微软已发布补丁来修复两个流行开源库中的 0-day 漏洞，这些漏洞影响了多种产品，包括 Skype、Teams 及其 Edge 浏览器。 但微软不愿透露这些零日漏洞是否被利用来攻击其产品，或者该公司是否知道其中任何一种情况。 Google和公民实验室的研究人员表示，这两个漏洞（由于开发人员没有提前通知修复这些错误而被称为零日漏洞）是上个月发现的，并且这两个漏洞已被积极利用来针对带有间谍软件的个人。 这些错误是在两个常见的开源库 webp 和 libvpx 中发现的，它们被广泛集成到浏览器、应用程序和手机中以处理图像和视频。 这些库无处不在，再加上安全研究人员警告称这些漏洞被滥用来植入间谍软件，促使科技公司、手机制造商和应用程序开发人员纷纷更新其产品中存在漏洞的库。 微软在周一的一份简短声明中表示，它已经推出了修复程序，解决了 webp 和 libvpx 库中的两个漏洞，并将其集成到其产品中，并承认这两个漏洞都存在漏洞。当联系到微软置评时，微软发言人拒绝透露其产品是否已在外部被利用，或者该公司是否有能力了解情况。 Citizen Lab 的安全研究人员在 9 月初表示，他们发现了证据，表明 NSO Group 的客户使用该公司的 PegASUS间谍软件，利用了最新且已完全修补的iPhone软件中发现的漏洞。 据 Citizen Lab 称，苹果公司在其产品中集成的易受攻击的 webp 库中的漏洞无需设备所有者的任何交互即可被利用，即所谓的零点击攻击。 苹果推出了针对 iPhone、iPad、Mac 和手表的安全修复程序，并承认该漏洞可能已被未知黑客利用。 依赖 Chrome 和其他产品中的 webp 库的Google也于 9 月初开始修补该错误，以保护其用户免受Google表示知道“存在于外部”的漏洞的影响。 开罚Firefox 浏览器和 Thunderbird 电子邮件客户端的 Mozilla 也在其应用程序中修补了该错误，并指出 Mozilla 知道该错误已在其他产品中被利用。 本月晚些时候，Google安全研究人员表示，他们发现了另一个漏洞，这次是在 libvpx 库中，Google称该漏洞已被商业间谍软件供应商滥用，但Google拒绝透露该供应商的名称。 Google很快就推出了更新，以修复集成到 Chrome 中的易受攻击的 libvpx 错误。 苹果周三发布了一个安全更新，修复了 iPhone 和 iPad 中的 libvpx 错误，以及苹果表示的另一个内核漏洞，该漏洞利用了运行 iOS 16.6 之前版本软件的设备。 事实证明，libvpx 中的 0-day 漏洞也影响了微软产品，但目前尚不清楚黑客是否能够利用它来攻击该公司产品的用户。   转自cnBeta，原文链接：https://www.toutiao.com/article/7286221495070917139/?log_from=34346b9858209_1696644430448 封面来源于网络，如有侵权请联系删除

最近，来自四所美国大学的研究人员开发出了一种新的 GPU 侧通道攻击，可利用数据压缩技术在访问网页时从现代显卡中泄漏敏感的视觉数据。 研究人员通过 Chrome 浏览器可执行跨源 SVG 滤镜像素窃取攻击，这也证明了这种 “GPU.zip “攻击的有效性。研究人员于 2023 年 3 月向受影响的显卡制造商披露了该漏洞。截至 2023 年 9 月，受影响的 GPU 厂商，包括AMD、苹果、Arm、英伟达、高通、谷歌Chrome 浏览器等均未推出解决该问题的补丁。 德克萨斯大学奥斯汀分校、卡内基梅隆大学、华盛顿大学和伊利诺伊大学厄巴纳-香槟分校的研究人员在一篇论文中详细概述了这一新漏洞，该论文于第 45 届电气和电子工程师学会安全与隐私研讨会上正式发表。 通过压缩泄密 一般来说，数据压缩会产生明显的数据依赖性 DRAM 流量和缓存利用率，这可能会被滥用于数据泄露，因此软件在处理敏感数据时会关闭压缩功能。 GPU.zip 研究人员解释说，所有现代图形处理器单元，尤其是集成的英特尔和 AMD 芯片，即使没有明确要求，也会执行软件可见的数据压缩。 