adv

solidot新版网站常见问题,请点击这里查看。
安全
lx1(25847)
发表于2019年05月15日 21时16分 星期三
来自
旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let’s Encrypt 发布了自己的 Certificate Transparency 日志 Oak,它欢迎其他 CA 递交证书日志。该项目得到了 Sectigo 的赞助。Certificate Transparency (CT) 是一个记录和监视证书签发的系统,有助于改进 CA 生态系统和 Web 安全,因此迅速成为关键的互联网基础设施。Let’s Encrypt 决定创建和运作自己的 CT 是出于多个理由:首先是 CT 与该组织让互联网变得更安全和尊重隐私的使命相一致,它相信透明能增强安全,能让人做出深思熟虑的决定;其次是运作一个日志有助于控制其命运,Google Chrome 要求所有的新签发证书递交到两个不同的日志系统,因此 Let’s Encrypt 的运营必须要有多个日志选项;第三是它每天签发超过 100 万个证书,它想要设计一个能优化处理大量证书日志的系统。
安全
lx1(25847)
发表于2019年05月15日 20时27分 星期三
来自
安全公司 Red Balloon 披露了被命名为 Thrangycat(甚至还有专门的绘文字)的漏洞。Thrangycat 是思科安全模块 Trust Anchor 一系列设计缺陷导致的,该安全模块被广泛用于思科的企业级路由器、交换机和防火墙产品,它被用于验证引导程序的完整性,防止设备运行修改过的引导程序。该漏洞允许有 root 权限的攻击者通过修改 FPGA 字节流关闭 Trust Anchor 模块的关键功能,从而完全绕过 Trust Anchor。如果把该漏洞和另一个远程命令注入漏洞组合起来,攻击者能远程和持久性的绕过思科设备的安全引导机制,并能阻止 Trust Anchor 未来的更新。思科有数十款产品受到该漏洞的影响,但严重性可能没有我们想象的大,因为攻击者首先需要有设备的 root 权限。
安全
lx1(25847)
发表于2019年05月15日 12时35分 星期三
来自
微软又一次不同寻常的向已经终止支持的 Windows XP 和 Windows 2003 释出了安全更新,修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708,位于远程桌面服务中,该漏洞也影响仍然支持的操作系统如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。微软表示它没有观察到该漏洞正被利用的证据,但认为攻击者很快会开发出漏洞利用代码并将其整合到恶意程序中。漏洞不影响到较新的操作系统如 Windows 10、Windows 8.1、Windows 8、Windows Server 2019、 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012。