Hackernews 编译，转载请注明出处： 微软公开披露一个关键ChromeOS漏洞的详细信息，该漏洞被追踪为CVE-2022-2587（CVSS评分：9.8）。该漏洞是OS Audio Server中的越界写入问题，可利用该漏洞触发DoS条件，或在特定情况下实现远程代码执行。 “微软在ChromeOS组件中发现了一个可远程触发的内存损坏漏洞，允许攻击者执行拒绝服务（DoS），或在极端情况下执行远程代码执行（RCE）。”微软发布的公告中写道。 作为Chromium bug跟踪系统的一部分，微软于2022年4月向谷歌报告了该问题。 谷歌在6月份解决了该漏洞，攻击者可以使用与歌曲相关的格式错误的元数据触发该漏洞。 Microsoft在服务器中发现一个函数未检查用户提供的“identity”参数，导致基于堆的缓冲区溢出。 OS音频服务器包含一种从代表歌曲标题的元数据中提取“身份”的方法。当播放新歌时，攻击者可以通过浏览器或蓝牙修改音频元数据来触发该漏洞。 我们发现，该漏洞可以通过操纵音频元数据远程触发。攻击者可能诱使用户满足这些条件，例如只需在浏览器或配对的蓝牙设备上播放新歌，或者利用中间对手（AiTM）功能远程使用该漏洞。基于堆的缓冲区溢出的影响范围从简单的DoS到成熟的RCE。虽然可以通过媒体元数据操作来分配和释放块，但在这种情况下，执行精确的堆清理并不简单，攻击者需要将该漏洞与其他漏洞链接起来，才能成功执行任意代码。   消息来源：securityaffairs，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Hackernews 编译，转载请注明出处： 8月22日，美国网络安全和基础设施安全局(CISA)根据积极利用的证据，将影响Palo Alto Networks PAN-OS的安全漏洞添加到其已知利用漏洞目录中。 跟踪为CVE-2022-0028（CVSS 评分：8.6）的高危漏洞是一种URL过滤策略中的配置错误，可能允许未经身份验证的远程攻击者执行反射和放大的TCP拒绝服务(DoS)攻击。 Palo Alto Networks在一份报告中表示：“如果被利用，这个漏洞不会影响我们产品的机密性、完整性或可用性，然而，由此产生的拒绝服务(DoS)攻击可能有助于混淆攻击者的身份，并将防火墙作为攻击源。” 该漏洞影响以下产品版本，并在本月发布的更新中得以解决： PAN-OS 10.2 (version < 10.2.2-h2) PAN-OS 10.1 (version < 10.1.6-h6) PAN-OS 10.0 (version < 10.0.11-h1) PAN-OS 9.1 (version < 9.1.14-h4) PAN-OS 9.0 (version < 9.0.16-h3) PAN-OS 8.1 (version < 8.1.23-h1) 这家网络设备制造商表示，在收到来自不同供应商（包括Palo Alto Networks）的易受攻击的防火墙设备被用来实施反射式拒绝服务(RDoS)攻击后，他们发现了该漏洞。 受影响产品的客户应立即使用相关补丁，以减轻潜在威胁。联邦文职行政部门(FCEB)机构必须在2022年9月12日前更新到最新版本。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

安全内参8月22日消息，美国立法者希望立法改善政府的部分网络安全防御措施，但却引发了信息安全专家们的质疑和不满。 《2023财年国防授权法案》，对应着划拨给美国军队和政府各关键领域的数十亿美元财政预算。目前法案已经在众议院通过，接下来需要经参议院批准，最后由拜登总统签字执行。 今天要讨论的争议，集中在该法案草案看似合理的条款：管理国土安全部及其应用程序/在线服务供应链的软件级攻击风险。 这份拟议法案要求，对于新签和现有政府合同，软件供应商应保证“提交软件物料清单中列出的所有项目，均不存在影响最终产品或服务安全性的已知漏洞或缺陷，并给出证明。” 所谓“已知漏洞或缺陷”，是指美国国家标准与技术研究院（NIST）发布的国家漏洞数据库，以及网络安全与基础设施安全局（CISA）指定的用于“跟踪各开源或第三方开发软件内安全漏洞/缺陷”的数据库内列出的条目。 