现代图形处理器将这种危险的做法作为一种优化策略，因为它有助于节省内存带宽，并能够在不使用软件的情况下提高性能。 这种压缩通常不会留下记录，但研究人员已经找到了一种数据可视化的方法。他们演示了一种可以在各种设备和 GPU 架构上通过网络浏览器提取单个像素数据的攻击方式，如下图所示： 不同系统的测试结果 概念验证攻击演示了从维基百科 iframe 中窃取用户名的过程，使用 Ryzen GPU 和英特尔 GPU 分别可在 30 分钟和 215 分钟内完成，准确率分别为 97% 和 98.3%。 找回用户名 iframe 承载了一个跨源网页，其像素被分离并转换成二进制，即可转换成两种颜色。然后这些像素会被放大，并应用专门的 SVG 过滤器堆栈来创建可压缩或不可压缩的纹理。研究人员可以通过测量纹理渲染所需的时间，推断出目标像素的原始颜色/状态。 GPU.zip 攻击概念 在 “Hot Pixels “攻击中，SVG 过滤器被用以诱导数据的执行，JavaScript 则被用来测量计算时间和频率，以辨别像素的颜色。 Hot Pixels 利用的是现代处理器上依赖数据的计算时间，而 GPU.zip 则利用未注明的 GPU 数据压缩来实现类似的结果。 GPU.zip 的严重性 GPU.zip 几乎影响了所有主要的 GPU 制造商，包括 AMD、苹果、Arm、英特尔、高通和英伟达，但并非所有显卡都受到同样的影响。 事实上，所有受影响的厂商都没有选择通过优化数据压缩的方法并将其操作限制在非敏感情况下，来修复该问题，因为这可能会进一步提高风险。 尽管 GPU.zip 有可能影响全球绝大多数笔记本电脑、智能手机、平板电脑和台式电脑，但由于执行攻击十分复杂并且需要大量时间，所以对用户的直接影响并不明显。 此外，拒绝跨源 iframe 嵌入的网站也无法通过这种或类似的侧信道攻击泄漏用户数据。 研究人员在该团队网站上的常见问题中解释说：大多数敏感网站已经拒绝被跨源网站嵌入，因此它们并不容易受到 GPU.zip 安装的像素窃取攻击。 最后，研究人员指出，Firefox 和 Safari 并不符合 GPU.zip 运行所需的所有条件，例如允许跨源 iframe 使用 cookies 加载、在 iframe 上呈现 SVG 过滤器以及将呈现任务委托给 GPU。   转自Freebuf，原文链接：https://www.freebuf.com/news/379530.html 封面来源于网络，如有侵权请联系删除

信息系统被入侵，单位主体也担责。前段时间，天津公安南开分局网络安全保卫支队接到线索：辖区内某单位的重要信息系统数据遭到恶意篡改，严重危害网络安全！ 南开分局网络安全保卫支队立即启动“一案双查”，就该单位网络安全风险隐患问题进行调查，查处其网络运营者未履行网络安全保护义务一案。 案件详情 南开分局网络安全保卫支队通过现场查看该单位制度类文件，并经过比对、分析发现，该单位运营使用的信息系统存在多重问题： 一是防范网络侵入技术措施不完善，物理网络环境内部存在监测漏洞； 二是监测、记录网络运行状态的网络日志不足6个月； 三是对于安全缺陷、漏洞等风险，该单位未立即采取补救措施亦未向有关部门报告，信息系统持续“带病”运营，给了不法分子可乘之机。 依据《中华人民共和国网络安全法》第二十一条、第五十九条之规定，南开分局对该单位及相关主管人员分别予以罚款伍万元和贰万元的行政处罚。 网警提示 在复杂多样的网络世界中，网络运营者不但要具备防范网络安全隐患的危机意识，不断提升自身防护水平，更要履行好网络安全保护义务，有效落实主体责任。 只有将网络安全管理制度落实到位，将技术防范措施部署完善，才能保障单位自身稳定运营和社会有序发展。   转自公安部网安局，原文链接：https://mp.weixin.qq.com/s/teT0DKSTEZKM65TTf0P6qw 封面来源于网络，如有侵权请联系删除

