标签: 安全
Landlock:Linux 深度防御
其设计理念类似于OpenBSD的unveil()(以及程度较轻的pledge()):程序可与内核达成契约,声明“我仅需访问这些文件或资源——若遭入侵,请拒绝我访问其他一切内容”。
印度要求智能手机厂商预装国有网络安全应用,不可卸载
印度正效仿全球多国(最近的例子是俄罗斯)制定规则,既阻止盗窃手机用于诈骗,也推广国家支持的政府服务应用。
以色列国防军禁用安卓手机——iPhone现为“强制配备”
此前仅iPhone和三星入选该名单。谷歌宣称Pixel系列“在安全功能方面获得最高评级,使政府雇员能够在几乎任何地点——包括最偏远的环境——安全地连接和协作”。
三星手机预装的以色列应用引发争议
AppCloud长期被视为令人困扰的臃肿软件,这是三星在印度市场与强势中国智能手机品牌竞争时,为突破硬件利润边际而产生的副产品。但非营利组织SMEX今年早些时候的研究发现表明,AppCloud可能并非如先前所想那般无害。
用Rust重写的 coreutils 漏洞导致Ubuntu 25.10自动更新功能失效
部分 Ubuntu 25.10 系统无法自动检查可用软件更新。受影响的机器包括云部署环境、容器镜像、Ubuntu 桌面版及 Ubuntu 服务器版安装环境。
苹果设备内存安全的完整愿景:内存完整性强化
根据我们对内存完整性强制系统与过去三年中异常复杂的雇佣间谍软件攻击进行的评估,我们相信 MIE 将大大提高漏洞利用链的开发和维护成本和难度,破坏过去 25 年中许多最有效的漏洞利用技术
我黑入了 Monster Energy,你绝对想不到他们认为你长什么样
作为一名喜欢能量饮料的黑客,我决定调查 Monster Energy 的企业基础设施。我发现他们的系统完全暴露在外,并且做出了极其糟糕的安全决策。
美国国家安全局(NSA)和网络安全与基础设施安全局(CISA)联合发布的报告《内存安全语言:减少现代软件开发中的漏洞》
内存安全语言是减少软件漏洞的关键策略,但需平衡安全、性能与迁移成本。通过战略规划、跨领域协作和持续投入,MSL有望成为未来软件开发的基石,显著提升网络安全韧性。
新发现的 Linux udisks 漏洞使攻击者能够在主要 Linux 发行版上获得 root 权限
虽然成功利用这两个漏洞作为“本地到 root”链式利用的一部分,可以让攻击者快速获得 root 权限并完全接管 SUSE 系统,但 libblockdev/udisks 漏洞本身也极其危险。
您的手机并没有偷偷监听您,但事实却更令人不安
如果我们想象 Facebook 只是偷听到了你昨天与朋友的谈话,那么就更容易理解它是如何为你提供那则先知先觉的广告的。但就像生活中的许多事情一样,事实恰恰要复杂得多、高深莫测得多、令人不安得多。
他们知道你手机上的全部应用程序
几家印度公司在这些检查方面做得更多。让我们从 Swiggy 开始。它的清单文件中列出了 154 个软件包名称,让它可以查询我手机上的这些应用程序。以下是完整列表:
不存在的浏览器安全漏洞:PDF 中的 JavaScript
有一种相当常见的安全漏洞报告形式:”我可以在 PDF 文件中放入 JavaScript,而且它还能运行!”
【译文】XZ 后门的工作原理
它是由 XZ 的共同维护者 “Jia Tan”(可能是不明身份者的别名)引入的。该后门是一种复杂的攻击,包含从 build 、link 到 run 的多个阶段。
蛰伏三年,XZ开源项目维护者转身投“核弹级漏洞”,幸被微软工程师捉 Bug 时发现!
刚刚过去的周末里,一则“大多数 Linux 发行版中存在的压缩工具 XZ Utils 已被其维护者设置后门”的消息震惊了整个开源社区
【译文】我所知道的关于 Xz 后门的一切信息
一位 Fedora 的贡献者称,Jia 一直在推动将其纳入 Fedora,因为它包含了 “很棒的新功能”。在测试版冻结前几天,Jia Tan 也曾试图将其纳入 Ubuntu。
受 XZ utilities 后门影响的主要 Linux 发行版
在广泛使用的 xz 数据压缩工具和 liblzma 库的最新版本中发现了一个严重的安全漏洞。
【译文】用户小心:内容与代码之间的细微差别
为流行的 Linux 图形环境安装 “Gray Layout “主题后不久,系统开始出现异常,然后提示输入 root 密码。他们意识到情况不对,于是拒绝了,但此时已经太晚了,因为他们主目录中的所有个人文件都被删除了。
【译文】苹果 CURL 安全事件 12604 号
这个未注明的功能让 MacOS 上使用 curl 进行 CA 证书验证变得完全不可靠,而且与文档不符。它欺骗了用户。
【译文】我们是如何黑掉Google A.I.的
贾斯汀和我立即向谷歌报告了这一漏洞,我们最终获得了 20,000 美元的赏金,并额外获得了 1,337 美元的赏金,获得了本次活动最酷漏洞奖的第三名!
【译文】白宫的软件内存安全呼吁是一种误导
这也许就是ONCD报告让人感觉如此错误的原因,因为它既没有包含过去的教训,也没有包含那些编写代码以维持社会运转的人的来之不易的经验。
【译文】为什么白宫说错了;C 语言技术水平问题
如果对 C 语言程序员进行淘汰,让大多数程序员(甚至是 90% 的程序员)转而学习 Rust 或其他语言,那么剩下的 10% 程序员就会成为拥有卓越技能的程序员,从而大大提高 C 语言代码的整体质量。
曝光:Android 恶意应用巧妙伪装,谷歌紧急出手修复漏洞
曝光:Android恶意应用巧妙伪装,谷歌紧急出手修复漏洞
一秒就被盗走密码,Chrome的安全措施就是摆设。
在关键时刻,两步验证还是挺好用的
“史上最严”数据保护法 GDPR 是如何失败的?
“史上最严”数据保护法GDPR是如何失败的?欧盟通用数据保护条例(GeneralDataProtectionRegulation,简称GDPR)
Google 也要放弃 C/C++?Chrome 代码库中 70% 的安全漏洞是内存问题
Google 工程师表示:目前 Chrome 代码库中所有严重的安全漏洞,70% 是内存管理的安全漏洞,其中 50% 的内存漏洞是 use-after-free 漏洞,因为对内存指针的错误管理,给予了攻击者攻击 Chrome 内部组件的机会。