换句话说：国土安全部不得采购任何包含已知、已登记安全漏洞的软件。 这项要求的出发点是好的，旨在防止恶意黑客利用Log4j之类的漏洞破坏政府敏感系统。但法案中的具体措辞却令行业专家颇感沮丧。一方面，任何代码都存在bug，这一条款基本上切断了政府军工部门原本强大的采购流程。另一方面，漏洞数据库中相当一部分漏洞并不属于安全风险。 总而言之，如果严格执行该项法案，那么美国政府后续将无法部署任何软件/服务。 软件供应链安全厂商Chainguard的联合创始人兼CEO Dan Lorenc表示，“这项要求往好了说是受到误导，往坏了想肯定会引发大麻烦。” 不过，这项要求也有回旋空间。如果合同内包含“关于所列出各项安全漏洞或缺陷的缓解、修复或解决方法”，政府一方就可购买包含已知缺陷的软件。换句话说，只要可以缓解或修复措施，就不会影响各部门的正常采购。 争议过大引发行业热议 这个问题在推特上掀起了争论热潮。有人担心软件供应商为了正常向政府客户出售软件，故意对漏洞信息知情不报（不再注册CVE编号）。另一方面，各家企业在争夺合同的过程中，也可能会挖其他竞争者产品的漏洞作为“黑料”。 安全厂商Rapid7的高级政策主管Harley Lorenz Geiger律师在推文中提到，“立法者起草的条文相当于在说：要么放弃继续上报软件漏洞，要么被排除在软件投标范围之外，你们自己选。” “这里我要提醒一句，并不是所有安全漏洞都有严重危害，或者能够/应该缓解。感谢立法者，祝好。” 漏洞协调与众测厂商Luta Security的CEO Katie Moussouris等行业专家，则呼吁安全专家们先别反应过激。她在Twitter上写道，新法案其实允许政府官员“采购那些虽包含CVE，但已有缓解方法的软件产品”，同时提醒政府方面“在部署之前必须缓解或接受这些风险”。 市场研究公司Dell”Oro Group负责网络安全的研究主管Mauricio Sanchez也在采访中提到，虽然他理解立法者们的善意动机，但在技术采购方面设置的种种要求，很可能会阻断政府的正常部署流程。 他提到，“很遗憾，这就是我们立法者的典型做法，只提要求、不讲方法。” 在Sanchez看来，这项法案的最终走向恐怕只有以下三种。 第一：立法者服软。技术游说部门等各方提出有力的反对意见，宣扬这项要求根本就无法实现（也确实无法实现），于是立法者选择删除这部分条文。 第二：做出澄清。立法者对条文“做出修正”，把这项过于理想的要求修改得更加实际。 最后：直接摆烂。立法者可能懒得费脑筋，强行出台这项新政，然后向选民们宣扬自己支持网络安全、改善美国风险水平的姿态。至于收拾这个烂摊子需要投入多少时间、精力和金钱，那就是各联邦机构和法院自己的问题了。 而且Sanchez本人的看法比较悲观。“如果让我押个宝，那我赌立法者会选择最后这条。” 转自 安全内参，原文链接：https://www.secrss.com/articles/46114 封面来源于网络，如有侵权请联系删除

8月20日，苹果又一次登上微博热搜榜第一。这一次，与黑客有关！此前，在2020年，一名来自Google公司的资深信息安全研究员称，发现了苹果手机等设备存在重大漏洞，无需接触你的手机就可以获取你的一切信息。 iPhone、iMac等产品存严重安全漏洞 据美联社20日报道，美国苹果公司当地时间本周三发布两份安全报告，两份报告披露，公司旗下智能手机iPhone、平板电脑iPad和iMac电脑等产品存在严重安全漏洞。 这些漏洞可能会让潜在的攻击者入侵用户设备、获得管理权限甚至完全控制设备并运行其中的应用软件。 苹果公司呼吁用户下载最新更新，修补漏洞 在周三发布的安全更新中，苹果表示：该漏洞可能已被用于攻击行为。 具体是什么样的漏洞呢？ “这就是我们所说的零日漏洞，也就是在公司发现并能够做出回应之前，已经被黑客所使用过的漏洞。” 美国麦迪安网络安全公司（Mandiant）的高级威胁情报顾问杰米·科利尔（Jamie Collier）介绍道。 据介绍，受本次漏洞影响的设备涵盖了几乎所有的苹果产品。其中，手机包括iPhone 6S及以后的型号；平板包括第五代及以后的iPad，所有iPad Pro，以及iPad Air 2；电脑则是运行MacOS Monterey的Mac。