近日，中国国家计算机病毒应急处理中心通报，在处置西北工业大学遭受网络攻击时，成功提取了名为“二次约会”的间谍软件样本。该软件为美国国家安全局开发的网络“间谍”武器，在遍布全球多国的上千台网络设备中潜藏隐秘运行。 美国在网络安全领域劣迹斑斑。国家安全机关破获的系列美国间谍情报机关网络攻击窃密案件中，“黑客帝国”维护“网络霸权”的卑劣伎俩浮出水面。 招数一：建立网攻武器库 美国情报部门凭借其强大的网络攻击武器库，对包括中国在内的全球多国实施监控、窃密和网络攻击，可谓无所不用其极。特别是美国国家安全局，通过其下属的特定入侵行动办公室（TAO）以及先进的武器库，多次对我国进行体系化、平台化攻击，试图窃取我国重要数据资源。 2009年，特定入侵行动办公室就开始入侵华为总部的服务器并持续开展监控。2022年9月，又被发现长期持续地对包括西北工业大学在内的国内网络目标实施了上万次恶意网络攻击，控制了数以万计的网络设备，窃取大量高价值数据。 美国情报部门能够发动大规模网络攻击，自然离不开多样化网络攻击武器作为后盾。2022年以来，我国网络安全机构已披露多款美情报部门网络攻击武器，如“电幕行动（Bvp47）”“量子(Quantum)”“酸狐狸（FOXACID）”“蜂巢（Hive）”等。美国情报部门利用这些规模化的武器装备对中国、俄罗斯等全球45个国家和地区开展长达十余年的网络攻击、网络间谍行动，网络攻击目标涵盖电信、科研、经济、能源和军事等核心重要领域。 招数二：强制相关科技企业开后门配合 美国一边大肆对全球各国开展网络攻击窃密，一边花样百出炮制各种版本的“安全报告”，将中国抹黑为“网络威胁主体”，渲染炒作所谓“中国网络窃密”问题，把“颠倒黑白”演绎得炉火纯青。 众所周知，美国长期凭借技术优势对世界各国包括盟友进行大规模窃听窃密，开展网络窃密活动，早已经是公开的秘密。自2013年“棱镜门”事件曝光以来，我国相关网络安全机构多次在针对中国的网络攻击事件中发现美国的身影。近年来，美国加紧推进“前出狩猎”行动，其行动目标明确，俄罗斯、伊朗、中国和朝鲜是其主要目标。美国网络司令部正成为一支远征部队，打着“前出狩猎”、主动防御的幌子，对他国进行网络攻击和窃密。 但与此同时，美国却极力把自己塑造成“网络攻击受害者”，打着“维护网络安全”的旗号，鼓动、胁迫他国加入所谓“清洁网络”计划，企图在国际网络市场上清除中国企业。事实上，“清洁网络”是假，打压对手、维护霸权才是真。对此，我国官方多次敦促美方应深刻反省，停止针对全球的网络攻击窃密行径，停止以各种虚假信息混淆视听。 当前，网络空间日益成为维护国家安全的新战场。没有网络安全就没有国家安全，就没有经济社会稳定运行，广大人民群众的利益也难以得到保障。让我们携起手来，强化安全防范意识，提升安全防范能力，共同维护好网络安全。 转自国家安全部，原文链接：https://mp.weixin.qq.com/s/FNOb9IAnMe7-wiDTA6HlxQ 封面来源于网络，如有侵权请联系删除

有消息称，英国国家网络安全中心（NCSC）与英国信息专员办公室（ICO）在9月12日达成一项新协议。 协议规定，发生数据泄露事件的英国企业，只要不隐瞒事件，而是主动向NCSC报告，与NCSC合作处理事件，就有可能享受罚款减免政策。 国家网络安全中心是英国的网络安全监管机构，承担编制安全指南、事件响应、能力培养、保护公私部门等职能，隶属于情报机构政府通信总部。信息专员办公室则是英国的数据保护监管机构。 双方签署的谅解备忘录中显示，信息专员办公室承诺，将研究“如何透明地落实‘只要与NCSC进行有意义的合作，就有可能减少监管处罚’这一决定。” 谅解备忘录规定了两家机构将如何合作，以提高全国网络安全标准、防止数据泄露，并要求二者必须对收到的报告内容保密。 谅解备忘录强调，两家机构收取报告，不代表它们可以分享有关事件信息。国家网络安全中心指出，这样做会违反1994年出台的《情报机构法》。 推动英国网络安全态势透明化 谅解备忘录还明确了两家机构将分享信息的领域，例如对影响关键数字服务提供商的网络威胁进行的评估。有消息称，英国今年经历了大量破坏性网络攻击。 尽管两家机构都不会向对方披露网络事件受害者，但谅解备忘录规定了信息专员办公室应如何与国家网络安全中心分享信息，“以匿名和汇总的方式，在事件对国家具有重要影响的情况下，提供特定事件的详细信息。” 