目前微软共有47000多名开发人员，每月会产生将近30000个漏洞，而这些漏洞会存储在100多个AzureDevOps和GitHub仓库中，以便于在被黑客利用之前快速发现关键的漏洞。 微软的高级安全项目经理Scott Christiansen，大量的半策展（semi-curated）数据非常适合机器学习。自2001年以来，微软已经收集了1300万个工作项目和BUG。 Christiansen表示：“我们利用这些数据开发了一个流程和机器学习模型，它能在99%的时间内正确区分出安全和非安全漏洞，并能准确识别出关键的、高优先级的安全漏洞，97%的时间内准确识别出关键的、高优先级的安全漏洞。” 微软构建的机器学习模型中，旨在帮助开发者准确识别和优先处理需要修复的关键安全问题，并对其进行优先级排序。Christiansen表示：“我们的目标是建立一个机器学习系统，以尽可能接近安全专家的准确度将BUG分为安全/非安全和关键/非关键”。 为了实现这个目标，微软对学习模型进行了诸多培训，提供了很多标记为安全的BUG以及其他标记为不安全的BUG。该模型经过训练之后，能够基于掌握的信息来给没有被预先分类的数据打上标签。   （稿源：cnBeta，封面源自网络。）

微软今天发布了一个紧急安全更新，修复了存在于微软Office和Paint 3D应用中的多个漏洞。这些漏洞存在于使用Autodesk FBX库的微软应用中，而Autodesk官方也在4月15日为受影响的产品发布了修复补丁。 微软在其公告中解释说，攻击者如果成功利用上述漏洞，将能够获得与登录用户相同的权限，这意味着恶意行为者甚至可以在受影响的机器上获得管理员权限。 微软解释说：“在微软产品中存在多个远程代码执行漏洞，在处理某些特别制作的3D内容时调用FBX库就会出现问题。成功利用这些漏洞的攻击者可以获得与本地用户相同的用户权限。对于那些权限较少的用户来说影响可能会更小一些。” 微软表示：“要利用这些漏洞，攻击者必须向用户发送一个包含3D内容的特制文件，并说服用户打开该文件。本次发布的紧急安全更新通过修正微软软件已经修复了这些漏洞。” 这些安全补丁被评级为“重要”，据悉Microsoft Office 2016、Microsoft Office 2019和Office 365 ProPlus都受该漏洞影响。   （稿源：cnBeta，封面源自网络。）

谷歌已经为Chrome浏览器发布了一个紧急修复补丁，并敦促用户尽快安装。谷歌并没有透露有关于CVE-2020-6457漏洞的更多信息，只是确认为“use after free”类型漏洞。 该漏洞是由Sophos公司的安全研究人员发现的，据说是一个远程代码执行（RCE）漏洞。该漏洞允许攻击者在受害者不知情的情况下运行命令和未受信任的脚本。 安全研究员Paul Ducklin在一篇博文中表示，该漏洞将允许黑客 “改变你的程序内部的控制流，包括转移CPU来运行攻击者刚刚从外部戳入内存的非信任代码，从而绕过任何浏览器通常的安全检查或’你确定吗’对话框。” 此外他还表示该漏洞影响广泛，包括Windows、macOS和GNU/Linux用户多达20亿用户都可能受到影响。因此在大部分用户都已经安装该更新之后谷歌可能会公布更多的细节。 如果你是Google Chrome浏览器用户，那么你应该确保你运行的是v81.0.4044.113或以上版本。你可以通过访问帮助关于Google Chrome浏览器，检查更新和安装的版本。   (稿源：cnBeta，封面源自网络。）

OpenSSL 项目发布安全公告，披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞。该漏洞可被用于发动拒绝服务攻击。开发者称，在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃，原因是不正确处理 signature_algorithms_cert 扩展导致的空指针引用。 受影响的 OpenSSL 1.1.1 版本需要尽可能快的升级到  1.1.1g。该漏洞是 Bernd Edlinger 发现的，他在 4 月 7 日报告给 OpenSSL 项目。两周内释出补丁称得上很迅速了。   (稿源：solidot，封面源自网络。）