此外，该漏洞还能影响到部分型号的iPod。 当地时间8月19日，苹果公司呼吁用户立刻下载最新更新，以修补漏洞。目前在苹果官网上，苹果依然宣称“生产市场上最安全的移动设备”。 2020年，Google研究人员曾曝光iPhone隐私漏洞 2020年12月5日，《今日俄罗斯》网站以及多家国外科技网站报道称，一名来自Google公司的资深信息安全研究员，发现了苹果手机等设备存在重大漏洞，无需接触你的手机就可以获取你的一切信息。 按照这位研究人员的说法，这个漏洞的关键是苹果公司一个简称为AWDL的网络协议。当前苹果手机、平板、手表等设备都在使用这项网络协议，例如，苹果用户可以通过AirDrop轻松将照片和文件传输到其他苹果设备，就是基于这个AWDL协议完成的。 利用这个漏洞，Google的研究人员花了6个月的时间，成功控制了隔壁房间的一台苹果手机。入侵过程只要2分钟左右，就可以访问手机上的所有数据，包括浏览信息、下载照片，甚至打开摄像头和麦克风进行监视和监听。 研究人员说，入侵的黑客不仅不用触碰设备，还可能从来都没有见过他所入侵的设备。更可怕的是，即使用户关闭了AWDL协议，但黑客依旧有办法重新打开它。不仅是苹果手机，苹果的其他设备也能通过这个方法被“掌控”。 研究人员说，虽然他一个人花了半年的时间才入侵成功。但用户并不能掉以轻心，这个过程对一个黑客团队来说，会容易得多。苹果方面已经在2020年5月新系统中修复了这个漏洞。但是Google的研究人员表示，苹果公司即便修复后也没有告知用户这个漏洞，整个过程，用户完全不知情。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1306861.htm 封面来源于网络，如有侵权请联系删除

安全内参8月18日消息，微软官方宣布，在过去12个月中（2021.7-2022.6），他们通过漏洞奖励计划支付了1370万美元（约9299万元）奖金。 作为全球知名科技巨头，微软公司目前拥有17个漏洞奖励计划，广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产，甚至还专门为ElectionGuard开源软件开发工具包（SDK）设置了相应项目。 如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务（DoS）之类的严重漏洞，参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。 事实上，微软在2021年7月1日到2022年6月30日期间，发出的最大单笔奖金达到20万美元，奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。 在这12个月中，共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金，平均每个漏洞的奖金超过12000美元（约8.5万元）。 图：参与微软漏洞奖励计划的研究人员地理分布 微软公司表示，他们正根据研究人员的反馈改进现有漏洞奖励计划。今年，该公司还打算进一步引入新的研究挑战和高影响攻击场景。 新增及更新内容将包括Azure SSRF挑战赛，Edge奖励计划纳入Android与iOS平台版本，将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划，并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。 微软公司总结道，“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划，将帮助我们把研究重点集中在影响最大的云漏洞上，具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。” 转自 安全内参，原文链接：https://www.secrss.com/articles/45997 封面来源于网络，如有侵权请联系删除

