标签: 微软

微软宣布将“尊重”加州隐私法并将扩展至整个美国

据外媒报道,当地时间周一,微软宣布将尊重加州标志性数据隐私法为加州人提供的“核心权利”并将这一权利扩展到整个美国。微软首席隐私官Julie Brill于周一在一篇博文中表示,就像去年推广《欧洲一般数据保护条例(GDPR)》一样,公司将把《加州消费者隐私法(CCPA)》的主要原则推广到美国各地。 CCPA于2018年6月获得批准,是美国最激烈、最全面的数据隐私法规之一,其有点类似于GDPR。在CCPA的规定下,公司必须向用户披露其收集的个人资料、资料是否会出售及出售对象,并容户选择不出售个人的资料。另外,用户还必须能够访问自己的数据并能要求公司删除它们。 Brill写道:“根据CCPA,公司必须对数据收集和使用透明,并为人们提供防止个人信息被出售的选择。CCPA完成这些目标的具体要求仍在制定中。 Brill继续指出,微软将密切关注政府要求公司在CCPA下执行新透明度和控制要求的任何变化。 据了解,CCPA一直是加州立法机关和国会许多隐私斗争的主题。参议院和众议院都在为他们自己的数据隐私而战,每隔几周就会有新的法案被提出。许多民主党议员认为,任何国家立法都应该以加州为基准,在全国范围内扩大这些保护措施并在必要时增加更多的保护措施。共和党人和行业利益相关者则不同意这一观点,他们普遍认为,CCPA管得太过,并且任何联邦法律都应该废除它、其他任何一个州的法律都应该避免出现隐私法规的“拼凑”现象。 Brill写道:“在美国,CCPA标志着向人们提供对其数据更有力的控制迈出了重要的一步。”“这也表明,即使国会不能或不愿采取行动,我们也可以在国家层面加强隐私保护上取得进展。” 据悉,该法案将于2020年1月1日在加州生效。   (稿源:cnBeta,封面源自网络。)

微软将数据保存在玻璃中 可以安全地存储数千年

微软研究团队正在进行Project Silica二氧化硅项目,将信息编码在一块超强的玻璃上,为了证明它的有效性,他们在玻璃上存储了一部经典电影。微软与华纳兄弟公司合作,在玻璃上存储了“超人”电影拷贝,并且很重要的是,成功地读取数据。这部 1978年电影保存在一块75 x 75 x 2mm的石英玻璃上。 微软认为,随着世界数据量增长,档案存储成为一个大问题。现有系统,无论它们是依靠磁带,固态驱动器还是企业级硬盘驱动器,都可长时间保存数据,但是仍然不能保证数据长时间安全。在数据保存应对自然灾害方面,需要采取一些新措施。 Project Silica二氧化硅项目利用先进的超快激光器件来完成此任务。激光在一块硬质石英玻璃中形成三维纳米尺度光栅层,并在不同深度和角度产生变形。有点像旧唱片记录方式,但规模更紧凑,更复杂。然后微软采用机器学习算法,对通过玻璃的偏振光产生的图像和图案进行解码。 微软表示,一块2毫米厚的玻璃可以包含100多个数据层。每一层都由玻璃的物理变形组成,然后机器学习算法在它们之间跳转以对其进行解码。事实证明,石英玻璃具有出乎意料的弹性,能够承受500摄氏度以上的温度,可以煮沸或微波煮,甚至用钢丝擦洗。由于数据存储在玻璃内部而不是玻璃表面上,因此对读取数据的难易程度没有影响。 这项技术还处于初期。目前,尽管机器学习算法可以从玻璃存储中非顺序地访问数据,但是该过程仍然需要提升读取速度。微软表示,实际上首先也需要对数据进行编码,并且正在努力提高存储数据的密度。如果Project Silica项目取得成功,那么它可能会导致一种全新数据保存方式,但可以持续使用数千年。     (稿源:cnBeta,封面源自网络。)

微软总裁布拉德·史密斯:保护隐私安全“刻不容缓”

