Forwarded from Hacker News
Microsoft donates the Mono Project to the Wine team (🔥 Score: 168+ in 45 minutes)
Link: https://readhacker.news/s/6dAjL
Comments: https://readhacker.news/c/6dAjL
Link: https://readhacker.news/s/6dAjL
Comments: https://readhacker.news/c/6dAjL
Forwarded from 科技圈的日常 (Jimmy Tian)
Telegram 创始人 Pavel Durov 暂被释放,之后将接受法庭的初步审讯
https://edition.cnn.com/2024/08/28/tech/pavel-durov-telegram-custody-released-intl/index.html
https://edition.cnn.com/2024/08/28/tech/pavel-durov-telegram-custody-released-intl/index.html
Forwarded from Solidot
韩国黑客利用 WPS Office 0day 部署恶意程序
2024-08-29 14:53 by 阿尔法计划
韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件,在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262,影响版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。金山在 3 月悄悄修复了漏洞,但没有向客户披露该漏洞正被活跃利用,促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关,其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件,嵌入了隐藏在诱饵图像下的恶意超链接,引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整,ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。
https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/
#安全
2024-08-29 14:53 by 阿尔法计划
韩国黑客组织 APT-C-60 利用了 Windows 版 WPS Office 的一个 0day 在目标设备上安装后门 SpyGlace。WPS 是金山开发的办公软件,在全球有逾 5 亿活跃用户。黑客利用的 0day 被称为 CVE-2024-7262,影响版本从 12.2.0.13110(2023 年 8 月)到 12.1.0.16412(2024 年 3 月)。金山在 3 月悄悄修复了漏洞,但没有向客户披露该漏洞正被活跃利用,促使安全公司 ESET 就该漏洞公布了一份详细报告。CVE-2024-7262 与软件如何处理自定义协议处理器的方式相关,其中 ksoqing:// 允许文档中嵌入的特制 URL 执行外部应用。APT-C-60 创建了 MHTML 文件,嵌入了隐藏在诱饵图像下的恶意超链接,引诱受害者点击图像触发漏洞。金山修复 CVE-2024-7262 的补丁并不完整,ESET 研究人员发现了第二个任意代码执行的高危漏洞 CVE-2024-7263。金山在 5 月修复了新的漏洞。为修复这两个漏洞 WPS 用户需要尽可能快的升级到 v12.2.0.17119 及以上版本。
https://www.bleepingcomputer.com/news/security/apt-c-60-hackers-exploited-wps-office-zero-day-to-deploy-spyglace-malware/
https://www.welivesecurity.com/en/eset-research/analysis-of-two-arbitrary-code-execution-vulnerabilities-affecting-wps-office/
#安全
Forwarded from 风向旗参考快讯
Forwarded from 层叠 - The Cascading
Elastic Blog
Elasticsearch Is Open Source. Again!
Elastic announces the return of open source licensing for Elasticsearch and Kibana, adding AGPL as an option alongside existing licenses. This change reinforces our long-standing commitment to open source principles and the open source community.
咕 Billchen 咕 |
Elastic 添加 AGPL 作为授权选项之一;这为用户在 ELv2 及 SSPL 之外提供了新的选项。 elastic.co/~ #OpenSource #Elastic
评价是:
[某本台猫猫] 在 Redis 转sspl和另一个pg数据库叫啥来着转纯企业版之后,Elastic co 终于干人事了
[某本台猫猫] 在 Redis 转sspl和另一个pg数据库叫啥来着转纯企业版之后,Elastic co 终于干人事了
Forwarded from 联合早报 即时报道
万事达卡拟取消信用卡号 以打击网络诈骗
为了打击层出不穷的网络诈骗问题,万事达卡公司正计划取消信用卡号,并扩大以指纹或面部扫描等生物特征数据为安全措施的“认证技术”(或称代币技术),以降低信息泄露风险。
彭博社报道,万事达卡首席执行长米巴赫(Michael Miebach)接受采访时说,十年前,公司首次推出一项以“代币”取代消费者卡号的数据安全技术。一开始,这项新技术须耗时三年时间才能处理第一批价值十亿的交易,但公司如今能每周处理10亿笔类似交易。
“认证技术”(Tokenization,或称代币技术)被广泛用于保护敏感数据,如信用卡信息、银行账户号码等。这种技术通过将敏感数据替换为一个无意义的随机生成的数字序列(或称“代币”)来工作,这些代币在存储和传输过程中替代原始数据,从而降低数据泄露的风险。
...
