分类: 国际动态

JS 框架安全报告:jQuery 下载次数超过 1.2 亿次

尽管 JavaScript 库 jQuery 仍被使用,但它已不再像以前那样流行。根据开源安全平台 Snyk 统计,目前至少十分之六的网站受到 jQuery XSS 漏洞的影响,甚至用于扩展 jQuery 功能的 jQuery 库还引入了更多的安全问题。 Snyk 发布了 2019 年 JavaScript 框架的状态安全报告,该报告主要是对两个领先的 JavaScript 框架(Angular 和 React)进行安全审查,但同时还调查了其他三个前端 JavaScript 生态系统项目的安全漏洞:Vue.js、Bootstrap 和 jQuery 等。 报告显示,在过去 12 个月中,jQuery 的下载次数超过 1.2 亿次,相当于 Vue.js(4000 万次)和 Bootstrap(7900 万次)加起来的下载次数。在报告中,Vue.js 被发现漏洞有四个,但已全部修复;Bootstrap 包含七个跨站点脚本(XSS)漏洞,其中有三个是在 2019 年披露的,目前没有任何安全修复或升级途径来避免;而在 jQuery 中,迄今为止被跟踪影响到所有版本的六个漏洞,其中四个属于中等级别的跨站点脚本漏洞,一个属于中等级别的原型污染漏洞(Prototype Pollution),另一个是低级别的拒绝服务漏洞。 Snyk 报告的结论是,如果你使用 jQuery 3.4.0 以下版本,则容易遭受攻击。 而根据 W3Techs 的数据,使用 jQuery v1.x 的网站占了 84%,这导致它们存在四个中等级别的 XSS 漏洞隐患,使用 jQuery 扩展库(其中 13 个已识别漏洞)会加剧这种情况。 在 Snyk 报告中,jquery.js 是一个恶意包,过去 12 个月中被下载了 5444 次,它的严重程度与其他两个开源社区模块的恶意版本一样高( jquery-airload 322 次下载和 github-jquery-widget 232 次下载)。 报告还列出另外三个扩展库:jquery-mobile、jquery-file-upload 和 jquery-colorbox,虽然其中包含任意代码执行和跨站点脚本安全漏洞,且没有任何升级途径可修补这些漏洞,但它们还是在过去 12 个月中总共下载了 34 万次以上。 近年来有人认为 jQuery 不再流行,而根据报道目前它仍有高下载量,原因可能如下: 目前它还有大量教程、现有网站及软件等都是使用 jQuery 相关的插件非常丰富,很多新出的 js 框架也支持 jQuery 大量的程序员用过 jQuery,熟悉它的语法和功能,后期也会继续使用   (稿源:开源中国,封面源自网络。)

两名前 Twitter 员工被指控为沙特阿拉伯政府监视数千个 Twitter 帐户

两名前 Twitter 员工已被指控代表沙特阿拉伯政府监视数千个 Twitter 用户帐户,其目的是为了找出不同政见者。 根据11月5日公开的起诉书,这两名前雇员是美国公民 Ahmad Abouammo 和沙特阿拉伯公民 Ali Alzabarah。两人均已于2015年12月离开公司。 两人2014年开始便为沙特阿拉伯政府工作,任务是收集沙特阿拉伯王国和反对王室的 Twitter 账号。 Abouammo 和 Alzabarah有权访问用户的个人资料,包括电子邮件地址,使用的设备,用户提供的个人信息, 生日,用户浏览器信息,用户在Twitter上的所有操作记录,以及IP地址和电话号码。 根据起诉书,Alzabarah 于2013年8月以“站点可靠性工程师”的身份加入Twitter,他于2015年5月21日至11月18日为沙特阿拉伯服务。据指控,他涉嫌监视6000多个Twitter帐户,沙特政府曾经向Twitter请求披露其中的数十个账户的具体信息。 Abouammo 被指控在美国境内充当外国间谍,还向FBI提供了伪造记录,以干扰他们的调查。他还从社交媒体平台删除了某些信息,比如应沙特政府官员的要求删除了某些Twitter帐户。当然,他还能够帮助沙特阿拉伯政府揭露某些用户的身份。 根据起诉书中的内容,沙特阿拉伯官员通过伪造发票的方式,向Abouammo支付了高达30万美元的报酬。该文件还指出,该男子收到了Hublot金陶瓷手表。 美国司法部还对沙特国民Ahmed al Mutairi提出了指控,这是一家与沙特王室有联系的社交媒体营销公司。Ahmed al Mutairi担任 Twitter 的两名前雇员与沙特阿拉伯政府官员之间的中介。 Abouammo 于周二在西雅图被 FBI 逮捕,其他两名嫌犯仍在逃。 “许多Twitter用户在与全世界分享他们的观点的同时也面临着很多危险。我们会保护他们的隐私和发声的权利” Twitter在声明中说。   消息来源:SecurityAffairs, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

