除了常规更新外,更重要的是修复了一个称为“原型污染(prototype pollution)”的罕见安全漏洞。什么是原型污染?顾名思义,原型污染就是指者通过某种手段修改 Java 对象的 prototype。
prototype 定义了 Java 对象的默认结构和默认值,因此在没有为对象赋值时应用程序也不会崩溃。
但如果者从 Java 对象的 prototype 入手,者可通过将其控制的 prototype 注入对象,然后通过触发 Java 异常导致服务(denial of service),或者应用程序源代码以注入者的代码径。最终的结果可能就是导致应用程序崩溃或劫持应用程序。
Snyk 团队详细描述了这个新的 jQuery “原型污染”漏洞,其中包含原理和规避方法。
虽然漏洞比较严重,但好在“原型污染”并不能被大规模利用,因为每段代码必须针对每个目标进行微调。此外,大部分网站并不使用 jQuery 进行重要的操作,主要是用于操作动画中的菜单或创建弹窗等。
最后,如果担心安全问题,升级至最新版本jQuery 3.4.0,毕竟目前大多数网站仍在使用 jQuery 的 1.x 和 2.x 分支,这意味着绝大多数基于 jQuery 的应用程序和网站仍有可能遭受。
为方便用户更好地访问扩展程序,Chrome正在测试可从工具栏访问的新扩展菜单。此菜单将包含所有已安装扩展的下拉列表,可通过选择图标来使用。在启用这个新扩展菜单后,工具栏将显示一个新的拼图图标,选中即可展开已安装扩展的菜单。
这个新的扩展菜单还允许通过单击指定扩展名右侧的 3 点菜单,轻松管理扩展。当您单击此菜单时,它将打开一个上下文菜单,允许用户管理指定扩展。
虽然谷歌没有说明何时可以添加此功能,但因为这个测试是 Chrome 76 Canary 版本的一部分,我们可以期望在下个正式版本中看到它。
谋智基金会(Mozilla)目前已经推出 Common Voice 项目,旨在让语音识别技术变得更好也能免费使用。项目依靠全球用户捐赠的语音数据库可以让任何人或开发者快速轻松地训练出能够识别任何语音的应用程序。此外作为配套设施谋智基金会还在构建名为 Deep Speech 的开源语音识别引擎且同样是为所有人免费使用。
对于人类来说说话依然还是我们相互沟通最自然的方式,而语音技术将这种方便感带到计算机和移动设备上。
谋智基金会希望开发者能够打造效果极好的语音识别程序,比如实时翻译器和语音数字助理类应用程序等等。
但此时大多数打造这类应用所必须的语音数据都是私有且昂贵的,我们希望收集的数据能够满足开发者需求。
英国安全研究员 Marcus Hutchins,aka MalwareTech,2017 年因发现 WannaCry 的关闭开关了该软件的进一步而被视为一位安全领域的英雄,但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI ,被控开发、和了银行木马 Kronos。
本周 Hutchins 承认他开发了银行木马, 他对此表示遗憾,并愿意为错误承担责任,表示正将几年前误用的技能用于建设性目的。根据协议,Hutchins 承认了两项,检方放弃了另外八项,每一项的最期是五年,最高罚款 25 万美元。他承认开发了银行木马 Kronos 和 UPAS-Kit,承认与同谋 Vinny、VinnyK 和 Aurora123 在网上宣传和销售这两种木马,时间发生在 2012 年 7 月到 2015 年 9 月之间,之后他改变了职业轨道成为了安全研究员。
英国网络安全中心对泄漏账号的分析显示,超过 2300 万人使用密码 123456。这并非是人们不喜欢用复杂的密码,而更可能的原因是这些账号是可抛弃的,它们并不重要的需要使用复杂密码。
上周,Chrome、Sari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“链接审计( hyperlink auditing)”的功能。链接审计是一项 HTML 标准,被用于网站链接的点击。它通过创建特定网页的 POST 请求,用户检查请求头文件就可以了解点击的源地址。测试你的前世今生
网友评论 ()条 查看