#银行诈骗 #银行 #诈骗 #信用卡 #网络诈骗 #黑客 #数据
2024年8月30日 10:36 PM
为了打击层出不穷的网络诈骗问题,万事达卡公司正计划取消信用卡号,并扩大以指纹或面部扫描等生物特征数据为安全措施的“认证技术”(或称代币技术),以降低信息泄露风险。
彭博社报道,万事达卡首席执行长米巴赫(Michael Miebach)接受采访时说,十年前,公司首次推出一项以“代币”取代消费者卡号的数据安全技术。一开始,这项新技术须耗时三年时间才能处理第一批价值十亿的交易,但公司如今能每周处理10亿笔类似交易。
“认证技术”(Tokenization,或称代币技术)被广泛用于保护敏感数据,如信用卡信息、银行账户号码等。这种技术通过将敏感数据替换为一个无意义的随机生成的数字序列(或称“代币”)来工作,这些代币在存储和传输过程中替代原始数据,从而降低数据泄露的风险。
...
#银行诈骗 #银行 #诈骗 #信用卡 #网络诈骗 #黑客 #数据
2024年8月30日 10:36 PM
Forwarded from &'a ::rynco::UntitledChannel (Rynco Maekawa)
This media is not supported in your browser
VIEW IN TELEGRAM
Forwarded from cnBeta.COM中文业界资讯站
消息称Intel已取消Beast Lake及后续CPU型号 研发重心移至GPU
Royal Core是Intel计划用来取代超线程技术的核心技术,不再是拆分成更小线程,而是研发可以堆叠在一起成为巨型高性能内核的核心设计。这一设计在游戏性能上具有巨大潜力,但由于Royal Core的开发耗费了大量现金,Intel不得不削减开支,因此基于Royal Core的Beast Lake(实际上是Royal Core 1.1)也被取消。MLID的消息源还提到,Intel的这一决定与Jim Keller离开公司有关,Keller曾是Intel芯片团队的负责人,他的离职对Royal Core项目产生了不利影响。此外其还表示,在CEO帕特·基辛格(Pat Gelsinger)掌舵下,Intel不再专注于研发高性能CPU核心,而是将重心放在GPU方面,让CPU给AI处理器铺路。 ...
PC版:https://www.cnbeta.com.tw/articles/soft/1444397.htm
手机版:https://m.cnbeta.com.tw/view/1444397.htm
Royal Core是Intel计划用来取代超线程技术的核心技术,不再是拆分成更小线程,而是研发可以堆叠在一起成为巨型高性能内核的核心设计。这一设计在游戏性能上具有巨大潜力,但由于Royal Core的开发耗费了大量现金,Intel不得不削减开支,因此基于Royal Core的Beast Lake(实际上是Royal Core 1.1)也被取消。MLID的消息源还提到,Intel的这一决定与Jim Keller离开公司有关,Keller曾是Intel芯片团队的负责人,他的离职对Royal Core项目产生了不利影响。此外其还表示,在CEO帕特·基辛格(Pat Gelsinger)掌舵下,Intel不再专注于研发高性能CPU核心,而是将重心放在GPU方面,让CPU给AI处理器铺路。 ...
PC版:https://www.cnbeta.com.tw/articles/soft/1444397.htm
手机版:https://m.cnbeta.com.tw/view/1444397.htm
cnBeta.COM
消息称Intel已取消Beast Lake及后续CPU型号 研发重心移至GPU - Intel Core 英特尔酷睿 - cnBeta.COM
Moore'sLawisDead(MLID)在视频中称从Intel内部高层获悉,Intel已决定取消其BeastLake处理器及其后续产品线。BeastLake处理器原本计划在2028年推出,它将拥有6个超高性能核心,每个核心在需要时可拆分为4个RU,从而提供最多24个线程。
OpenSSL Security Advisory [3rd September 2024]
==============================================
Possible denial of service in X.509 name checks (CVE-2024-6119)
===============================================================
Severity: Moderate
Issue summary: Applications performing certificate name checks (e.g., TLS
clients checking server certificates) may attempt to read an invalid memory
address resulting in abnormal termination of the application process.