两家机构都希望避免，让向他们报告的组织产生不信任感。如果事件上报受到阻碍，两家机构就不能很好地了解英国遭受的网络攻击的真实规模。 今年早些时候，两家机构共同发布了一篇博客文章，称他们“越来越担心”勒索软件受害者会对执法部门和监管机构隐瞒事件。 除了相互分享信息的工作之外，信息专员办公室已同意宣传国家网络安全中心的网络安全指南，帮助组织避免由网络威胁活动引发的数据泄露。 国家网络安全中心首席执行官Lindy Cameron表示，谅解备忘录将为两家机构提供“一个平台和机制，在尊重彼此职责范围的前提下，全面提高网络安全标准。” 信息专员John Edwards表示：“我们已经与国家网络安全中心密切合作，向企业和组织提供正确的工具、建议和支持，帮助他们改善并保持网络安全。谅解备忘录再次明确，我们承诺改善英国网络弹性，确保人们的在线信息免受网络攻击的威胁。”   转自安全内参，原文链接：https://www.secrss.com/articles/58832 封面来源于网络，如有侵权请联系删除

近日，美国国家安全局（NSA）、联邦调查局（FBI）、网络安全和基础设施安全局（CISA）联合发布了一份网络安全信息表（CSI），以应对深度伪造所带来的新威胁。 CSI的标题为“将Deepfake威胁情境化到组织”，旨在帮助组织识别，防御和应对deepfake威胁。它建议组织实施实时验证功能、被动检测技术以及针对高级人员及其通信的保护措施等技术，以检测和缓解深度伪造。 深度伪造是指使用人工智能 （AI） 和机器学习技术合成创建或操纵的多媒体内容。包括各种形式的人工生成或操纵的媒体，包括浅/廉价的伪造，生成AI和计算机生成的图像（CGI）。网络行为者现在可以使用这些技术的便利性和规模对国家安全构成了独特的挑战。 与许多技术一样，深度伪造既可用于积极目的，也可用于恶意目的。虽然有迹象表明，有恶意行为者大量使用这种合成技术，但能力较差的恶意网络行为者可获得的合成媒体技术的可用性和效率不断提高，表明这些类型的技术可能会增加频率和复杂性。 深度伪造可能带来的不良后果诸多，比如一旦有人通过冒充领导者和财务人员或使用欺诈性通信来访问网络和敏感信息，就可用来破坏组织的品牌和财务。此外，深度伪造还有可能通过传播有关政治、社会、军事或经济问题的虚假信息来引起公众骚乱。 如今，像GitHub这样的开源存储库已经提供了现成的基于深度学习的算法，使这些技术的应用可供技术技能和设备最少的个人使用。 深度伪造和生成式人工智能的新兴趋势 报告中提到，与深度伪造的创造相关的技术发展动态趋势将继续降低将该技术用于恶意目的的成本和技术壁垒。到2030年，生成式人工智能市场预计将超过 1000 亿美元，以每年超过 35%的平均速度增长。尽管恶意行为者可用的能力将大幅增加，但寻求识别和减轻深度伪造的防御者可用的技术和技巧也将大幅提高。 为了应对这些不断变化的威胁，国家安全局、联邦调查局和中央情报局敦促安全专业人员实施CSI中提到了几点建议： 选择并实施检测深度伪造和展示媒体来源的技术：包括实时验证能力和程序、反向图像搜索、视觉/音频检查、元数据检查等； 保护高优先级个人的公共数据：为了保护个人信息不被用于或重新用于虚假信息，人们应该开始考虑使用主动认证技术，如水印或CAI标准。 组织应优先考虑信息共享，计划和演练对剥削企图的响应，并提供人员培训以最大程度地减少深度伪造的影响。   转自Freebuf，原文链接：https://www.freebuf.com/news/378043.html 封面来源于网络，如有侵权请联系删除

