我是来结束这个 Telegram 的

Microsoft donates the Mono Project to the Wine team (🔥 Score: 168+ in 45 minutes)

Link: https://readhacker.news/s/6dAjL
Comments: https://readhacker.news/c/6dAjL

Telegram 创始人 Pavel Durov 暂被释放，之后将接受法庭的初步审讯

https://edition.cnn.com/2024/08/28/tech/pavel-durov-telegram-custody-released-intl/index.html

本频道的 "Sign messages" 已关。

已恢复
本频道的 Linked Group 已关。
加入链接为 https://www.tg-me.com/+[REDACTED]
仅眼熟通过

已恢复

韩国黑客利用 WPS Office 0day 部署恶意程序

2024-08-29 14:53 by 阿尔法计划

韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件，在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262，影响版本从 12.2.0.13110（2023 年 8 月）到 12.1.0.16412（2024 年 3 月）。金山在 3 月悄悄修复了漏洞，但没有向客户披露该漏洞正被活跃利用，促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关，其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件，嵌入了隐藏在诱饵图像下的恶意超链接，引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整，ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。

https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/

#安全

电报迪拜办事处已关闭 公司员工不再使用

Telegram 迪拜办公室已关闭，该通讯软件团队不再使用该办事处。事实证明，帕维尔·杜罗夫将阿联酋的办公地址作为幌子。无论是他本人还是他的团队，从未在该商务中心大厦工作过，尽管公司在此正式注册。据了解，自租用以来，里面一直空无一物，只有光秃秃的墙壁。既没有家具，也没有工作用的电脑。这个场所很可能只是为了遵守阿联酋的法律而租用的，企业注册必须有法定地址和工作场所。据中介透露，这个200平方米的工作场所年租金大约为1300万卢布。杜罗夫的团队最多有50人，在老板被捕后，他们全都进入了静默模式。

—— 塔斯社、Mash

Elastic 添加 AGPL 作为授权选项之一；这为用户在 ELv2 及 SSPL 之外提供了新的选项。

elastic.co/~

#OpenSource #Elastic

评价是：
[某本台猫猫] 在 Redis 转sspl和另一个pg数据库叫啥来着转纯企业版之后，Elastic co 终于干人事了

万事达卡拟取消信用卡号 以打击网络诈骗

为了打击层出不穷的网络诈骗问题，万事达卡公司正计划取消信用卡号，并扩大以指纹或面部扫描等生物特征数据为安全措施的“认证技术”（或称代币技术），以降低信息泄露风险。

彭博社报道，万事达卡首席执行长米巴赫（Michael Miebach）接受采访时说，十年前，公司首次推出一项以“代币”取代消费者卡号的数据安全技术。一开始，这项新技术须耗时三年时间才能处理第一批价值十亿的交易，但公司如今能每周处理10亿笔类似交易。

“认证技术”（Tokenization，或称代币技术）被广泛用于保护敏感数据，如信用卡信息、银行账户号码等。这种技术通过将敏感数据替换为一个无意义的随机生成的数字序列（或称“代币”）来工作，这些代币在存储和传输过程中替代原始数据，从而降低数据泄露的风险。

...

#银行诈骗 #银行 #诈骗 #信用卡 #网络诈骗 #黑客 #数据
2024年8月30日 10:36 PM

消息称Intel已取消Beast Lake及后续CPU型号 研发重心移至GPU


Royal Core是Intel计划用来取代超线程技术的核心技术，不再是拆分成更小线程，而是研发可以堆叠在一起成为巨型高性能内核的核心设计。这一设计在游戏性能上具有巨大潜力，但由于Royal Core的开发耗费了大量现金，Intel不得不削减开支，因此基于Royal Core的Beast Lake（实际上是Royal Core 1.1）也被取消。MLID的消息源还提到，Intel的这一决定与Jim Keller离开公司有关，Keller曾是Intel芯片团队的负责人，他的离职对Royal Core项目产生了不利影响。此外其还表示，在CEO帕特·基辛格（Pat Gelsinger）掌舵下，Intel不再专注于研发高性能CPU核心，而是将重心放在GPU方面，让CPU给AI处理器铺路。 ...