谷歌兄弟公司 Chronicle 并入谷歌云 没能颠覆网络安全行业

网易科技讯 11月8日消息,据国外媒体报道,2018年初,谷歌母公司Alphabet宣布新成立的子公司Chronicle,旨在为用户开发数字化“免疫系统”,实现网络安全的革命性突破。但是作为谷歌兄弟公司之一的Chronicle,其初衷使命并未完成,并且已经走向死亡。 Chronicle成立时作出的承诺令人兴奋,声称Chronicle将利用机器学习和Alphabet的安全遥测数据,对恶意软件和互联网基础设施状态进行近乎完全的掌握,并且能够利用Chronicle来帮助公司的安全团队,发现可能威胁公司网络的入侵。更为重要的是,据Chronicle首席执行官斯蒂芬·吉列特(Stephen Gillett)称,Chronicle将与谷歌保持独立。 “我们希望让安全团队工作速度和影响提高10倍,让他们在捕捉和分析安全信号时,能够更容易、更快、更符合成本效益。而在此前,这项工作太难、太昂贵了。”吉列特在宣布Chronicle成立时的博文中表示,“我们知道这项任务需要数年的时间,但我们将致力于完成这项任务。” 当时还不清楚Chronicle会是什么样子。但业内观察人士兴奋地认为,在这个充斥着杀毒和防火墙等相对古老技术的网络安全行业,Chronicle将带来革命性的突破。 然而,Chronicle成立仅一年半之后,Chronicle就被并入谷歌的云部门。一些员工觉得Chronicle被抛弃了,Chronicle最初的愿景被束之高阁。据网站Motherboard报道,Chronicle首席执行官和首席安全官(CSO)已经离开,首席技术官也将于本月晚些时候离开,其他员工也将退出。 “Chronicle已经死了,”Chronicle一位现员工向Motherboard表示,“吉列特和谷歌杀了它。”(天门山)   (稿源:网易科技,封面源自网络。)

美加州下令要求 Facebook 交出涉嫌侵犯用户隐私的相关信息

据外媒报道,当地时间周三,美国加州司法部长Xavier Becerra表示,Facebook拒绝遵守要求其提供更多关于对其涉嫌侵犯用户隐私的调查信息的传票。在当地时间周三下午的新闻发布会上,Becerra谈到了加州对Facebook的诉讼,要求该公司交出任何跟隐私和第三方获取用户数据有关的文件,就像在剑桥分析丑闻中做的那样。 该诉讼是在加州高等法院提起的,希望借此迫使该公司交出通信和文件。 “如果Facebook遵守了我们的合法调查请求,”Becerra说道,“我们今天就不会发布这个声明。” Becerra指出,Facebook“没有完全回应”他办公室提出的信息要求。“今天我们公开这些信息是因为我们别无选择。”   (稿源:cnBeta,封面源自网络。)

Mozilla 表示美国 ISP 向国会撒谎 散布有关 DNS 加密的不实信息

Mozilla今天在写给美国众议院委员会主席和高级成员的信中表示,互联网提供商反对浏览器DNS加密这一隐私功能,这些提供商的行为让外界质疑它们如何使用客户网络浏览数据。Mozilla还表示,互联网提供商一直在向立法者提供不准确的信息,并敦促国会公开调查当前ISP数据收集和使用政策。 基于HTTPS的DNS有助于防止窥视者看到用户浏览器正在进行的DNS查找。这会使ISP或其他第三方更加难以监控用户访问的网站。Mozilla信任与安全机构高级总监Marshall Erwin表示,毫无疑问,我们在DoH [基于HTTPS的DNS]上的工作促使ISP发起了一场运动,以阻止所有这些隐私和安全保护功能实施。 宽带行业声称,谷歌计划自动将Chrome用户切换到自己的DNS服务,但是Google公开宣布的计划是检查用户当前的DNS提供商是否在兼容DoH提供商列表中,如果用户选择的DNS服务不在该列表中,则Chrome不会对该用户进行任何更改。 而Mozilla实际上计划在默认情况下将Firefox用户切换到其他DNS提供商,特别是Cloudflare的加密DNS服务。但是,由于Firefox的市场份额较小,因此与Chrome相比,ISP显然不太关心Firefox。 Mozilla在致国会的信中说,ISP对加密DNS进行游说相当于电信协会明确主张ISP必须有能力收集用户数据并从中获利。目前,美国ISP对用户数据滥用包括在未经用户了解或未获得有效同意的情况下,向第三方出售实时位置数据,诸如Comcast之类的ISP、操纵DNS为消费者提供广告,Verizon使用超级Cookie来跟踪用户的Internet活动,AT&T每月向客户收取29美元的额外费用,以避免AT&T收集用户浏览历史记录并且从中获利。   (稿源:cnBeta,封面源自网络。)