研究人员在英特尔 CPU 中发现了一个名为 ÆPIC 的新漏洞，该漏洞使攻击者能够从处理器中获取加密密钥和其他机密信息。ÆPIC 泄漏( CVE-2022-21233 ) 是第一个架构上的CPU 错误，它可能导致敏感数据泄露并影响大多数第 10 代、第 11 代和第 12 代 Intel CPU。 ÆPIC Leak 适用于基于 Ice Lake、Alder Lake 和 Ice Lake SP 的最新 Intel CPU，并且不依赖于启用的超线程。 英特尔发布的公告：“某些英特尔® 处理器中的潜在安全漏洞可能允许信息泄露。英特尔正在发布固件更新以解决此潜在漏洞。” “某些英特尔(R) 处理器中共享资源的不当隔离可能允许特权用户通过本地访问潜在启用信息泄露。” 该漏洞的发现是罗马第一大学、格拉茨科技大学、亚马逊网络服务和 CISPA 亥姆霍兹信息安全中心的研究人员进行的研究的结果。 与Meltdown 和 Spectre不同，ÆPIC Leak 是一个架构漏洞，这意味着敏感数据会在不依赖侧信道攻击的情况下被泄露。 研究人员说：“ÆPIC Leak 就像在 CPU 本身中读取的未初始化内存。访问 APIC MMIO 需要特权攻击者（管理员或 root）。因此，大多数系统都不会受到 ÆPIC 泄漏的影响。然而，依靠 SGX 保护数据免受特权攻击者的系统将面临风险，因此必须进行修补。” CVE-2022-21233问题存在于高级可编程中断控制器 ( APIC ) 中，负责接受、确定优先级并将中断分派给处理器。 “基于 Sunny Cove 微架构的英特尔 CPU 上的 I/O 地址空间扫描显示，本地高级可编程中断控制器 (APIC) 的内存映射寄存器未正确初始化。因此，从架构上读取这些寄存器会返回来自微架构的陈旧数据。由于只有特权软件才能访问 I/O 地址空间，ÆPIC Leak 的目标是英特尔的 TEE、SGX。ÆPIC Leak 可能会从运行在同一物理内核上的 SGX enclave 泄露数据。虽然 ÆPIC Leak 会在虚拟化环境中构成巨大威胁，但管理程序通常不会将本地 APIC 寄存器暴露给虚拟机，从而消除了基于云的场景中的威胁。” 专家们使用 100 个不同的随机密钥测试了 ÆPIC Leak 问题，并试图通过一次攻击来泄露 AES 密钥。结果是完整的密钥恢复平均需要 1.35 秒 （n = 100，σ = 15.70%），成功率为 94% 该漏洞使具有权限的攻击者能够在目标机器上执行特权本机代码以提取私钥，并且更糟糕的是破坏证明，这是 SGX 中用于确保代码和数据完整性的安全原语的基石。“我们展示了允许泄露内存和寄存器中的数据的攻击。我们展示了 ÆPIC Leak 如何完全打破 SGX 提供的保证，确定性地泄露 AES 密钥、RSA 私钥，并提取 SGX 密封密钥以进行远程认证。” 研究人员还提出了几种固件和软件缓解措施，以防止 ÆPIC Leak 泄露敏感数据或完全防止 ÆPIC Leak。 英特尔已经发布了固件更新以解决该漏洞。 随着研究人员展示了对影响 AMD Zen 1、Zen 2 和 Zen 3 微架构的调度程序队列的首次侧信道攻击 (CVE-2021-46778)，攻击者可能会滥用该攻击来恢复 RSA 密钥。 该攻击代号为 SQUIP（Scheduler Queue Usage via Interference Probing 的缩写），需要测量调度程序队列的争用级别，以潜在地收集敏感信息。 尚未发布任何安全更新来修补攻击线，但该芯片制造商建议 “软件开发人员采用现有的最佳实践，包括恒定时间算法并在适当的情况下避免依赖秘密的控制流。” 转自 E安全 ，原文链接：https://mp.weixin.qq.com/s/0rn40GzfZaQJo4-hkHOklA 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 谷歌周二推出了适用于桌面的Chrome浏览器补丁，来解决在野外积极利用的高严重性零日漏洞。 跟踪为CVE-2022-2856，该漏洞是关于对Intents中不可信输入验证不足的情况。安全研究人员Ashley Shen和谷歌威胁分析集团的Christian Resell于2022年7月19日报告了该漏洞。 与通常的情况一样，在更新大多数用户之前，这家科技巨头都没有透露关于该漏洞的更多细节。