网络安全公司 SlashNext 发现，如今的 AI 聊天机器人出现了一种令人担忧的情况。有用户利用AI聊天机器人系统漏洞进行”越狱”操作，这违反了道德准则和网络安全协议。 ChatGPT曾因其先进的对话能力而声名鹊起，然而有一些用户发现了能够绕过其系统内置的安全措施的弱点。如果有人可以操纵聊天机器人提示系统，那就能发布一些未经审查和监管的内容，这引发了道德问题。AI聊天机器人 “越狱 “涉及发布特定命令或叙述，可触发无限制模式，使AI能够不受约束地做出反应。网上一些讨论社区中已经有人在分享这些越狱的策略和战术。 Critical Start 公司网络威胁研究高级经理 Callie Guenther 说：这些平台是用户分享越狱策略、战略和提示的协作空间，以充分发挥人工智能系统的潜力。虽然这些社区的主要动力是探索和推动人工智能的发展，但必须注意到事情的两面性。 SlashNext解释说，这种趋势也引起了网络犯罪分子的注意，他们开发了一些可以利用定制的大型语言模型（LLM）达到恶意目的工具。 研究表明，除了 WormGPT 以外，这些工具大多只是连接到越狱版的公共聊天机器人，能够允许用户在保持匿名的情况下利用AI生成一些内容。 随着AI技术的不断进步，人们对AI越狱的安全性和道德影响的担忧与日俱增。防御安全团队在这方面希望能实现以下两个目标： Darktrace 战略网络人工智能副总裁 Nicole Carignan 说，首先他们可以协助研究如何保护 LLM 免受基于提示的注入，并与社区分享这些经验。 其次，他们可以利用人工智能大规模防御更复杂的社交工程攻击。要想在进攻型人工智能时代有效地保护系统，就需要不断壮大防御型人工智能武器库，而我们已经在这方面取得了重大进展。 据 SlashNext 报道，OpenAI 等组织正在采取积极措施，通过漏洞评估和访问控制来加强聊天机器人的安全性。 研究人员目前正在探索更加有效的策略来强化聊天机器人的安全性，以防止其被那些恶意行为者所利用。AI安全仍处于早期阶段，Darktrace方面未来的目标是开发出能够抵御试图破坏其安全的聊天机器人，同时继续为用户提供有价值的服务。 转自Freebuf，原文链接：https://www.freebuf.com/news/377935.html 封面来源于网络，如有侵权请联系删除

MITRE公司和美国网络安全和基础设施安全局(CISA)近日发布了基于开源平台Caldera的OT网络攻击模拟平台——Caldera for OT，该平台可模拟针对运营技术(OT)的对抗性攻击。 Caldera for OT是美国国土安全系统工程与开发研究所(HSSEDI)与CISA合作的成果，旨在帮助提高关键基础设施的弹性。 Caldera网络安全平台基于MITRE ATT&CK框架，向工控系统安全团队提供自动化对手模拟、安全评估以及红、蓝、紫组队演习。 Caldera for OT还支持工厂和安全验收测试(FAT/SAT)，工业控制系统(ICS)维护者可从该开源平台中受益。 在开发Caldera for OT的过程中，CISA和HSSEDI合作在CISA的控制环境实验室资源(CELR)中模拟对手的攻击，并将发现的攻击技术整合到了新的扩展中。 MITRE表示，新的扩展旨在帮助识别和消除OT的薄弱环节，OT是关键基础设施（包括电力、交通和供水设施）的重要组成部分。 Caldera for OT现已可在GitHub上下载（https://github.com/mitre/caldera-ot） MITRE和CISA正在为该工具开发新的开源模块和功能，以涵盖新的攻击、环境和协议。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/NeRyHfnbsXRRMgBUC0Esxw 封面来源于网络，如有侵权请联系删除

Hackernews 编译，转载请注明出处： 随着Facebook打击虚假账户的行动影响到无辜的旁观者，成千上万的用户在X或评论网站上表达了不满。专家警告说，如果你的Facebook账户被黑客入侵或被禁用，请准备好耐心和毅力。由于没有有效的客户支持，恢复账户可能需要数周时间。 自2017年10月以来，Facebook已经删除了惊人的276.7亿个虚假账户，这是地球总人口的3.5倍。Facebook每个季度都会删除数以亿计，有时甚至超过10亿个虚假账户。 注销账户的背后是什么？它们有多精确？我们无法获悉答案，因为Meta的媒体团队没有回应Cybernews的询问。 