Impact summary: Abnormal termination of an application can a cause a denial of
service.
Applications performing certificate name checks (e.g., TLS clients checking
server certificates) may attempt to read an invalid memory address when
comparing the expected name with an
X.509 certificate. This may result in an exception that terminates the
application program.
Note that basic certificate chain validation (signatures, dates, ...) is not
affected, the denial of service can occur only when the application also
specifies an expected DNS name, Email address or IP address.
TLS servers rarely solicit client certificates, and even when they do, they
generally don't perform a name check against a "reference identifier" (expected
identity), but rather extract the presented identity after checking the
certificate chain. So TLS servers are generally not affected and the severity
of the issue is Moderate.
The FIPS modules in 3.3, 3.2, 3.1 and 3.0 are not affected by this issue.
OpenSSL 1.1.1 and 1.0.2 are also not affected by this issue.
OpenSSL 3.3, 3.2, 3.1 and 3.0 are vulnerable to this issue.
OpenSSL 3.3 users should upgrade to OpenSSL 3.3.2
OpenSSL 3.2 users should upgrade to OpenSSL 3.2.3
OpenSSL 3.1 users should upgrade to OpenSSL 3.1.7
OpenSSL 3.0 users should upgrade to OpenSSL 3.0.15
This issue was reported on 16th June 2024 by David Benjamin (Google),
reiterating an AddressSanitizer issue raised on 30th September 2021. The fix
was developed by Viktor Dukhovni.
General Advisory Notes
======================
URL for this Security Advisory:
https://openssl-library.org/news/secadv/20240903.txt
Note: the online version of the advisory may be updated with additional details
over time.
For details of OpenSSL severity classifications please see:
https://openssl-library.org/policies/general/security-policy/
https://openssl-library.org/news/secadv/20240903.txt
==============================================
Possible denial of service in X.509 name checks (CVE-2024-6119)
===============================================================
Severity: Moderate
Issue summary: Applications performing certificate name checks (e.g., TLS
clients checking server certificates) may attempt to read an invalid memory
address resulting in abnormal termination of the application process.
Impact summary: Abnormal termination of an application can a cause a denial of
service.
Applications performing certificate name checks (e.g., TLS clients checking
server certificates) may attempt to read an invalid memory address when
comparing the expected name with an
otherName subject alternative name of anX.509 certificate. This may result in an exception that terminates the
application program.
Note that basic certificate chain validation (signatures, dates, ...) is not
affected, the denial of service can occur only when the application also
specifies an expected DNS name, Email address or IP address.
TLS servers rarely solicit client certificates, and even when they do, they
generally don't perform a name check against a "reference identifier" (expected
identity), but rather extract the presented identity after checking the
certificate chain. So TLS servers are generally not affected and the severity
of the issue is Moderate.
The FIPS modules in 3.3, 3.2, 3.1 and 3.0 are not affected by this issue.
OpenSSL 1.1.1 and 1.0.2 are also not affected by this issue.
OpenSSL 3.3, 3.2, 3.1 and 3.0 are vulnerable to this issue.
OpenSSL 3.3 users should upgrade to OpenSSL 3.3.2
OpenSSL 3.2 users should upgrade to OpenSSL 3.2.3
OpenSSL 3.1 users should upgrade to OpenSSL 3.1.7
OpenSSL 3.0 users should upgrade to OpenSSL 3.0.15
This issue was reported on 16th June 2024 by David Benjamin (Google),
reiterating an AddressSanitizer issue raised on 30th September 2021. The fix
was developed by Viktor Dukhovni.
General Advisory Notes
======================
URL for this Security Advisory:
https://openssl-library.org/news/secadv/20240903.txt
Note: the online version of the advisory may be updated with additional details
over time.