北京时间15日消息,微软总裁布拉德·史密斯(Brad Smith)认为保护隐私安全已经到了“刻不容缓”的地步,其观点与苹果首席执行官蒂姆·库克(Tim Cook)一致。 史密斯表示,解决办法应该是双重的,即联邦监管机构应该通过一项国家隐私法,类似于欧洲的《一般数据保护条例》(GDPR),史密斯自2005年以来一直在倡导这类法律。 GDPR让消费者有权知道他们的个人数据何时被在线收集,以及将如何使用。由于美国还没有出台这样的联邦法律,史密斯说,该行业的公司应该开始自行向客户提供这些权利。 史密斯说,另一个急需监管的领域是面部识别。首先,面部识别技术可能存在偏见,因为它比其他技术能更准确地检测到男性和白人的脸。 史密斯表示,这也可能对企业或政府追踪人们的活动、他们的消费习惯或他们参与政治运动的能力产生潜在的问题影响。 尽管如此,微软是众多致力于开发面部识别技术的公司之一,史密斯认为不应该完全禁止这种技术。 科技公司和监管机构之间的这种合作可能是该行业未来的关键。史密斯说:“我认为仅仅通过政府提供的解决方案远远不够,我们创造了这项技术,因此我们也有责任帮助解决其带来的问题。” 此外,史密斯认为,是时候为数字时代更新反垄断法了。 史密斯表示,监管机构在判定一家公司是否垄断时,也应该考虑它拥有多少消费者数据,而不是像此前的传统做法那样计算公司市场份额。 这种方法可能会给谷歌和Facebook等其他科技巨头带来麻烦,它们目前正在美国面临反垄断调查。而这可能对微软本身的影响较小。 史密斯表示,一种衡量垄断的新方法只是他希望看到法律改变的方式之一,这样大型科技公司才能在美国得到更好的监管。鉴于技术现在社会、商业和政府中发挥的巨大影响力,这些改变是必要的。   (稿源:新浪美股,封面源自网络。)

Windows 10 Mobile 还有 2 月退休 但微软拒绝修复新发现的漏洞

微软承认Windows 10 Mobile上存在一个安全漏洞,该漏洞能允许默认人绕过你的锁屏屏幕来访问你的相册。不过好消息是,该漏洞只有在锁屏界面启用Cortana才会存在,不过坏消息就是微软表示不会修复该安全漏洞。 目前已经有工程师成功利用该漏洞访问用户手机相册,并在不需要进行系统身份认证的情况下修改和删除照片。该工程师表示:“这个漏洞可以绕过Windows 10 Mobile系统中的安全功能,在锁屏状态下通过Cortana访问文件和文件夹。”而想要利用该漏洞,攻击者需要物理接触到手机并且需要在锁屏界面上启用Cortana。 所有Windows 10 Mobile均存在该安全漏洞,不过微软表示目前并没有证据表明有黑客利用该漏洞来窃取数据。如果你目前依然在使用Cortana,那么唯一的解决方案就是禁用锁屏界面的Cortana。 Microsoft提供了以下步骤来保护您的手机: 1.从应用程序屏幕打开Cortana应用程序。 2.点击Cortana应用程序左上方的“菜单”按钮(3个水平条)。 3.点击设置选项。 4.将“锁定屏幕”选项的滑块设置为“关”,以防止在锁定设备时访问Cortana。 Windows 10 Mobile v1709还将于11月和12月获得2个最后的补丁,因此尚不清楚微软为何在支持周期内不修复该漏洞。虽然微软提供的临时解决方案已经足够保护Windows 10 Mobile用户,但是这项决定依然让很多人感到意外。   (稿源:cnBeta,封面源自网络。)

微软将 SSD 默认加密切换到 BitLocker 软件加密

去年,微软发布了有关固态硬盘驱动器(SSD)新漏洞的安全公告,该漏洞会影响SSD上基于硬件的加密。该漏洞是由荷兰拉德堡德大学的荷兰安全研究人员Carlo Meijer和Bernard von Gastel首次发现的,他们发表了一篇题为“自我加密欺骗:固态硬盘中的加密缺陷”的论文。 事实证明,微软相信SSD可以自我加密以确保安全,但是其中许多驱动器所用加密系统中的漏洞可被黑客用于轻松解密数据,这导致将驱动器的内容暴露给了黑客。 微软建议Windows 10 Admins切换到受影响驱动器的软件加密,现在,在KB4516071更新中微软默认切换到软件加密,即使SSD声称提供硬件加密也是如此。 微软指出:“在加密自加密硬盘驱动器时,更改BitLocker为默认设置。现在,默认设置是对新加密的驱动器使用软件加密。对于现有的驱动器,加密类型不会改变。” 当然,软件加密速度较慢,而且处理器的处理强度更高,并且如果用户信任驱动器,则仍可以切换到硬件加密,但是默认情况下,对所有相关人员而言,默认设置都应该更安全。   (稿源:cnBeta,封面源自网络。)