PC版：https://www.cnbeta.com.tw/articles/soft/1444397.htm
手机版：https://m.cnbeta.com.tw/view/1444397.htm

OpenSSL Security Advisory [3rd September 2024]
==============================================

Possible denial of service in X.509 name checks (CVE-2024-6119)
===============================================================

Severity: Moderate

Issue summary: Applications performing certificate name checks (e.g., TLS
clients checking server certificates) may attempt to read an invalid memory
address resulting in abnormal termination of the application process.

Impact summary: Abnormal termination of an application can a cause a denial of
service.

Applications performing certificate name checks (e.g., TLS clients checking
server certificates) may attempt to read an invalid memory address when
comparing the expected name with an otherName subject alternative name of an
X.509 certificate. This may result in an exception that terminates the
application program.

Note that basic certificate chain validation (signatures, dates, ...) is not
affected, the denial of service can occur only when the application also
specifies an expected DNS name, Email address or IP address.

TLS servers rarely solicit client certificates, and even when they do, they
generally don't perform a name check against a "reference identifier" (expected
identity), but rather extract the presented identity after checking the
certificate chain. So TLS servers are generally not affected and the severity
of the issue is Moderate.

The FIPS modules in 3.3, 3.2, 3.1 and 3.0 are not affected by this issue.
OpenSSL 1.1.1 and 1.0.2 are also not affected by this issue.

OpenSSL 3.3, 3.2, 3.1 and 3.0 are vulnerable to this issue.

OpenSSL 3.3 users should upgrade to OpenSSL 3.3.2

OpenSSL 3.2 users should upgrade to OpenSSL 3.2.3

OpenSSL 3.1 users should upgrade to OpenSSL 3.1.7

OpenSSL 3.0 users should upgrade to OpenSSL 3.0.15

This issue was reported on 16th June 2024 by David Benjamin (Google),
reiterating an AddressSanitizer issue raised on 30th September 2021. The fix
was developed by Viktor Dukhovni.

General Advisory Notes
======================

URL for this Security Advisory:
https://openssl-library.org/news/secadv/20240903.txt

Note: the online version of the advisory may be updated with additional details
over time.

For details of OpenSSL severity classifications please see:
https://openssl-library.org/policies/general/security-policy/


https://openssl-library.org/news/secadv/20240903.txt

沪指跌破2800点

受外围市场普跌影响，亚洲股指全面下跌，沪指跌破2800点。

截至星期三（9月4日）收盘，沪指收报2784.28点，跌幅0.67%；深成指收报8226.24点，跌幅0.51%；创业板指收报1554.64点，跌幅0.11%；科创50指数收报672.28点，跌幅0.40%。

沪深京三市近3900只个股下跌。市场成交有所缩量，两市成交额不到5600亿元（人民币，1028亿新元）。

据每日经济新闻报道，板块方面，电池、医药商业、珠宝首饰、电子化学品、碳基材料、教育、医疗服务、氦气概念、氟化工位于涨幅榜前列。ST股、3D摄像头、全息技术、AIPC、消费电子等表现不佳，领跌市场。

最新公布的8月份美国供应管理协会制造业采购经理人指数（ISM Manufacturing PMI）低于普遍预期，引发投资者对经济增长的担忧，市场普遍出现抛售情绪。

晶片股在星期二（9月3日）的交易中集体遭遇滑铁卢，英伟达股价暴跌9.5％；超微半导体（Advanced Micro Devices）跌7.82％；安谋控股（ARM Holdings）跌6.88％；台积电（TSMC）下挫6.53％。

亚太市场全线下挫，日经225指数收跌4.35%、韩国股市收跌3.15%，台湾加权指数跌幅更一度高达5%，领跌亚洲股市。

#中国股市 #A股
2024年9月4日 3:27 PM

世盃外：日本 7-0 中國

世界盃外圍賽亞洲區第三圈，中國 0-7 慘敗日本，創對賽最差成績。

日本在全場控球率達到七成八，17 次射門九次中框，22% 控球率的中國只有一次射門。日本的七次入球，五次皆在下半場。以 0-7 創下對日本最差戰績的中國，下星期二將對陣沙特，同日日本將對巴林。

中國中央電視台罕有不安排直播比賽引發內地球迷不滿，央視賽前發聲明指版收費「極度畸高」，作為國家電視台「秉承國家利益至上的原則，堅決抵制境內外資本攪亂體育版權市場的行為」。