For details of OpenSSL severity classifications please see:
https://openssl-library.org/policies/general/security-policy/
https://openssl-library.org/news/secadv/20240903.txt
Forwarded from 联合早报 即时报道
沪指跌破2800点
受外围市场普跌影响,亚洲股指全面下跌,沪指跌破2800点。
截至星期三(9月4日)收盘,沪指收报2784.28点,跌幅0.67%;深成指收报8226.24点,跌幅0.51%;创业板指收报1554.64点,跌幅0.11%;科创50指数收报672.28点,跌幅0.40%。
沪深京三市近3900只个股下跌。市场成交有所缩量,两市成交额不到5600亿元(人民币,1028亿新元)。
据每日经济新闻报道,板块方面,电池、医药商业、珠宝首饰、电子化学品、碳基材料、教育、医疗服务、氦气概念、氟化工位于涨幅榜前列。ST股、3D摄像头、全息技术、AIPC、消费电子等表现不佳,领跌市场。
最新公布的8月份美国供应管理协会制造业采购经理人指数(ISM Manufacturing PMI)低于普遍预期,引发投资者对经济增长的担忧,市场普遍出现抛售情绪。
晶片股在星期二(9月3日)的交易中集体遭遇滑铁卢,英伟达股价暴跌9.5%;超微半导体(Advanced Micro Devices)跌7.82%;安谋控股(ARM Holdings)跌6.88%;台积电(TSMC)下挫6.53%。
亚太市场全线下挫,日经225指数收跌4.35%、韩国股市收跌3.15%,台湾加权指数跌幅更一度高达5%,领跌亚洲股市。
#中国股市 #A股
2024年9月4日 3:27 PM
受外围市场普跌影响,亚洲股指全面下跌,沪指跌破2800点。
截至星期三(9月4日)收盘,沪指收报2784.28点,跌幅0.67%;深成指收报8226.24点,跌幅0.51%;创业板指收报1554.64点,跌幅0.11%;科创50指数收报672.28点,跌幅0.40%。
沪深京三市近3900只个股下跌。市场成交有所缩量,两市成交额不到5600亿元(人民币,1028亿新元)。
据每日经济新闻报道,板块方面,电池、医药商业、珠宝首饰、电子化学品、碳基材料、教育、医疗服务、氦气概念、氟化工位于涨幅榜前列。ST股、3D摄像头、全息技术、AIPC、消费电子等表现不佳,领跌市场。
最新公布的8月份美国供应管理协会制造业采购经理人指数(ISM Manufacturing PMI)低于普遍预期,引发投资者对经济增长的担忧,市场普遍出现抛售情绪。
晶片股在星期二(9月3日)的交易中集体遭遇滑铁卢,英伟达股价暴跌9.5%;超微半导体(Advanced Micro Devices)跌7.82%;安谋控股(ARM Holdings)跌6.88%;台积电(TSMC)下挫6.53%。
亚太市场全线下挫,日经225指数收跌4.35%、韩国股市收跌3.15%,台湾加权指数跌幅更一度高达5%,领跌亚洲股市。
#中国股市 #A股
2024年9月4日 3:27 PM
Forwarded from iBreaking
世盃外:日本 7-0 中國
世界盃外圍賽亞洲區第三圈,中國 0-7 慘敗日本,創對賽最差成績。
日本在全場控球率達到七成八,17 次射門九次中框,22% 控球率的中國只有一次射門。日本的七次入球,五次皆在下半場。以 0-7 創下對日本最差戰績的中國,下星期二將對陣沙特,同日日本將對巴林。
中國中央電視台罕有不安排直播比賽引發內地球迷不滿,央視賽前發聲明指版收費「極度畸高」,作為國家電視台「秉承國家利益至上的原則,堅決抵制境內外資本攪亂體育版權市場的行為」。
世界盃外圍賽亞洲區第三圈,中國 0-7 慘敗日本,創對賽最差成績。
日本在全場控球率達到七成八,17 次射門九次中框,22% 控球率的中國只有一次射門。日本的七次入球,五次皆在下半場。以 0-7 創下對日本最差戰績的中國,下星期二將對陣沙特,同日日本將對巴林。
中國中央電視台罕有不安排直播比賽引發內地球迷不滿,央視賽前發聲明指版收費「極度畸高」,作為國家電視台「秉承國家利益至上的原則,堅決抵制境內外資本攪亂體育版權市場的行為」。