缺乏响应性支持，账户被暂停、禁用甚至被黑客攻击，用户对于Facebook的抱怨不绝于耳。 Facebook在Trustpilot.com上的用户评价为1.5星，在pissedConsumer.com上的用户评价为1.8星。 在X (Twitter)上，“被黑”这个通用搜索词每天都会提供几十个不同的新故事，比如: “我的账户依然处于被黑状态，我不知道为什么Facebook的客户支持没有回复我的电子邮件。近15天来，我一直在试图联系Facebook的支持团队，但没有得到他们的任何回复，Facebook的支持团队简直就是狗屎。” 当然，即使将评论网站或X上的所有投诉合并起来，几千名不满意的用户与Facebook的30亿月活跃用户相比也显得微不足道。然而，专家们向Cybernews证实，这些问题并非巧合。 “根据消费者的评论，Meta对用户申诉过程的处理似乎是不一致的。一些用户表示，他们的账户被泄露，他们的诉求得不到回应或及时解决，这让他们感到沮丧。在涉及账户被黑的情况下，Meta缺乏及时的帮助，这引起了人们对其客户支持的担忧。”PissedConsumer.com的首席执行官兼联合创始人迈克尔·波多尔斯基说。 据CNBC报道，Meta的两轮裁员影响了该公司为用户、公众人物、社区和企业提供的本已糟糕的客户服务。今年1月，Meta停止了对管理热门Facebook社区和群组的特权用户的支持功能。 4-5%的虚假账户被删除，数量达上亿 Facebook在今年第一季度删除了4.26亿个虚假账户。这是五年多来的最低数字。在前两年，这一数字在每个季度13亿至18亿之间波动。 Facebook在报告中写道:“由于网络空间的高度对抗性，预计虚假账户的执法指标会出现波动。” Facebook估计，在2023年第一季度，虚假账户约占Facebook全球月活跃用户(MAU)的4-5%。 真实用户受到妨碍:恢复账户可能需要数周时间 营销机构Ascendly marketing的总裁兼创始人马歇尔•戴维斯(Marshal Davis)表示，Facebook上的合法用户有时会陷入旨在捕捉虚假账户的拉网中。Ascendly marketing也帮助客户和有影响力的人在Meta和其他平台上找回自己的账户。 “Meta的申诉程序对用户并不友好，经常导致账户恢复延迟。缺乏流线型的沟通渠道加剧了这一问题。用户被蒙在鼓里，不确定他们的上诉状态。恢复一个被禁用或被黑的账户是一个漫长的过程，可能会持续数周。” 使问题复杂化的原因是缺乏直接的人力支持。 戴维斯补充说:“用户应该准备好迎接漫长、令人沮丧的体验。” 据他介绍，由于Meta机器学习算法的局限性，误报经常发生。Meta的平台对虚假账户具有吸引力，因为它们的全球可访问性、进入门槛底下和创建账户的简易。这使得恶意行为者使用自动机器人或人工操作员为各种恶意活动创建账户——包括垃圾邮件和虚假信息。 “这些算法往往无法理解用户生成内容背后的细微差别和背景。”戴维斯说。 这个功能有时候会被“喷子”滥用。正如英国政府所揭露的那样，克里姆林宫用来为俄罗斯入侵乌克兰争取支持的策略包括利用“a troll factory（巨魔工厂）”在社交媒体上传播虚假信息。 99000名愤怒的消费者的抱怨 PissedConsumer.com与Cybernews分享了一些统计数据:自2015年以来，该网站的用户共发布了9.9万条关于Facebook的评论，平均评分为1.8星。 截至2023年9月，通过PissedConsumer平台向Facebook客户服务部门拨打的电话高达705089个。评论的用户们声称他们共遭受了1.02亿美元的损失。 该公司说：“消费者倾向于联系Facebook客服询问有关账户、产品或服务的问题，并要求提供信息。” 负面评论通常包括“没有客户服务”和“被黑客攻击”，而正面评论则提到“朋友”和“家人”。 PissedConsumer.com的首席执行官兼联合创始人Michael Podolsky指出，许多问题出在Meta用于验证和报告的自动算法上。 