“谷歌意识到CVE-2022-2856漏洞存在于野外。”它在一份简短的声明中承认。 最新更新进一步解决了其他10个安全漏洞，其中大部分与FedCM、SwiftShader、ANGLE和Blink等各种组件中的use-after-free漏洞有关，同时还修复了下载中的堆缓冲区溢出漏洞。 这是谷歌自年初以来修复的第五个Chrome零日漏洞： CVE-2022-0609 – 动画中的Use-after-free CVE-2022-1096 – V8中的类型混淆 CVE-2022-1364 – V8中的类型混淆 CVE-2022-2294 – WebRTC中的堆缓冲区溢出 建议用户更新到适用于macOS和Linux的104.0.5112.101版本，以及适用于Windows的104.O.5112.102/101版本，以缓解潜在威胁。基于Chromium浏览器（如Microsoft Edge、Brave、Opera和Vivaldi）的用户也建议应用修复程序。   消息来源：TheHackerNews，译者：Shirley； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc ” 并附上原文

Bleeping Computer 网站披露，Realtek 爆出严重漏洞，该漏洞影响到数百万台采用 Realtek RTL819x 系统芯片（SoC）的网络设备。 该漏洞被追踪为 CVE-2022-27255，远程攻击者可以利用其破坏来自各种原始设备制造商 (OEM) 的易受攻击设备。 无需身份验证 据悉，CVE-2022-27255 漏洞由阿根廷网络安全公司 Faraday Security 的研究人员在 Realtek 的开源 eCos 操作系统 SDK 中发现，并在 DEFCON 黑客大会上披露了详细的技术细节。 CVE-2022-27255是一个基于堆栈的缓冲区溢出漏洞，其严重程度为 9.8 分（满分10分），远程攻击者可以使用带有恶意 SDP 数据的特制 SIP 数据包任意执行代码，这个过程完全无需身份验证。此外，攻击者还可以通过 WAN 接口利用漏洞。 早在 3 月份，Realtek 已经解决这一漏洞问题，并指出了漏洞主要影响rtl819x-eCos-v0.x 系列和 rtl819x-eCos-v1.x 系列产品。 来自 Faraday Security 的四位研究人员为 CVE-2022-27255 开发了概念验证（PoC）利用代码，该代码可用于 Nexxt Nebula 300 Plus 路由器。研究人员还分享了一段视频，展示了即使远程管理功能被关闭，远程攻击者也可能破坏设备。 视频链接：https://vimeo.com/740134624?embedded=true&source=video_title&owner=52361365 最后，研究人员指出攻击者利只需有漏洞设备的外部 IP 地址，就可以 利用CVE-2022-27255 漏洞，意味着不需要与用户交互， 注：发现漏洞的四名研究人员分别是来自布宜诺斯艾利斯大学的计算机科学学生Octavio Gianatiempo, Octavio Galland, Emilio Couto, Javier Aguinaga。 存在几道防线 SANS 研究部主任 Johannes Ullrich 表示，远程攻击者可以利用 CVE-2022-27255 漏洞进行以下操作： 导致设备崩溃 执行任意代码 建立持久性的后门 改变网络流量的路线 拦截网络流量 另外，尽管 Realtek 在3 月已经发布了一个补丁，但 Ullrich 强调该漏洞影响到数百万设备，修复补丁很难被推广到所有待修复的设备，如果 CVE-2022-27255 漏洞变成了蠕虫病毒，可以在短短几分钟内扩散到互联网上。 多家供应商将易受攻击的 Realtek SDK 用于基于 RTL819x SoC 的设备，其中许多供应商尚未发布固件更新。目前还不清楚有多少网络设备使用 RTL819x 芯片，但 RTL819xD 版本的 SoC 出现在 60 多个供应商的产品中，其中包括华硕、贝尔金、Buffalo、D-Link、Edimax、TRENDnet 和 Zyxel。 