Aggregator

文章介绍了Cloudflare的521错误代码，解释了该错误的原因及其对用户的影响，并提供了可能的解决方案和建议。

HackerNews 编译，转载请注明出处： 苹果的新内存完整性强制（MIE）功能提供始终开启的内存安全保护，覆盖关键攻击面，包括内核和 70 多个用户空间进程。 周二，苹果推出了其新款 iPhone 17 和 iPhone Air 智能手机，其中包括一项新的内存保护功能，以保护设备免受复杂间谍软件攻击。 这项新功能名为内存完整性强制（MIE），这家科技巨头表示，它为最新手机提供了始终开启的内存安全保护。新款 iPhone 系列运行 iOS 26 系统。 苹果指出，尽管其 iOS 操作系统尚未遭受大规模恶意软件攻击，但 iPhone 经常成为资源丰富的威胁行为者的攻击目标。 这些攻击通常涉及由“合法”监视解决方案提供商开发的漏洞利用。这些公司通常被称为雇佣间谍软件供应商，因为尽管他们声称只向政府机构提供服务，用于国家安全和刑事调查目的，但实际上，他们的产品在许多情况下被出售给威权政权，并被用来对付记者、人权活动家和政治异见人士。 这些间谍软件供应商开发的漏洞利用通常涉及内存安全漏洞，而苹果的新 MIE 保护旨在使利用此类漏洞的难度大幅增加。 据苹果称，MIE 功能利用了芯片巨头 Arm 于 2022 年发布的增强型内存标记扩展（EMTE），这是 Arm 在与苹果合作后对其 2019 年内存标记扩展（MTE）规范的更新。 MIE 使用 EMTE 以及安全内存分配器和广泛的标记保密强制政策，在内核、Safari 和信息应用中提供保护。 在针对已知漏洞利用链和最近漏洞测试 MIE 后，苹果发现它在阻止攻击的早期阶段非常高效，能够防止威胁行为者通过替换一个漏洞来复活漏洞利用链。 “不可避免地，攻击者必须在他们的能力仍然非常有限的阶段面对 MIE，这使得可用于利用的途径很少。这导致了脆弱的链条，其中打破一个步骤通常就足以使整个漏洞利用策略无效，”这家科技巨头解释说。 苹果安全工程与架构负责人伊万・克尔什蒂奇（Ivan Krstić）表示：“基于我们对内存完整性强制与过去三年异常复杂的雇佣间谍软件攻击的评估，我们相信 MIE 将使漏洞利用链的开发和维护成本大幅增加和变得更加困难，扰乱过去 25 年中最有效的许多漏洞利用技术，并完全重新定义苹果产品内存安全的格局。” 谷歌也最近宣布了一项名为高级保护模式的新功能，旨在阻止针对安卓用户的间谍软件和其他攻击。     消息来源：securityweek； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章介绍了错误代码521的原因、解决方法及预防措施。

苹果A17 Pro芯片存在严重硬件缺陷：安全 enclave与触控屏共享I²C4总线导致系统级联故障。此设计缺陷可能引发设备功能失效及关键数据丢失问题。

The U.S. District Court for the Eastern District of New York has unsealed a superseding indictment against a Ukrainian national, charging him with his alleged role as an administrator in the LockerGoga, MegaCortex, and Nefilim ransomware operations. The schemes reportedly extorted over 250 companies in the United States and hundreds more across the globe, causing […]

The post Authorities Arrested Admins Of “LockerGoga,” “MegaCortex,” And “Nefilim” Ransomware Gangs appeared first on Cyber Security News.

微软宣布个人开发者通过 Microsoft Store 发布应用将免费注册及签名，并可使用自定义应用内购买系统保留全部收入。微软还将提供自动更新功能以提升用户体验。企业开发者和游戏类应用仍按原政策执行。

这篇文章描述了错误代码521的情况及其影响。

HackerNews 编译，转载请注明出处： 谷歌将 C2PA 内容凭证集成到 Pixel 10 相机和谷歌照片中，以帮助用户区分真实未被篡改的图像和通过人工智能技术生成或编辑的图像。 这家美国公司指出，近年来，标记合成媒体的问题变得更大了，因为传统方法已不再适用，留下了被曲解和误用的空间。 在最新的 Pixel 10 手机中，每张拍摄的 JPEG 照片都会自动附加内容凭证，揭示它们是如何制作的。 “内容凭证传达了关于图像、视频或音频文件等媒体是如何制作的丰富信息，这些信息受到过去几十年来保护在线交易和移动应用安全的相同数字签名技术的保护，”谷歌解释说。 “它赋予用户识别 AI 生成（或篡改）内容的能力，有助于促进生成式 AI 的透明度和可信度。” 谷歌表示，该系统可以离线工作，在整个过程中不受外部干扰，并且在保留可验证性的同时不威胁用户的匿名性。 这家科技巨头概述了它在内容凭证系统中融入的几层安全性和完整性保证，以使其具有防篡改性和可信度，包括： – 当元数据被修改时会使数字签名失效的加密签名。 – 防篡改的密钥存储，所有加密密钥都在 Titan M2 安全芯片内的安卓强盒中生成和存储。 – 安卓密钥认证，使谷歌的 C2PA 认证机构能够验证请求凭证的硬件和应用的真实性。 – 每张图像使用一次性密钥，这意味着每张照片都用一个独特的加密密钥签名，这个密钥永远不会被重复使用，从而保护用户的隐私和匿名性。 – 由 Tensor 芯片维护的安全内部时钟支持的设备上可信时间戳，这使得 Pixel 设备即使在离线状态下也能附加可验证的时间戳。 尽管内容凭证系统目前仅在 Pixel 10 设备上可用，但谷歌暗示未来可能会将其扩展到更多的安卓设备，尽管尚未分享任何具体的时间表。 该公司敦促行业利益相关者超越简单的 AI 标签，采用内容凭证，强调打击虚假信息和深度伪造需要在整个生态系统范围内广泛采用可验证的来源。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