他指出，Facebook用户面临的最重要问题是缺乏客户服务，这加剧了根本问题，例如账户被黑客入侵、违反内容政策、冒充、诈骗、仇恨言论、隐私泄露或其他客户的突出问题。 Podolsky表示:“消费者通常希望在遇到问题时得到及时的回应和帮助，但这些评论表明Meta的消费者支持流程还有改进的空间。 账户被黑了或者被禁用了怎么办? 有时，Meta会在X (Twitter)上对陷入困境的用户做出反应。他们的建议通常是:“您好，请访问我们的帮助中心获取帐户支持:https://meta.com/help/。” 对此，有些人的回应是:“我试过了，你的帮助中心一点帮助都没有。” “用户应该做的第一件事是尝试Meta的官方支持渠道，比如帮助中心或客户支持。我们一直强烈鼓励消费者向公司公开表达他们的担忧。在Twitter (X)上发布帖子可能会引起关注，但就Meta而言，这并不是一个万无一失的解决方案。Meta的专用支持渠道更有可能为账户相关问题提供直接帮助。请记住，反应时间和效果可能会有所不同，所以在试图解决这些问题时要有耐心和毅力。”     消息来源：cybernews，译者：Linn；   本文由 HackerNews.cc 翻译整理，封面来源于网络；   转载请注明“转自 HackerNews.cc ” 并附上原文

近日，华硕三款高端WiFi路由器（RT-AX55、RT-AX56U_V2和RT-AC86U）曝出三个远程代码执行高危漏洞（CVSSv3.1评分高达9.8分），黑客可远程访问并劫持用户路由器，建议以上三款产品用户立刻安装安全更新。 这三款WiFi路由器是消费级网络市场流行的高端型号，目前在华硕网站和各大电商平台上有售，深受游戏玩家和对性能需求较高的用户的青睐。 披露的三个高危漏洞都属于格式字符串漏洞，无需身份验证即可远程利用，可能允许远程代码执行、服务中断以及在设备上执行任意操作。 格式字符串漏洞是由于某些函数的格式字符串参数中未经验证和/或未经过滤的用户输入而引起的安全问题，包括信息泄露和代码执行。 中国台湾CERT本周二披露的三个漏洞的具体信息如下： CVE-2023-39238：缺乏对iperf相关API模块“ser_iperf3_svr.cgi”上的输入格式字符串的正确验证。 CVE-2023-39239：通用设置函数的API中缺乏对输入格式字符串的正确验证。 CVE-2023-39240：缺乏对iperf相关API模块“ser_iperf3_cli.cgi”上的输入格式字符串的正确验证。 华硕官方推荐的解决方案是安装以下固件更新： RT-AX55：3.0.0.4.386_51948或更高版本（https://www.asus.com/networking-iot-servers/wifi-routers/all-series/rt-ax55/helpdesk_bios/?model2Name=RT-AX55） RT-AX56U_V2：3.0.0.4.386_51948或更高版本（https://www.asus.com/networking-iot-servers/wifi-6/all-series/rt-ax56u/helpdesk_bios/?model2Name=RT-AX56U） RT-AC86U：3.0.0.4.386_51915或更高版本（https://www.asus.com/supportonly/rt-ac86u/helpdesk_bios/?model2Name=RT-AC86U） 华硕分别于2023年8月上旬针对RT-AX55、2023年5月针对AX56U_V2以及2023年7月针对RT-AC86U发布了修复这三个漏洞的补丁。 至今尚未安装安全更新的上述三款设备非常容易受到攻击，建议用户尽快更新固件版本。 此外，由于许多攻击针对消费者路由器的Web管理控制台，安全专家强烈建议用户关闭远程管理（WAN Web访问）功能以防止从互联网进行访问。     转自GoUpSec，原文链接:https://mp.weixin.qq.com/s/rNRfOnUIPFytBVL939WLEg 封面来源于网络，如有侵权请联系删除