LoopDNS资讯播报
-
- 简讯: Debian 13 预计将在 2025 年左右发布,使用名为 "Trixie" 的代号,它是蓝色的塑料玩具恐龙,最早出现在《玩具总动员 3》。
同时据 Debian 开发者团队在更新邮件内透露 RISC-V 64 位移植其实取得良好进展,但并未实装到 Debian 12 中。很可能会在 Debian 13 中进一步完善,然后提供官方 RISC-V 支持。但新架构的鉴定需要在 Debian Trixie 周期的后期进行,这项工作预计将在一年半到两年后的 Debian 13 beta 版本正式开始。 -
- 重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞,存在盗刷风险
原理: 部分应用内置支付宝支付组件,可在用户无支付宝 App 环境下快捷付款,但该组件存在可被抓包劫持的问题,攻击者可通过流量抓包捕获验证码请求,并篡改短信获取手机号码实现验证码登录,但支付仍然需要支付密码才能成功支付
漏洞级别:重要[需要用户注意]
漏洞利用难度: 一般[攻击者需要持有目标多项信息,但信息获取难度较低,虽然支付宝存在安全风控防护,但仍然存在被批量风险]
注意: 由于国内隐私问题,大量公民个人信息泄露,攻击者非常容易凑齐大量公民的手机号码,户主名称以及身份证号码,加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码,攻击者非常容易实现批量碰撞盗刷
由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内,但每次付款仍然需要输入支付密码,但更改支付密码并不能将所有设备踢出支付状态。
攻击者在获取登录状态过后,可持续性的查看账号内的金额,绑定卡片等一系列私密信息
处置建议: 更改自己支付宝支付密码,尽量不要使其与自己身份产生关联,采用随机六位数字,避免使用生日等重要日期,开启支付宝通知权限,及时获取支付消息,确保每一笔支付由本人支付
注意: 由于支付宝存在安全支付风控措施,所以攻击者只能尝试进行小额支付,用户需注意自己账户是否出现密集的小额扣款及未知小额扣款 - 简讯: 6月10日,国铁集团在12306网站(含手机客户端,下同)试行在线选铺服务,选择通达全国各区域的230趟高铁、普速旅客列车作为试点,对普速列车软卧、硬卧和动车组软卧、一等卧、二等卧等铺别提供在线自主选铺服务,同时,继续实行对60岁以上老人等重点旅客优先分配下铺的服务。
- Twitter 将开始为创作者在回复中投放的广告付费。
马斯克在推文中说到:几周后,X/Twitter 将开始为创作者在回复中投放的广告付费。 第一笔大笔付款总额为 500 万美元。
请注意,创作者必须经过验证,并且只有投放给经过验证的用户的广告才算数。
来源:马斯克推特 - [漏洞/一般] ACME 客户端证书获取过程中存在可执行任意代码/命令注入漏洞,且中国证书颁发机构 HiCA 在运行过程中滥用了这个漏洞
原理:acme.sh 处理 ACME 数据时,如果服务器返回的响应不是预期的 JSON 格式,而是其他任意内容,那么 acme.sh 会将这些内容原样输出。在这种情况下,HiCA 利用这个特性,通过 Unicode 生成一个二维码,然后注入到 ACME 数据中。然后输出了一个二维码
据 Matt Holt 表示这是他知道的首次对 ACME 生态系统的公然滥用,同时担忧未来可能还会出现更多相同行为。他建议避免使用需要特定 ACME 客户端或有其他不寻常的限制/要求的证书颁发机构,并始终保持你的客户端最新
威胁:一般 ,但漏洞可远程执行 .sh 脚本,且需要使用者注意 [实际的远程代码执行(RCE)威胁相对较低,因为用户需要明确配置一个违反 ACME 规定的恶意证书颁发机构]
处置建议:用户在配置 CA 时应避免使用未经信任或未经审核的 CA,并尽量不要使用未经审核的第三方客户端
注意:本次漏洞通报中没有直接证明 HiCA 存在恶意行为,且需要注意的是 acme.sh 存在被第三方劫持的安全漏洞
相关链接:GITHUBGitHubacme.sh runs arbitrary commands from a remote server · Issue #4659 · acmesh-official/acme.shHello, You may already be aware of this, but HiCA is injecting arbitrary code/commands into the certificate obtaining process and acme.sh is running them on the client machine. I am not sure if thi... - Spotify 正在测试智能离线下载
Spotify CEO 丹尼爾·埃克发布推文说到:“ 我们一直在测试一个名为“你的离线混合”的新功能 ,这是一个为你离线时设计的播放列表。” 这个功能类似于 YTmusic 的智能下载。
来源:丹尼爾·埃克推特 - Politco消息,美国国务卿布林肯将在下周访华。熟知布林肯日程安排的人士称,布林肯会在结束中东之行后前往北京。
Blinken is on track to arrive in Beijing following his current trip to the Middle East next week.