加码活动和业务翻倍活动、王牌A活动、月度活动等活动叠加且均计入双十一安全保卫战军衔！

文章描述了一个技术问题：由于服务器无法建立连接而导致的521错误代码出现的情况。这种情况可能导致网页无法正常加载或显示空白页面。建议检查网络连接或稍后再试，并联系相关技术支持以解决问题。

HackerNews 编译，转载请注明出处： 这是NPM生态系统历史上最大的供应链妥协事件，大约影响了10%的云环境，但攻击者几乎没有从中获利。 此次攻击发生在本周早些时候，维护者Josh Junon（qix）中了一个密码重置网络钓鱼诱饵，导致多个非常受欢迎的NPM软件包被入侵，其中包括每周下载量超过26亿次的chalk和debug-js。 在入侵Junon的账户后，攻击者推送了带有恶意模块的恶意更新，该模块通过将交易重定向到威胁行为者那里来窃取加密货币。 开源软件社区迅速发现了这次攻击，所有恶意软件包在两小时内被移除。 根据云安全公司Wiz的研究人员称，被入侵的软件包之一或多个是几乎所有JavaScript/Node项目的基石，在99%的云环境中被使用。 在它们可供下载的两小时窗口期内，大约10%的云环境下载了这些被入侵的软件包。 Wiz解释说：“在恶意版本在npm上可用的短短两小时内，恶意代码成功地进入了10%的云环境。” “这表明在像这样的供应链攻击中，恶意代码传播的速度有多快。” 10%的比例是基于Wiz对客户云环境的可见性以及公开来源得出的。虽然它可能不是一个具有代表性的比例，但它仍然表明了攻击的快速传播和覆盖范围。 攻击者获利不到1000美元 尽管这次攻击造成了显著的干扰，需要公司花费大量时间进行清理、重建和审计，但安全影响微不足道，就像威胁行为者的利润一样。 根据安全联盟的分析，注入的代码针对浏览器环境，拦截以太坊和索拉纳的签名请求，将加密货币钱包地址替换为攻击者控制的地址（加密劫持）。 这种类型的恶意负载拯救了那些下载了被入侵设备的公司，使它们免于更严重的安全事件，因为威胁行为者本可以利用他们的访问权限植入反向shell，在网络中横向移动，或者植入破坏性恶意软件。 尽管攻击规模巨大，受害者众多，但攻击者只转移了价值五美分的ETH和价值20美元的几乎无人知晓的meme币。 昨天，Socket研究人员发布了一份报告，提醒说，同样的网络钓鱼活动也影响了DuckDB维护者账户，用同样的加密货币窃取代码入侵了该项目的软件包。 根据他们的说法，追踪到攻击者钱包的利润大约是429美元的以太坊，46美元的索拉纳，以及少量的比特币、波场、比特币现金和莱特币，总计600美元。 还指出，持有任何显著金额的攻击者钱包地址已经被标记，限制了他们转换或使用他们赚到的少量钱的能力。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了一个网络威胁情报平台的实时状态及活动信息，包括值班人员Guy Bruneau、绿色威胁等级、ISC Stormcast播客更新以及即将在拉斯维加斯举办的“应用安全：保护Web应用、API和微服务”课程等信息。

9月5日，GitGuardian安全研究团队发现了一起代号为“GhostAction”的大规模供应链攻击事件，攻击者通过操纵GitHub Actions工作流程，成功窃取了数千个敏感凭证，涉及327名GitHub用户的817个代码仓库。

🔒 2025年国家网络安全宣传周丨这些网络安全知识，值得学习+收藏！ 🔒🌐 网络安全为何与我们息息相关？🔺

当前环境出现异常情况，需完成验证后才能继续访问服务。

对一次诈骗app渗透测试

· 苹果的特殊照顾：iPhone Air 韩国官网没有捏合手势动画

让世界了解中国网络安全科技