大,而是跟人類有關。
LYA:作為一種新的人工物種,這種青蛙細胞機器人無疑是一種巨大突破,但接下來要面臨的倫理問題,預示著它還有很長的路要走。
未來的某一天,我們也許會看到這種活體機器人能夠成為現實,像真實的生物一樣適應環境。
3、微信新增10個表情
近日,微信新增10個新表情,分別是“吃瓜”“加油”“汗”“天啊”“Emm”“社會社會”“旺柴”“好的”“打臉”“哇”。
目前新上線的預設表情在PC版微信上暫不顯示。安卓使用者需要更新到最新版本 7.0.10, iOS 使用者如暫時不可用,重啟微信即可。
除了微信之外,QQ作為騰訊的另一個社交App,也新增了新功能,即日起支援微信直接轉賬到QQ。使用者只需在微信上關注並進入“ QQ 錢包官方賬號 ”,點選選單欄中的“ 微信轉賬到 QQ ”,進入轉賬頁面,輸入收款方的 QQ 號碼、真實姓名和轉賬金額,即可實時轉賬。
需要注意的是,使用者在進行轉賬前,需要確保收款方已經開通 QQ 錢包並完成了實名認證。
目前,微信賬號每個月的QQ賬號轉賬額度為3000元,一個微信賬號最多隻能轉賬給10個不同的QQ賬號,每個QQ賬號通過微信轉賬收到的資金不超過6000元/月。
LYA:對於新表情,網友表示再也不用手動狗頭啦!
此前,同為騰訊的產品,QQ和微信的騰訊遊戲帳號和騰訊視訊帳號都是互不相通的,隨著QQ的月活躍使用者逐漸下降,如今兩大社交App的聯動也是盤活QQ的一種舉措。
此外,QQ線下支付仍在開發中,至於未來QQ錢包是否能像微信支付一樣成為日常應用,誰也無法保證。
4、博通晶片存在漏洞
據外媒報導,丹麥安全公司Lyrebirds的研究人員在一份報告中稱,全球廣泛使用的博通晶片存在Cable Haunt新漏洞,僅在歐洲就影響了大約 2 億個電纜調變解調器。
該漏洞存在博通晶片的一個標準元件中,即頻譜分析儀。這是一個用來保護電纜調變解調器免受來自同軸電纜訊號波動和干擾的元件。網際網路服務提供商(ISPs)經常使用該元件除錯連線質量。
一般來說,在大多數電纜調變解調器上,只有通過內部網路的連線才能訪問該元件。然而該研究表明,由於該漏洞存在,使博通晶片的頻譜分析儀缺少對DNS重新繫結攻擊的保護,同時存在使用預設憑據的風險,並且其韌體中還包含程式設計錯誤。
因此,攻擊者只要誘導使用者通過他們的瀏覽器訪問惡意頁面,即可利用漏洞訪問存在漏洞的元件,並在裝置上執行命令。據估計,整個歐洲易受攻擊的裝置數量約為 2 億部,但全球的可利用裝置的總數無法量化。
LYA:2017年博通曾計劃收購高通,2018年川普以國家安全釋出禁令,隨後博通收回收購邀約,可見博通影響力巨大。
由於建立電纜調變解調器韌體時,博通晶片作為參考軟體會被不同的製造商複製,而這些參考軟體中恰恰存在這一嚴重漏洞,因此無法跟蹤漏洞的具體利用情況,其利用總數也就無法估量。