via 外汇交易员 -
- 唐纳德特朗普在佛罗里达州因秘密文件案被起诉
美国的指控包括文件保留、串谋阻挠,特朗普被告知周二将在迈阿密的联邦法院出庭。
据三位知情人士透露,唐纳德特朗普因拒绝归还在佛罗里达州家中发现的机密文件而被起诉。迈阿密联邦法院的起诉非同寻常,因为从未有过一位前总统被指控犯有联邦罪行。
这几乎肯定会颠覆 2024 年大选中成为共和党总统候选人的竞争,这意味着如果特朗普被定罪,他可能会面临牢狱之灾或被取消担任公职的资格,具体取决于指控。
据一位要求匿名讨论机密信息的知情人士透露,起诉书是密封提交的,包含七项罪名,包括故意保留国防信息、腐败隐瞒文件、串谋妨碍司法公正和作出虚假陈述。该文件可能会在周五公布。
来源:彭博社 -
- 《华尔街日报》调查发现 Instagram 算法很容易传播未成年色情内容
华尔街日报发现,由于缺乏监督和推荐算法,Instagram 正在传播儿童色情内容,这些算法不能充分区分好坏。《华尔街日报》通过与斯坦福大学和马萨诸塞大学阿默斯特分校的研究人员合作进行的调查发现,该平台通过允许明确寻找未成年人内容的可搜索主题标签,使查找变得容易。
作为对《华尔街日报》的回应,Meta 发言人承认该公司在政策执行和节制方面的失败,并表示已成立一个内部工作组来解决 Instagram 上的问题,尽管该工作组的计划细节很少。“剥削儿童是一种可怕的犯罪,”梅塔告诉《华尔街日报》。
欧盟内部市场专员蒂埃里·布雷顿 (Thierry Breton) 在今早针对这家广告技术巨头发布的一条推文中表示,Meta 关于儿童保护的自愿守则似乎不起作用。马克扎克伯格现在必须解释并立即采取行动。 我将于 6 月 23 日在门洛帕克的 Meta 总部与他讨论。8 月 25 日之后, Meta 必须向我们展示措施,否则将面临严厉制裁。
来源: 华尔街日报 、蒂埃里·布雷顿 -
- 广东电信出现故障无法拨打电话
广东电信出现故障无法拨打电话,电信客服回应:“电信基站全省故障,暂时不能拨打电话,请耐心等待,现在紧急加急处理中,不便之处,敬请谅解”。 - Apple更新其App Store规则以打击冒充应用程序。
在正在进行的全球开发者大会(WWDC)的间隙中,苹果已更新其App Store审查指南,以打击应用程序克隆和抄袭。
在一篇苹果博客文章中,公司表示冒充应用程序现在被视为违反App Store规则的行为:
“提交冒充其他应用程序或服务的应用程序被视为违反开发者行为准则,并可能导致从 Apple Developer Program 中移除。”
更新后的指南提到,开发者不应复制应用程序的代码或用户界面,或使用与另一个流行应用程序相似的名称。
“提出自己的想法。我们知道你们有,所以请让你们的想法变成现实。不要简单地复制App Store上最流行的应用程序,或者对另一个应用程序的名称或UI进行一些小的更改,然后将其冠以自己的名义,”指南中写道。“除了冒险面临知识产权侵权索赔,这使得App Store难以导航,对你的同行开发者也不公平。”
来源:techcrunch - 中国出口降幅超预期,加剧增长风险——中国出口在 5 月份出现三个月来的首次下滑,随着全球需求减弱,这增加了世界第二大经济体的风险。
官方数据周三显示,海外出货量较上年同期下降 7.5% 至 2840 亿美元,低于预期中值的下降 1.8%。对大多数目的地的出口收缩,对美国、日本、东南亚、法国和意大利等地的出口 出现两位数下降。
source - 扬帆起航,劈波斩浪
未来晴空万里,愿大家能够所愿成真