4月21日消息，据Android Police报道，近期不少人反映谷歌Pixel手机在运行部分APP时经常出现无响应的情况。报道指出，这是Android 10系统存在的Bug，该Bug不仅影响了谷歌Pixel设备，其它手机品牌也受到了不同程度的影响。 当APP出现无响应情况时，整个系统也会受到影响，导致整个系统不能操作，自然也就无法退出该应用程序，只能是强制锁屏，然后再解锁进入。 Android Police称该场景出现频率较高，一天可能要发生多次。受此影响的APP有YouTube、Twitter、亚马逊、YouTube音乐、Google Play商店等等。 更糟糕的是，这个Bug也影响到了Android 11。外媒发现运行Android 11开发者预览版的Pixel 3也同样遇到了这个问题，这说明Android 11开发版上有可能引入了Android 10稳定版上的错误代码。 目前Android Police已经与谷歌取得联系，但是谷歌尚未对此作出回应，预计问题会在下一版更新中解决。   （稿源：cnBeta，封面源自网络。）

备受争议的面部识别创业公司Clearview AI的安全漏洞意味着其源代码，一些秘密密钥和云存储凭据，甚至其应用程序的副本都可以公开访问。 TechCrunch报道说，网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了Clearview AI一个暴露的服务器，他发现该服务器被配置为允许任何人注册为新用户并登录。 Clearview AI最早在1月份成为头条新闻，当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库，其中包括从网站和社交媒体平台上抓取的数十亿张图像。用户上传感兴趣的人的照片，Clearview AI的软件将尝试将其与数据库中任何相似的图像进行匹配，从而有可能从单个图像中揭示一个人的身份。 自从其作品公开以来，Clearview AI一直辩护说自己的软件仅适用于执法机构。但是，有报道称Clearview一直在向包括梅西百货和百思买在内的私营企业销售其系统。现在，此类不良的网络安全做法可能会使此功能强大的工具落入公司客户列表之外的不法之徒手中。 据TechCrunch称，该服务器包含公司面部识别数据库的源代码，以及允许访问其Windows，Mac，Android和iOS应用程序副本云存储的密钥和凭据。Mossab Hussein因此能够截取该公司iOS应用程序的屏幕截图，苹果公司最近因为违反其规则而阻止了该应用程序。Mossab Hussein还表示，他可以访问该公司的Slack令牌，这可能允许访问该公司的内部私人通讯。 Mossab Hussein还说，他从该公司的云存储中发现了大约7万个视频，这些视频是从一栋住宅楼中安装的摄像头拍摄的。 Clearview AI的创始人Hoan Ton-That告诉TechCrunch，这些镜头是在大楼管理层许可下捕获的，这是尝试制作安全摄像机原型的一部分。据报道该建筑物本身位于曼哈顿，但TechCrunch指出，负责该建筑物的房地产公司未回复置评请求。 针对网络安全故障，Clearview AI表示，未公开任何可识别个人身份的信息，搜索历史或生物识别信息并补充说公司已对服务器进行了全面的审核，以确认未发生其他未经授权的访问，这表明Mossab Hussein是唯一访问配置错误服务器的人，服务器公开的密钥也已更改，因此它们不再起作用。 上市后，Clearview AI的系统遭到了科技公司和美国当局的激烈批评。用于建立其数据库的平台（包括Facebook，Twitter和YouTube）已指示Clearview停止抓取图像，已告知警察部门不要使用该软件，佛蒙特州总检察长办公室最近针对该指控展开了调查。它可能违反了数据保护规则。   （稿源：cnBeta，封面源自网络。）

作为一款主打安全隐私的开源浏览器，Mozilla Firefox 拥有一票相当忠实的多平台用户。然而近日爆出的一个 Twitter 漏洞，却给使用该浏览器访问社交网站的用户蒙上了一层阴影。外媒指出，如果你一直通过 Firefox 来访问 Twitter，便很可能已经将非公开信息数据保存在本地缓存中。 庆幸的是，Twitter 方面表示其已经在服务器端修复了这个问题，且谷歌 Chrome 和苹果 Safari 均未受到影响。 社交巨头在接受 BetaNews 采访时称，问题与 Mozilla 如何处理 HTTP 报头数据的浏览器默认设置有关。 为避免这一问题，Twitter 方面已经实施了一项更改，以使 Mozilla Firefox 不再于缓存中存储 Twitter 数据。 不过 Twitter 并未将之归咎于 Mozilla 犯错或泄露，因此大家不必着急去批评 Firefox 。 如果你通过 Firefox 从共享或公共计算机访问 Twitter，并采取过下载数据存档、或通过 Direct Message 收发媒体文件等操作。 那么即使注销登录，这些信息仍可能被存储在浏览器的缓存中。Firefox 默认的有效期为 7 天，超时后将被自动清理。 最后，Twitter 表示已经彻底实施了一项变更，因此今后不会再在 Firefox 浏览器缓存中存储用户的个人信息。不放心的用户，建议在使用公共电脑后及时登出并清理缓存。   （稿源：cnBeta，封面源自网络。）