微软发布 ElectionGuard 开源软件 保护美国大选系统免受攻击

本周二微软在GitHub上发布了名为“ElectionGuard”的开源软件,并表示该软件已经融入到美国的票选系统中,从而避免这次美国总统大选免受黑客的攻击。早在今年7月份,微软就已经公开演示了ElectionGuard软件,旨在保护电子投票系统免受黑客攻击。 图片来自于 微软 微软表示随着对网络攻击的担忧不断升级,该软件使电子投票系统更加安全。在过去1年中,微软已经向超过10,000名已经被外国列为攻击目标的用户发出警告,避免他们受到伤害。微软在7月份表示,这些网络攻击主要目的是获取信息以及干扰选民,主要来自于伊朗、朝鲜和俄罗斯。 ElectionGuard允许人们直接在屏幕上投票,获取跟踪代码以确认他们的投票已被计数且未被更改,然后获得实际的打印确认。微软周二表示:“ ElectroGuard可以通过设计获得,它将使投票在美国或世界各地的民主国家中使用的任何地方都更加安全,可验证和高效。”   (稿源:cnBeta,封面源自网络。)

IE 浏览器存在远程代码执行漏洞,攻击者可借此控制系统

周一,微软向用户警告广受欢迎的 Internet Explorer 存在一个高危的漏洞,攻击者利用此漏洞可以接管你的计算机,进而在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。 根据微软发布的安全公告,引发此漏洞的根本原因是脚本引擎(Scripting Engine)在内存中处理对象的方式。具体来说就是,Internet Explorer 中的脚本引擎在内存中处理对象时存在一个远程代码执行漏洞,该漏洞以这种方式来破坏内存,然后攻击者可以在当前用户的上下文中执行任意代码。 成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限,如果当前用户使用管理员用户权限登录,则攻击者可以控制受影响的系统。然后攻击者会在你的电脑安装和卸载程序,查看、更改或删除数据,甚至创建具有完全用户权限的新帐户。 在基于 Web 的攻击场景中,攻击者可能拥有一个旨在通过 Internet Explorer 利用此漏洞的特制网站,然后诱使用户查看该网站(例如,通过发送钓鱼电子邮件)。 虽然微软已发布安全更新,并通过修改脚本引擎处理内存中对象的方式来解决此漏洞。但微软再次提醒用户放弃这款已被淘汰的浏览器。今年 2 月,微软的安全研究人员就已敦促用户停止使用 IE 作为默认浏览器。后来在四月份的时候,我们得知,即使仅在计算机上安装 Internet Explorer 甚至不使用它都存在安全风险。     (稿源:开源中国,封面源自网络。)

微软:网络攻击已成企业面临的最大安全风险

近日,保险咨询公司 Marsh 发布了携手微软展开的一项调查,显示大多数企业高管已将网络攻击视作其面临的最大问题,且远超对经济的不确定性预期、以及品牌和监管的损益。这项调查涉及全球 1500 多名企业领导人,其职责涵盖了对瞬息万变的组织风险采取适当的应对措施。然而受访者普遍表示,涉及网络安全的保险政策,已较过去两年变得更为常见。 (图自:Marsh / Microsoft,via ZDNet) 2017 年的时候,Marsh 和微软发现有 62% 的受访者将网络攻击视作前五大风险。但是今年,这一数字已提升至 79% 。 今年最让企业领导人关心的前 2~5 项风险,分别是经济的不确定性、品牌破坏与监管损失、以及关键岗位职工的流失、 而在《2019 全球风险报告》中,世界经济论坛(WEF)将数据盗窃和网络攻击列为可能性排名前五的较大风险,然后是极端天气事件和气候变化问题。 自 2017 年以来,全球企业领导人已经见识到了 WannaCry、以及紧随其后的 NotPetya 勒索软件爆发所造成的巨大破坏。 过去数月,美国多个地方政府持续遭到了类似的攻击。比如今年早些时候,Norsk Hydro 就付出了 4000 万美元的代价。 最近,西方各大院校又受到了有组织的黑客攻击,只是其目标从勒索、变成了靠窃取知识产权来牟利。 企业方面,电子邮件泄密(BEC)正在成为最常见和代价惨重的威胁。美国商业保险业巨头 AIG 近期透露: 其在 2018 年遭遇了一起与之相关的巨额网络保险索赔,占 EMEA 市场总额的 23%,其次才是勒索软件威胁。 另根据 Marsh 和微软的调查,47% 的组织购买了网络保险,高于 2017 年的 34% 。年收入超过 10 亿美元的大型企业,这一数字是 57%;而低于 1 亿美元的企业,也有 36% 。 几乎所有受访者(总计 89%)都认为,网络保险政策可覆盖事件所造成的成本损失,但并非所有网络保险索赔都已完成佩服。 作为 2017 NotPetya 勒索软件攻击的几大受害者这一,食品巨头 Mondelez 就遭遇了保险提供商(苏黎世保险集团 / Zurich Insurance Group)的拒赔。 这家保险公司将 NotPetya 勒索软件攻击视作‘和平时期的敌对与战争行为’,并以此为由,拒绝向 Mondelez 给予 1 亿美元的损害赔偿。 今年 1 月的时候,不服此事的 Mondelez 向苏黎世保险集团提起了诉讼。此外《纽约时报》在今年 4 月报道称,默克制药也是 NotPetya 勒索软件攻击的受害者之一,同样的扯皮事件也在该公司与保险公司之间上演。 最后,微软调查发现,超过一半受访者表示他们在‘高度关注’有深厚背景的网络攻击事件。 另有 55% 受访者表示政府应该采取更多的措施,以保护企业免受此类攻击的威胁。     (稿源:cnBeta,封面源自网络。)

