蘋果向安全研究人員支付 75000 美元以獎勵其發現 Safari 攝像頭 0day 漏洞
其中一些漏洞可用於劫持 MacBook 或 iPhone 上的相機。
作者/來源:安華金和
據《福布斯》報道,蘋果支付了 75000 美元,以識別其軟體中的多個零日漏洞,其中一些漏洞可用於劫持 MacBook 或 iPhone 上的相機。
零日漏洞是指軟體開發人員和公眾所不知道的軟體安全漏洞,而悄悄利用它的攻擊者可能已經知道了這些漏洞。
據報道,安全研究員 Ryan Pickren 在決定用「模糊的角落案例敲打瀏覽器」直到它開始顯示怪異行為後,才發現了 Safari 中的漏洞。該漏洞獵人共發現了 7 個漏洞。這些漏洞涉及 Safari 解析統一資源標識符、管理 web 源和初始化安全上下文的方式,其中三個漏洞可以用來誘騙用戶訪問惡意網站,使攻擊者能夠訪問攝像頭。
Pickren 於 2019 年 12 月通過蘋果的漏洞賞金計劃報告了他的研究。蘋果立即驗證了所有七個漏洞,並在幾周後為相機發布了修復程序。該相機漏洞已在 1 月 28 日發布的 Safari 13.0.5 中進行了修補。不那麼嚴重的其餘零日漏洞已在 3 月 24 日發布的 Safari 13.1 中進行了修補。
蘋果於 2019 年 12 月向所有安全研究人員開放了其漏洞賞金計劃。在此之前,蘋果的漏洞賞金計劃是基於邀請的,並且不包括非 iOS 設備。蘋果還根據安全漏洞的性質,將每個漏洞的賞金上限從 20 萬美元提高到了 100 萬美元。
在提交報告時,研究人員必須包括問題的詳細說明,利用漏洞的工作時系統狀態解釋,以及足以使蘋果可靠地再現問題的足夠信息。今年,蘋果計劃為經過審查和值得信賴的安全研究人員和黑客提供「開發」版 iPhone 或特殊的 iPhone,以提供對底層軟體和操作系統的更深入訪問,從而更容易發現漏洞。
來源:cnBeta.COM
更多資訊
谷歌宣布暫時回滾 Chrome 隱私功能 以確保疫情期間網站穩定性
Chrome 工程總監 Justin Schuh 在 Chromium Blog 發文宣布暫時回滾 SameSite Cookie 功能,以確保新冠病毒疫情期間網站的穩定性。SameSite 是全新的 cookie 分類模型,在二月初發布的 Chrome 80 穩定版中被引入。Chrome 會將沒有聲明 SameSite 值的 cookie 默認設置為 SameSite=Lax 。
來源:開源中國
Mozilla Firefox 74.0.1 發布 修復兩個 0day 漏洞 建議儘快升級
Mozilla 緊急發布了 Firefox 74.0.1 和 Firefox ESR 68.6.1 版本,針對其內存空間管理方式中存在的兩個錯誤進行了修復。兩項漏洞分別為 CVE-2020-6819 和 CVE-2020-6820,均被評級為」嚴重「。這類 」user-after-free「 漏洞使黑客可以將代碼放入 Firefox 的內存中,並在瀏覽器的上下文中執行代碼。
來源:開源中國
Let"s Encrypt 免費證書用戶請注意:你的證書可能已經無法簽發/更新
自 4 月 3 日下午開始 Let"s Encrypt 證書籤發和續期遭遇不可抗力故障。不論用戶是新申請證書還是對已有證書進行續期均受影響,當然通過自動化程序進行續簽也會因此無法續期成功。正常情況下續期都會提前進行因此暫時部分即將到期的證書還可以使用,但如果接下來無法恢復則訪問會受影響。
來源:藍點網
「日本互聯網之父」 3 億美元出售 1400 萬個 IPv4 地址
3 月 25 日,IPv6 倡導者 Jun Murai 宣布,他將出售超過 1400 萬個 IPv4 地址,所有收益將以信託基金的方式,用於提升亞太地區的互聯網服務,進一步填補甚至消除全球性的數字鴻溝。
來源:雷鋒網
(信息來源於網路,安華金和搜集整理)