安全研究员报告，流行的路由器发行版 OpenWRT 容易受到远程代码执行攻击，原因是它的更新是通过未加密渠道传输的，其数字签名验证很容易绕过。OpenWRT 被广泛用于路由器和其它嵌入式系统。 安全研究员 Guido Vranken 发现它的更新和安装文件是通过 HTTP 连接传输的，容易受到中间人攻击，攻击者可以用恶意更新文件去替换合法更新文件。 除此之外，它的数字签名检查和验证也很容易绕过，验证函数 checksum_hex2bin 存在 bug，在输入字符串前加空格可绕过检查，该 bug 是在 2017 年 2 月引入的。 组合这两个弱点攻击者可以向设备发送恶意更新并自动安装。OpenWRT 维护者已经释出了更新部分修复了问题。   （稿源：solidot，封面源自网络。）

在冠状病毒爆发期间，视频会议应用程序和服务使用率增加，导致安全人员在Zoom当中发现更多安全问题。据报道，视频会议服务Zoom可以通过解决苹果常规安全措施而在Mac上安装，并且还宣传其具有端到端加密功能，但显然没有。 之前它已将用户数据发送到Facebook（据称已修复），现在它还被指控存在两个单独的安全问题。Twitter用户@ c1truz_（恶意软件跟踪器VMRay的技术负责人）报告说，Zoom的Mac应用安装程序使用了预安装脚本，并据称显示了伪造的macOS系统消息。 c1truz称，在Mac上安装该应用程序时，无需用户给出最终同意，并且高度误导性的提示用于获得root特权。AppleInsider已就指控指控与Zoom取得联系，但尚未收到评论。苹果也没有公开发表评论。不过，之前苹果为纠正Zoom安全问题而强制对用户进行Mac OS更新。 另外，The Intercept声称Zoom并不是真正的端到端加密，在整个视频聊天中，用户和Zoom服务器之间的连接被加密，但是并不能阻止Zoom本身看到呼叫过程。Intercept说：“实际上，Zoom使用了其自己的术语定义，这使Zoom本身可以访问会议中未加密的视频和音频。”Zoom发言人向The Intercept证实了这一点，并表示当前无法为Zoom视频会议启用E2E加密。   (稿源：cnBeta，封面源自网络。）

近日的反病毒软件测试结果表明，Windows 10 操作系统预装的 Windows Defender，已能够与业内领先的第三方安全供应商相当。尴尬的是，如果你的系统已经打上了三月的补丁，那它很可能漏过对某些文件的扫描。外媒 BornCity 报道称，微软在 3 月的“补丁星期二”那天发布了面向 Windows 和其它产品的安全更新。   用户汇报称，无论是选择快速或完整扫描，Windows Defender 都有可能在期间跳过对某些文件的检查，就像是在配置文件中已经将之列入了排除项一样。 与此同时，行动中心也会在遇到该问题时，向用户推送一条错误消息。其写道：“由于排除或网络扫描设置的原因，扫描期间跳过了某个项目”。 有些人可能觉得这与 Windows Defender 的特定版本有关，且能够通过与 Windows 10 系统拆分的升级措施来避免。 然而现在的情况是，无论你用的是哪个版本的 Windows Defender 反病毒软件客户端，它都会在打上三月补丁后遇到这个问题。 外媒 Softpedia 在运行 Windows 10 1909 的设备上尝试了最新的客户端和病毒定义，结果也在执行快速或完整扫描时重现了这个故障。 尽管没有设置任何排除项，但扫描结束后，还是在 Windows 10 的行动中心里看到了跳过某些文件扫描的错误通知。 截止发稿时，微软似乎尚未意识到这个问题。目前暂不清楚这是个例还是普遍现象，以及到底有多少设备受到了影响。 对于用户来说，或许可以尝试其它方法来确保安全，或等到微软在 4 月 14 日发布下一批安全更新时再修复。   （稿源：cnBeta，封面源自网络。）