微软总裁在新书中透露:特朗普顾问希望微软帮助美国政府监视其他国家

据外媒MSPoweruser报道,微软总裁兼首席法律顾问布拉德·史密斯(Brad Smit)最近发行了他的新书《工具和武器:数字时代的希望和危机》(Tools & Weapons: The Promise and the Peril of the Digital Age),而这本书打开了“潘多拉魔盒”。 本周早些时候,外媒曾报道称布拉德·史密斯认为美国政府对待华为的方式一点也不美国(un-American)。史密斯在其新书中还透露,泰勒·斯威夫特的律师曾在2016年威胁要起诉微软。因为微软的聊天机器人Tay的名字和Taylor很相似。 现在,Geekwire引用了他的书中的一段话,其中揭示了特朗普政府如何希望微软帮助其监视其他国家。史密斯在书中写道:“作为一家美国公司,你为什么不同意帮助美国政府监视其他国家的人?”他指出,微软向美国政府明确表示他们不愿意接受有关这个问题的任何讨论。 我指出,特朗普酒店刚刚在中东和宾夕法尼亚大街的街道上开设了新房产。“这些酒店是否会对那些留在那里的其他国家的人进行监视活动?这对家族企业来说似乎不太好。 – 当特朗普顾问询问为什么微软不帮助他们监视其他国家的人时,布拉德·史密斯如是说 布拉德·史密斯在新书中还介绍了微软等公司面临的类似复杂的法律和道德挑战。他指出,特朗普并不是第一个对微软提出异议的总统。该书的内容还包括微软与奥巴马政府就隐私与面部识别政策等问题存在分歧的情况。 政府如何管理比自己更大的技术?这可能是技术监管未来面临的最大难题。但是一旦你提出这个问题,答案的一部分就变得清晰了:政府需要共同努力。 – 布拉德·史密斯   (稿源:cnBeta,封面源自网络。)

装有赛门铁克防病毒软件的 Windows 7 设备现可继续获得更新

在8月14日宣布的调整中,微软阻止了部分Windows 7和Windows Server 2008 R2设备安装使用SHA-2签名的更新。这些设备主要安装了赛门铁克(Symantec)和诺顿(Norton)防病毒软件,由于在新版更新中不再兼容SHA-1签名,因此微软阻止了这些设备进行升级。 微软在已知问题的描述中提及了这点: 软件可能无法正确识别本次更新中所包含的文件作为Microsoft签名的代码,从而使设备面临更新延迟或不完整的风险。 现在,以下更新取消了保障措施: •KB4512514(8月份月度汇总预览), •KB4512486(仅限8月安全更新), •KB4512506(8月份月度汇总)。   赛门铁克在公告中表示解决了这个问题 赛门铁克已完成对此更新的影响以及对Windows 7 / Windows 2008 R2的未来更新的评估,并确定所有现场版本的Symantec Endpoint Protection都不会增加误报检测的风险。 可以安全地安装Microsoft KB4512506 / KB4512486和未来的更新,并在2019年8月27日移除了软件阻止。 适用于Windows 7的2019年8月更新汇总就是只通过SHA-2签发的,那些装有无法处理SHA-2码签名支持软件的设备将会被阻止更新升级。今天微软已经确认将会阻止安装Symantec Antivirus和Norton Antivirus防病毒产品的PC进行升级,因为均无法处理SHA-2证书。 微软表示已经暂时对那些具有不兼容版本赛门铁克软件的设备进行保护措施。赛门铁克记录了这个问题:“在安装某些版本的Symantec Endpoint Protection时,只有SHA-2签名的更新不可见可用下载。”   (稿源:cnBeta,封面源自网络。)