近日,Mozilla釋出了Firefox 76.0,主要新的變化包括:增強了Lockwise密碼管理器;雙擊畫中畫影片可放大到全屏,再次雙擊減少大小;支援Audio Worklets;繼續逐步推廣 WebRender支援等,你下載了新版本嗎?
1、三星修復存在 6 年的高危零點選漏洞
圖片來源:krapalm
本週,三星釋出安全更新,修復了一個零點選高危漏洞,該漏洞一直存在,影響自 2014 年以來三星旗下的所有智慧手機。
2014 年下半年,三星在其釋出的所有裝置中引入了對自定義自定義 Qmage 影像格式(.qmg)的支援,然而三星定製的 Android 系統在處理該影像格式上存在漏洞。
近期谷歌的研究人員發現這一漏洞,在不需要使用者點選和互動的情況下,能夠利用 Skia(Android 圖形庫)來處理傳送到裝置上的 Qmage 影像,例如生成縮圖預覽等,並在攻擊過程中實現完全隱身。
他首先向三星裝置重複傳送 MMS(多媒體簡訊),其中每條資訊都猜測Skia庫在 Android 手機記憶體中的位置,以此繞過 Android 的 ASLR(地址空間佈局隨機化)保護。
一旦 Skia 庫在記憶體中的位置被確定,最後一條 MMS 就會傳遞出實際的 Qmage 有效載荷,從而在裝置上執行惡意程式碼,實現簡訊和彩信的竊取等。
谷歌的研究人員表示,通常需要 50 到 300 條彩信來探測和繞過 ASLR,平均需要 100 分鐘左右的時間。
2 月份研究人員向三星報告了該問題,隨後三星在 5 月的安全更新中釋出了補丁,此漏洞在三星的安全公告中被追蹤為 SVE-2020-16747,在 CVE 資料庫中被追蹤為 CVE-2020-8899。
LYA:雖然利用難度大,但依然存在遠端利用的可能,三星的使用者請儘快下載補丁。
2、駭客利用計算機電源竊取資料
圖片來源:Cyber Security Labs
一般來說,很多公司或機構為了避免機密資料外洩會對計算機進行物理斷網,然而這種方法也並不是萬無一失的,目前有越來越多駭客找到透過內部人員竊取機密資料。
近期,以色列某網路安全研究機構發現一個方法,能夠在計算機完全斷網的情況下竊取其中的資源。
Mordechai Guri 博士將這個方法命名為 POWER-SUPPLaY,即透過計算機電源的超聲波來向外傳送資料。
研究人員讓計算機執行一個特製的可以改變 CPU 負載的惡意軟體,然後在 5 米範圍內放置一部手機,透過改變 CPU 的負載,電源的超聲波頻率也會隨之改變,手機則負責收集這些超聲波並記錄傳送的資料。
這個方法限制也很多,除了距離和惡意軟體安裝之外,50 bits 每秒的傳輸速度也就意味著每小時最多隻能夠傳送 1 萬字左右,即非常難實現。
這並非 Mordechai Guri 博士發現的首個在物理斷網的情況下竊取資料的方法,此前他曾發現利用機箱調速風扇發出的特定振動和智慧手機竊取資料的方法,該方法同樣存在實現的條件限制很大的問題,但惡意軟體並不難製作。
LYA:再次感嘆:以色列科技水平硬核!
3、我國成功完成首次太空“3D列印”
5 月 5 日,長征五號 B 搭載新一代載人飛船試驗船升空後,按照既定計劃完成了太陽帆板展開及捕獲太陽、中繼天線展開並建立中繼通訊鏈路和四次自主軌控等一系列工作。
目前新一代載人飛船試驗船姿態穩定,供電、測控鏈路等均正常,整船狀態良好,在大橢圓軌道上正常飛行。
長征五號 B 運載火箭上搭載著我國新一代載人飛船試驗船,船上還搭載了一臺我國自主研製的“複合材料空間 3D 列印系統”,這是我國首次太空 3D 列印實驗,也是國際上第一次在太空中開展連續纖維增強複合材料的 3D 列印實驗。
這次列印的物件有兩個,一個是蜂窩結構(代表航天器輕量化結構),另外一個是 CASC(中國航天科技集團有限公司)標誌。
飛行期間,該系統自主完成了連續纖維增強複合材料的樣件列印,並驗證了微重力環境下複合材料 3D 列印的科學實驗目標。
據瞭解,連續纖維增強複合材料是當前國內外航天器結構的主要材料,密度低、強度高,開展複合材料空間 3D 列印技術研究,對於未來空間站長期在軌執行、發展空間超大型結構在軌制造具有重要意義。(參考來源:央視新聞)
LYA:為我國航天加油!為中國點贊!