首页
论坛
课程
招聘

微软超级漏洞曝光可绕过核心加密模块;全球首个活体机器人诞生;微信新增十个表情

Editor 2020-01-15 18:08

关注最新资讯,了解与你我息息相关的前沿消息,打造你的冲浪新姿势!



1、微软Window加密库中存在漏洞



1月14日,微软在2020年的周二发布了第一个补丁集,其中包含一个更新,用于更新版本的Windows中的加密库中的关键漏洞。


CVE-2020-0601是由国家安全局(NSA)通过微软协调漏洞披露程序向微软披露的。影响包括Windows 10和Windows Server 2016/2019以及依赖于Windows CryptoAPI的应用程序。

关于 CVE-2020-0601 


CVE-2020-0601是crypt32.dll中的一个欺骗漏洞,crypt32.dll是Microsoft Windows中的一个核心加密模块,负责在Microsoft的CryptoAPI中实现证书和加密消息传递功能。

由于CVE-2020-0601绕过了Windows验证加密信任的功能,攻击者可能会将恶意应用程序作为合法可信的代码传递出去,从而使Windows主机处于危险之中。

攻击者需要以另一种方式危害系统才能部署利用此漏洞的恶意软件。他们可能会使用常见的网络钓鱼策略诱使受信任的用户与恶意应用程序交互,或者使用中间人攻击通过环境中另一个受损的设备欺骗被拦截的更新并用恶意软件替换。

分析指出了一些信任验证会受到影响的例子:

  • HTTPs连接
  • 签名文件和电子邮件
  • 作为用户模式进程启动的签名可执行代码


* 部分内容参考Tenable安全

LYA:Windows再曝高风险漏洞,这次是美国国家安全局(NSA)发现并报告给微软,因此解决十分迅速。


昨天是微软停止支持Windows 7 的日子,你更新了吗?


2、全球首个活体机器人诞生



近日,美国佛蒙特大学计算机科学家和塔夫茨大学生物学家发布最新研究成果,使用100%青蛙DNA创造出可编程的四足异种活体机器人Xenobot,这是一种自然界从未见过的全新的生命形式。


Xenobot使用非洲爪蛙早期胚胎中的皮肤细胞和心脏细胞,由超级计算机的“进化算法”设计,聚集了500到1000个皮肤细胞和心脏细胞,其宽度不到一毫米,前肢较小,后肢较大,有红色的心肌层,其形态像一个移动的肉团。


这种机器人能够按照计算机设计的路线移动,还能负载一定的重量,除了步行、游泳、合作工作之外,还能够在人体内部移动,并且在没有食物的情况下也能够生存数周,受损后也能自己治愈伤口。


对于这种活体机器人的功能,这项研究表明Xenobot能实现钢铁和塑料机器人无法做到的事情,由于其自身的可降解性,也更加环保和安全。例如清除放射性废物、在海洋中收集微塑料、在人体内部运输药物甚至进入动脉清除斑块。


除此之外,活体机器人也能够帮助研究人员深入了解细胞生物学,利用编程按需制作3D生物组织,修复先天缺陷或战胜衰老,为人类健康和长寿的未来发展做出贡献。


有国外网友表示:不要把它植入体内,很容易造成替代和暗杀;麻省理工学院的研究员曾指出技术带来的负面影响跟AI的关系不大,而是跟人类有关。


LYA:作为一种新的人工物种,这种青蛙细胞机器人无疑是一种巨大突破,但接下来要面临的伦理问题,预示着它还有很长的路要走。


未来的某一天,我们也许会看到这种活体机器人能够成为现实,像真实的生物一样适应环境。



3、微信新增10个表情



近日,微信新增10个新表情,分别是“吃瓜”“加油”“汗”“天啊”“Emm”“社会社会”“旺柴”“好的”“打脸”“哇”。

目前新上线的默认表情在PC版微信上暂不显示。安卓用户需要更新到最新版本 7.0.10, iOS 用户如暂时不可用,重启微信即可。

除了微信之外,QQ作为腾讯的另一个社交App,也添加了新功能,即日起支持微信直接转账到QQ。用户只需在微信上关注并进入“ QQ 钱包官方账号 ”,点击菜单栏中的“ 微信转账到 QQ ”,进入转账页面,输入收款方的 QQ 号码、真实姓名和转账金额,即可实时转账。

需要注意的是,用户在进行转账前,需要确保收款方已经开通 QQ 钱包并完成了实名认证。

目前,微信账号每个月的QQ账号转账额度为3000元,一个微信账号最多只能转账给10个不同的QQ账号,每个QQ账号通过微信转账收到的资金不超过6000元/月。

LYA:对于新表情,网友表示再也不用手动狗头啦!


此前,同为腾讯的产品,QQ和微信的腾讯游戏帐号和腾讯视频帐号都是互不相通的,随着QQ的月活跃用户逐渐下降,如今两大社交App的联动也是盘活QQ的一种举措。


此外,QQ线下支付仍在开发中,至于未来QQ钱包是否能像微信支付一样成为日常应用,谁也无法保证。


4、博通芯片存在漏洞



据外媒报道,丹麦安全公司Lyrebirds的研究人员在一份报告中称,全球广泛使用的博通芯片存在Cable Haunt新漏洞,仅在欧洲就影响了大约 2 亿个电缆调制解调器。


该漏洞存在博通芯片的一个标准组件中,即频谱分析仪。这是一个用来保护电缆调制解调器免受来自同轴电缆信号波动和干扰的组件。互联网服务提供商(ISPs)经常使用该组件调试连接质量。

一般来说,在大多数电缆调制解调器上,只有通过内部网络的连接才能访问该组件。然而该研究表明,由于该漏洞存在,使博通芯片的频谱分析仪缺少对DNS重新绑定攻击的保护,同时存在使用默认凭据的风险,并且其固件中还包含编程错误。

因此,攻击者只要诱导用户通过他们的浏览器访问恶意页面,即可利用漏洞访问存在漏洞的组件,并在设备上执行命令。据估计,整个欧洲易受攻击的设备数量约为 2 亿部,但全球的可利用设备的总数无法量化。

LYA:2017年博通曾计划收购高通,2018年特朗普以国家安全发布禁令,随后博通收回收购邀约,可见博通影响力巨大。


由于创建电缆调制解调器固件时,博通芯片作为参考软件会被不同的制造商复制,而这些参考软件中恰恰存在这一严重漏洞,因此无法跟踪漏洞的具体利用情况,其利用总数也就无法估量。



分享到:
最新评论 (0)
登录后即可评论