2019 年 11 月的 Android 安全补丁发布:共计修复38处漏洞

今天谷歌发布了2019年11月的Android安全补丁,在修复近期曝光的安全漏洞同时还带来了面向Android 10的BUG修复和后台优化。2019年11月的Android安全补丁共有2019-11-01和2019-11-05两个安全级别,共计修复了38处安全漏洞,涵盖存在于Android Framework, Android Library, Media framework, Android System, Kernel components和Qualcomm等诸多组件中的问题。谷歌敦促用户尽快安装2019年11月的Android安全补丁。 在本次修复的安全漏洞中,影响最严重的一个漏洞可以绕过用户的交互请求获得其手机最高权限,以便于在本地安装任意恶意程序。此外还有一个漏洞允许远程攻击者使用特制的提权文件来执行任意代码;还有能够一个漏洞允许远程攻击者使用特殊的数据传输来获取其他权限。 作为2019年11月Android安全补丁的一部分,谷歌今天还发布了2019年11月的Pixel更新,该更新解决了Linux内核组件,高通组件(包括封闭源组件),LG组件和Android Framework中的其他21个漏洞,适用于Pixel设备的功能,以及对受支持的Pixel手机进行各种改进的功能补丁。 其中Pixel 4和Pixel 4 XL的使用流畅度和相机有所改进。在Pixel 2,Pixel 2 XL,Pixel 3,Pixel 3 XL,Pixel 3a,Pixel 3a XL,Pixel 3上添加了对Xbox蓝牙手柄的支持;修复了Pixel 3,Pixel 3 XL,Pixel 3a和Pixel 3a XL在启动过程中卡住的情况;改善了Pixel 3的底部音箱质量以及改善Pixel 2、Pixel 2 XL,Pixel 3和Pixel 3 XL的Google Assistant热词检测。   (稿源:cnBeta,封面源自网络。)

西班牙两家公司同天遭勒索软件攻击,引发 WannaCry 级恐慌

近日,西班牙两家大型公司在同一天内受到勒索软件打击。 其中一家是Everis,这是NTT Data Group旗下的IT咨询公司,其发言人目前还没有发表正式声明。第二个是西班牙最大的无线电网络公司Cadena SER,其在官网发表了声明,确认公司遭遇了攻击。 两家公司都要求员工关闭计算机,并断开网络连接。 Everis在18个国家/地区拥有超过24,500名员工,是受影响最大的公司之一。该公司其他分支也受到了影响,勒索软件已通过公司的内部网络传播。 疑似有Everis员工在社交媒体上发布了截图,显示勒索软件 BitPaymer 攻击了 IT 公司,该勒索软件也袭击了法国电视台M6和德国自动化工具制造商Pilz。尚未公布攻击 Cadena SER 的勒索软件。 图片:Alex Barredo(Twitter@somospostpc) 西班牙当局立即作出反应 由于西班牙是早期遭受WannaCry重创的国家之一,因此这一次政府组织迅速做出了反应。 西班牙国家安全局在事件发生后的数小时内发布安全建议,敦促公司改善网络安全措施,并且建议其他受害者向西班牙国家网络安全研究所INCIBE寻求帮助。 尽管没有类似WannaCry的勒索软件爆发的迹象,但这两次勒索软件感染对西班牙当地的商业环境产生了重大影响。许多本地公司使用Everis软件进行日常活动,有人担心自己被感染,选择关闭程序来检查系统。 网上还出现了谣言,有人猜测除了Everis之外,其他IT公司也受到了影响。金融咨询公司毕马威(KPMG)的西班牙支部和软件巨头埃森哲(Accenture)今天早些时候在Twitter上发布声明,告诉用户他们没有受到感染,并且一切正常。   消息来源:ZDNet, 译者:r4938n,校审:吴烦恼 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接

