尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
【技術資訊】
0、研究人員發現 macOS 可獲取用戶密碼的 0day 漏洞
德國安全研究人員 Linus Henze 發現了蘋果 macOS 中一個被稱作「KeySteal」的 0day 漏洞,並在 YouTube 上公布了一段視頻演示。
對於別有用心的攻擊者來說,可借助惡意手段從 Mac 上的 Keychain 應用程序來收集全部的敏感信息,而無需管理員訪問權限(或管理員密碼)。
Keychain 會暴露密碼和其它信息,以及其它 macOS 用戶的密碼詳情。
鑒於蘋果沒有針對 macOS 的漏洞賞金計劃,Henze 尚未選擇向蘋果分享漏洞詳情,但表示不會輕易將細節公布。其在描述中寫到 ——「全都怪蘋果!」(So blame them.)
Linus Henze 說他不會發布這個漏洞,因為蘋果並沒有推出 macOS 的漏洞賞金計劃。他在給《福布斯》的一份聲明中澄清了自己的立場:「發現這樣的漏洞需要時間,我只是認為付錢給研究人員是一件天經地義的事情,因為我們正在幫助蘋果讓他們的產品更安全。」
據悉,蘋果有一個針對 iOS 移動平台的獎勵計劃,為發現 bug 的人們提供賞金。遺憾的是,對於桌面平台的 macOS 系統,蘋果並沒有類似的除蟲獎勵。據了解,蘋果的安全團隊已經聯繫了 Henze,但是他仍然拒絕提供更多的細節,除非他們為 macOS 推出漏洞賞金計劃。據 Linus Henze 表示說:「即使看起來我這麼做只是為了錢,但這根本不是我的動機。我的動機是讓蘋果公司創建一個漏洞賞金計劃。我認為這對蘋果和研究人員都是最好的。」
德國 Heise Online 稱,該漏洞允許訪問 Mac 上 Keychain 的內容,但不能訪問存儲在 iCloud 中的信息。
Keychain 也需要被解鎖,當用戶在 Mac 上登錄他們的帳戶時,即會在默認情況下會發生。如需為 Keychain 應用加鎖,可以通過管理員密碼來打開該 App,然後執行相關操作。
另外,KeySteal 並不是研究人員在 macOS 中發現的第一個與鑰匙串訪問相關的漏洞。安全研究員 Patrick Wardle 在 2017 年展示了一個類似的漏洞,不過該漏洞已經被修復。
1、Google開源 ClusterFuzz,自動化查找並修復 bug
最近,Google開源了一個模糊測試基礎設施——ClusterFuzz,可以非常簡單地自動化查找並修復程序中的 bug。
模糊測試是一種用於自動化檢測軟件中存在的問題的方法,其通過向目標程序提供意外輸入來做到。它能有效地發現可以帶來嚴重安全隱患的內存損壞錯誤。手動查找這些問題既困難又耗時,盡管有嚴格的代碼審查實踐,但難免會漏掉一些問題。對於使用諸如 C/C++ 這類不安全的語言編寫的軟件項目,模糊測試是確保其安全性和穩定性的關鍵環節。
項目團隊表示,為了使模糊測試行之有效,它必須是連續的、大規模執行,並且集成到軟件項目的開發過程中,而為了在 Chrome 上提供這些功能,他們編寫了 ClusterFuzz,這是一個運行在 25000 多個核心上的模糊測試基礎設施。兩年前,團隊開始將 ClusterFuzz 作為一項免費服務通過 OSS-Fuzz 向開源項目提供。如今 ClusterFuzz 已開源,任何人都可以使用。
ClusterFuzz 研發到現在已經過 8 年時間,其旨在無縫地融入開發人員工作流程,並使得查找 bug 並修復它們變得非常簡單。ClusterFuzz 提供端到端的自動化,從 bug 檢測到分類,到錯誤報告,最後到錯誤報告的自動閉合,特性包括:
- 高度可擴展,Google的內部實例運行在超過 25000 台機器上
- 準確的去副本化(Accurate deduplication)
- 問題跟蹤器的全自動錯誤歸檔和關閉
- 最小化測試用例
- 通過二分法回歸查找
- 提供分析 fuzzer 性能和崩潰率的統計信息
- 易於使用的 Web 界面,用於管理和查看崩潰
- 支持引導模糊(例如 libFuzzer 和 AFL)和黑盒模糊測試
ClusterFuzz 已經在 Chrome 中發現了超過 16000 個 bug,在與 OSS-Fuzz 集成的 160 多個開源項目中發現了超過 11000 個 bug。它是 Chrome 和許多其它開源項目開發過程中不可或缺的一部分。ClusterFuzz 通常能夠在引入後幾小時檢測到問題,並在一天內驗證修復。
項目地址:
https://github.com/google/clusterfuzz
2、學院軟件基金會迎來第二個開源項目