研究人员的观点： 使用 2022 年 3 月之前围绕 Realtek eCOS SDK 构建的固件的设备存在漏洞，易受攻击； 即使用户不暴露任何管理界面功能，也容易受到攻击； 攻击者可以使用单个 UDP 数据包到任意端口来利用该漏洞； 此漏洞可能对路由器影响最大，但一些基于 Realtek SDK 的物联网设备也可能受到影响。 安全专家建议用户应尽快检查其网络设备是否存在漏洞，一经发现，应立即安装供应商发布的固件更新。除此以外，企业可以尝试阻止未经请求的 UDP 请求。 转自 FreeBuf，原文链接：https://www.freebuf.com/news/342152.html 封面来源于网络，如有侵权请联系删除

援引国外科技媒体 MacRumors 报道，Zoom 已经发布了新版补丁，修复了存在于 macOS 端应用中的漏洞，允许黑客入侵接管用户的操作系统。在安全公告中，Zoom 承认存在 CVE-2022-28756 这个问题，并表示在最新的 5.11.5 版本中已经提供了修复，用户应该理解下载安装。 Objective-See Foundation 的联合创始人兼安全专家帕特里克·沃德尔（Patrick Wardle）率先发现了这个漏洞，并在上周召开的 Def Con 黑客大会上公开演示。该漏洞存在于 Zoom 的 macOS 安装包内，需要特别的用户权限来执行。 通过利用该工具，沃德尔利用 Zoom 安装包的加密签名来安装恶意程序。接下来，攻击者可以接管用户的系统，允许修改、删除和添加文件。 在引用 Zoom 的更新之后，沃德尔表示：“感谢 Zoom 能够如此快地修复这个问题。反转补丁，Zoom 安装程序现在调用 lchown 来更新更新 .pkg 的权限，从而防止恶意使用”。 您可以通过首先在 Mac 上打开应用程序并从屏幕顶部的菜单栏中点击 zoom.us（这可能因您所在的国家/地区而异）来在 Zoom 上安装 5.11.5 更新。然后，选择检查更新，如果可用，Zoom 将显示一个窗口，其中包含最新的应用程序版本，以及有关更改内容的详细信息。从这里，选择更新开始下载。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1304807.htm 封面来源于网络，如有侵权请联系删除

一名安全专家近日发现利用 macOS 端 Zoom 应用程序，掌控整个系统权限的攻击方式。本周五在拉斯维加斯召开的 Def Con 黑客大会上，Mac 安全专家帕特里克·沃德尔（Patrick Wardle）在演讲中详细介绍了这个漏洞细节。 虽然 Zoom 已经修复了演示中的部分 BUG，但是沃德尔还演示了一个尚未修复、依然可以影响 macOS 系统的漏洞。该漏洞通过 Zoom 应用的安装器进行入侵，虽然在首次添加到 macOS 的时候需要用户输入系统密码，不过沃德尔表示可以通过超级用户权限在后台执行自动升级功能。 在 Zoom 发布修复更新之后，在安装新的安装包的时候都需要审查是否经过 Zoom 加密签署。不过这种审查方式依然存在缺陷，任意文件只需要修改为和 Zoom 签署认证相同的文件名称就可以通过测试，因此攻击者可以伪装任意恶意程序，并通过提权来掌控系统、 其结果是一种权限提升攻击方式，需要攻击者已经获得了对目标系统的初始访问权限，然后利用漏洞来获得更高级别的访问权限。 在这种情况下，攻击者从受限用户帐户开始，但升级为最强大的用户类型——称为“superuser”或“root”——允许他们添加、删除或修改机器上的任何文件。 沃德尔在去年 12 月向 Zoom 报告了这个问题。虽然 Zoom 随后发布了一个修复补丁，但是令他沮丧的这个修复补丁包含另一个错误，这意味着该漏洞仍然可以以稍微更迂回的方式利用，因此他向 Zoom 披露了第二个错误，并等待了八个月才发布研究。 沃德尔表示：“对我来说，我不仅向 Zoom 报告了错误，还报告了错误以及如何修复代码，所以等了六、七、八个月，知道所有 Mac 版本的 Zoom 都在用户的计算机上仍然易受攻击，真是令人沮丧”。 转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1304009.htm 封面来源于网络，如有侵权请联系删除