微软将数据保存在玻璃中 可以安全地存储数千年

微软研究团队正在进行Project Silica二氧化硅项目,将信息编码在一块超强的玻璃上,为了证明它的有效性,他们在玻璃上存储了一部经典电影。微软与华纳兄弟公司合作,在玻璃上存储了“超人”电影拷贝,并且很重要的是,成功地读取数据。这部 1978年电影保存在一块75 x 75 x 2mm的石英玻璃上。 微软认为,随着世界数据量增长,档案存储成为一个大问题。现有系统,无论它们是依靠磁带,固态驱动器还是企业级硬盘驱动器,都可长时间保存数据,但是仍然不能保证数据长时间安全。在数据保存应对自然灾害方面,需要采取一些新措施。 Project Silica二氧化硅项目利用先进的超快激光器件来完成此任务。激光在一块硬质石英玻璃中形成三维纳米尺度光栅层,并在不同深度和角度产生变形。有点像旧唱片记录方式,但规模更紧凑,更复杂。然后微软采用机器学习算法,对通过玻璃的偏振光产生的图像和图案进行解码。 微软表示,一块2毫米厚的玻璃可以包含100多个数据层。每一层都由玻璃的物理变形组成,然后机器学习算法在它们之间跳转以对其进行解码。事实证明,石英玻璃具有出乎意料的弹性,能够承受500摄氏度以上的温度,可以煮沸或微波煮,甚至用钢丝擦洗。由于数据存储在玻璃内部而不是玻璃表面上,因此对读取数据的难易程度没有影响。 这项技术还处于初期。目前,尽管机器学习算法可以从玻璃存储中非顺序地访问数据,但是该过程仍然需要提升读取速度。微软表示,实际上首先也需要对数据进行编码,并且正在努力提高存储数据的密度。如果Project Silica项目取得成功,那么它可能会导致一种全新数据保存方式,但可以持续使用数千年。     (稿源:cnBeta,封面源自网络。)

特朗普的网络安全顾问输入错误密码后 苹果员工将其 iPhone 恢复为出厂设置

据外媒Techspot报道,2017年在担任特朗普的网络安全顾问和律师仅26天后,苹果员工发现了在旧金山市区商店外等候的鲁迪·朱利安尼(Rudy Giuliani)。他之所以在这里,是因为在输入了十次错误的密码后,他的iPhone 6被锁定,这迫使苹果员工将手机恢复为出厂设置,通过iCloud备份对其进行重新设置。 在NBC News上周报道此事后,将他自己忘记iPhone密码的经历与美国联邦调查局(FBI)要求苹果解锁枪手使用的iPhone一事进行比较。 然而这并非朱利安尼经历过与技术事故有关的尴尬事件。大约一年前,他在推文中写道:“就在总统离开参加G-20之际,穆勒就提出了起诉。7月,他也曾在总统前往赫尔辛基之前起诉那些永远不会来到这里的俄罗斯人。”他发推文时忘记在句号后面加空格,从而不小心创建了一个指向G-20.in的超链接。恶作剧者购买了未注册的域名,并建立了反特朗普网站。 而朱利安尼则指责Twitter允许恶作剧者用令人不快的反总统信息“侵入”他的推文。   (稿源:cnBeta,封面源自网络。)

Facebook 撤除多个针对非洲国家的俄罗斯虚假账号

据外媒报道,根据Facebook公布的一篇新博文了解到,这家公司的网络安全团队在其社交网络平台上发现并撤除了一个针对非洲国家发布虚假信息并隐瞒真实身份的俄罗斯账号、群组和页面的网络。 据悉,受影响的非洲国家包括了马达加斯加、中非共和国、莫桑比克、刚果民主共和国、科特瓦迪、喀麦隆、苏丹、利比亚。 据称,这些账号的行为–用官方数据称是“不真实行为”–不仅出现在Facebook上同时还蔓延到了Instagram上。对此,Facebook统计了被删除的可疑账号和页面数量并披露了以下信息: 存在于Facebook上的:35个Facebook账号、53个页面、7个群组和5个Instagram账号; 关注者:约47.5万个账号关注一个或多个这样的页面,约450人关注一个或多个这样的群体,约650人关注一个或多个这样的Instagram账号; 广告:价值约77,000美元的Facebook广告支出以美元支付。第一个广告开始于2018年4月,最近一个广告则出现在2019年10月。 另外,Facebook安全团队还发现了并撤销了另一批主要针对苏丹的17个Facebook账号、18个页面、3个群组和6个Instagram账号,它们主要集中在苏丹和针对利比亚的14个Facebook账号、12个页面、1个群组和1个Instagram账号–所有这些都被认为来自俄罗斯。 Facebook表示,尽管这些账号的身份都是捏造的,但它们还是设法找出其真实身份。现在他们已经将这些可疑行动背后的主犯缩小到了一个人身上–Yevgeniy Prigozhin,据悉,他是一名遭起诉的俄罗斯商人并被指跟俄罗斯总统普京关系密切。 截止到目前为止,FBI已将所有关于俄罗斯人在虚假伪装下展开的秘密行动的调查结果适当地上报给了有关当局和执法部门。   (稿源:cnBeta,封面源自网络。)