據 variety 的報導,Sony Pictures Imageworks 將其用於製作電影的工具 OpenColorIO 捐贈給了學院軟件基金會。
OpenColorIO(OCIO)是一種用於生產過程中顏色管理的工具,是一個面向電影製作、視覺特效和電腦動畫的完整色彩空間管理解決方案。OCIO 提供了簡單、具有一致用戶體驗的跨應用支持,同時支持先進的後端配置選項與高端的生產。它參與製作過的電影包括耳熟能詳的《 蜘蛛人:平行宇宙》、《愛麗絲夢遊仙境》、《精靈旅社3:瘋狂假期》與《天降美食》等。
Sony Pictures Imageworks 的捐贈,也使 OpenColorIO 成為了學院軟件基金會的第二個軟件項目(第一個是視覺特效軟件 OpenVDB),該基金會是由 Linux 基金會牽頭的行業範圍的開源協會。根據修改後的 BSD 許可,行業可以免費和開放地訪問 OpenColorIO。通過向學院軟件基金會提供該工具,Sony Pictures Imageworks 希望鼓勵社區負責該工具的未來。
「我們希望將 OpenColorIO 貢獻給社區」,工作室副總裁兼軟件開發主管 Michael Ford 表示:「每天使用它的開發人員和公司將指導項目路線圖,從新版本 2.0 的功能和發布節奏開始。」
關於學院軟件基金會(Academy Software Foundation,ASWF),我們之前有報導過,它成立於 2018 年 8 月,面向電影與媒體領域的開發者,旨在為電影和媒體行業提供中立論壇,協調跨項目工作,提供一個共同的構建和測試基礎設施,幫助個人和組織參與開源生態系統。其創始成員包括 Autodesk、思科、夢工廠、Epic Games、Foundry、Google雲、Intel 與沃爾特迪士尼工作室等。去年,Sony Pictures Entertainment/Sony Pictures Imageworks、華納兄弟、Blender 基金會和視覺效果協會(VES)加入了該組織。
【業界資訊】
0、Fedora logo 改版最新進展:已有三個候選方案
設計師 Máirín 最近在博客發文公布 Fedora logo 重新設計的最新進展,Máirín 表示已根據收到的反饋縮小了新設計的選擇範圍,不過她也提到這次的目標不是完全推倒重來式的重新設計,而是對 logo 進行一次更新。
最新的候選方案如下:
新的設計沒有太大的改動,但它們也不完全一樣。根據用戶反饋,設計團隊做的第一件事就是將上個版本的候選方案2砍掉。Máirín 的博客文章很好地概述了 logo 重新設計的迭代過程及其背後的原因。主要還是根據用戶的反饋意見進行修改:
- 字母 f 是否應該包含「無限」的含義?
- 字母 f 看起來像 p,而不像 f
- logo 中字母之間的間距不夠大,影響閱讀
- logo 看起來像 cf 或者 df
- ……
設計師特別介紹了 f, e, a 這三個字母的重新設計思路和遇到的問題。除了技術問題外,還需考慮是否已準確表達出了字母原本的含義,以及能否給用戶帶來有可能的想像空間。
最後,設計師 Máirín 表示這不是號召大家進行投票,而是希望大家能提供有建設性的反饋意見。
1、QQ 已誕生 20 年
時間回到1999年2月10日,臘月廿五。OICQ的第一個版本——OICQ Beta1 正式發布,那一天,距離騰訊公司創建3個月。
在所有創始人的印象中,這一天並沒有進行任何的儀式。
第一個QQ版本大約幾百K,一張圖片大小。
那時,國內還沒有綜合業務數字網(ISDN),上網是用撥號的,普遍的上網帶寬是14K、28K,54K就是很快的了,下載一個3MB到5M的軟件要幾十分鐘。
騰訊創始人之一張志東說:剛剛開發完第一個內部版本的時候,全部完成只有220KB。
「我拿給馬化騰看,他不太相信,以為肯定是沒包括動態庫打包的部分,實際上這已經是完整的獨立可運行版本了。」
在產品上線之後,馬化騰和張志東還時不時跑到二樓的那間網吧,現場觀察用戶的使用狀況。
馬化騰說:那時,當‘嘀嘀’聲從不知哪個黑暗的角落傳出的時候,我們的心尖都會跟著抖一下,那種體驗從未有過,太美妙了。
2、武漢首例比特幣盜竊案判決正式生效
據武漢晚報消息,2月10日,武漢首例比特幣盜竊案判決正式生效。2016年從事pos機推銷工作的黃某盜取受害人劉某比特幣錢包中的0.22個比特幣,轉手獲利2.4萬元。該案經漢陽法院審理,黃某因盜竊罪被判處有期徒刑一年三個月,並處罰金人民幣3000元,所得贓款也被判繼續追繳並發還被害人劉某。據承辦法官介紹,黃某並未採取侵入或其他技術手段獲取帳號密碼,而是通過其幫被害人申請帳戶的便利條件從而掌握了帳號密碼,並進而秘密竊取了被害人擁有的比特幣,其行為符合盜竊罪的構成要件,故以盜竊罪定罪處罰。(武漢晚報)