“收件箱清零”（Inbox Zero）理念是指收件箱里的邮件通通处理归档了，眼前再没有待处理邮件，四大皆空，当下自在，几近涅槃。但这是很难达到的境界，大多数人都会尽力存档或者标记邮件，将不需要的电子邮件标记为垃圾邮件，然后定期进行完全清理。如果你经常执行后两项操作，那么Android端的Gmail应用上操作时候可能会出现麻烦，因为谷歌移除了标记为垃圾邮件和删除信息的功能。 现在Gmail版本，没有清除选项 此前Gmail版本 现在Gmail版本，没有清除选项 现在Gmail版本，没有清除选项 在此前的Gmail版本更新中，在查看垃圾邮件文件夹的时候顶部有“Empty Trash now”（Trash指手动删除的邮件备份，一个月后自动删除）和“Empty spam now”（Spam指自动过滤的垃圾邮件，以及被你标记为垃圾邮件）选项。而在最新版本这两个选项已经消失，用户虽然可以手动选择消息，但是没有提供永久删除的选项。 在Spam文件夹中用户在选中邮件之后依然可以选中，但是它们会被移动到Trash文件夹中，而在手机端上的操作该垃圾文件夹中必须要等待30天才能自动删除。因此用户确实想要操作这些垃圾邮件的用户，必须前往Web端Gmail进行操作。 更新： 这似乎是Gmail的显示错误，只需要横屏显示或者打开垃圾邮件/垃圾箱中的所有电子邮件，然后返回到列表，您将获得将其清空的选项。不过这种修复方式是临时的，但是你下次使用的使用需要再进行操作。 据Google支持论坛上的产品专家称，Gmail小组已承认到此问题，并正在努力进行修复。   （稿源：cnBeta，封面源自网络。）

据外媒ZDNet报道，近日黑客在PayPal的Google Pay集成中发现了一个漏洞，现在正使用它通过PayPal帐户进行未经授权的交易。自上周五以来，用户报告称在其PayPal历史中突然出现了源自其Google Pay帐户的神秘交易。 受害者报告说，黑客滥用Google Pay帐户来使用链接的PayPal帐户购买产品。根据截图和各种证词，大多数非法交易发生在美国商店，尤其是在纽约各地的Target商店。而大多数受害者似乎是德国使用者。 根据公开报告，估计此次损失在数万欧元左右，一些未经授权的交易远超过1000欧元。黑客正在利用哪些漏洞尚不清楚。PayPal告诉ZDNet，他们正在调查此问题。在这篇文章发表之前，谷歌发言人没有返回置评请求。 德国安全研究员Markus Fenske周一在Twitter上表示，周末报告的非法交易似乎与他和安全研究员Andreas Mayer在2019年2月向PayPal报告的漏洞相似，但PayPal没有优先考虑修复。 Fenske告诉ZDNet，他发现的漏洞源于以下事实：当用户将PayPal帐户链接到Google Pay帐户时，PayPal会创建一个虚拟卡，其中包含其自己的卡号，有效期和CVC。当Google Pay用户选择使用其PayPal帐户中的资金进行非接触式付款时，交易将通过该虚拟卡进行收费。 Fenske 在接受采访时说道：“如果仅将虚拟卡锁定到POS交易，就不会有问题，但是PayPal允许将该虚拟卡用于在线交易。”Fenske现在认为，黑客找到了一种方法来发现这些“虚拟卡”的详细信息，并且正在使用卡的详细信息在美国商店进行未经授权的交易。 研究人员表示，攻击者可以通过三种方式获取虚拟卡的详细信息。首先，通过从用户的手机/屏幕读取卡的详细信息。其次，通过编程方式，使用感染用户设备的恶意软件。第三，通过猜测。Fenske说道：“攻击者可能只是强行将卡号和有效期强行加起来，而有效期大约在一年左右。这使得搜索空间很小。”他补充说：“ CVC无关紧要。任何人都被接受。” PayPal工作人员正在研究不同的问题-包括Fenske最新描述的攻击情形以及他的2019年2月漏洞报告。 PayPal发言人告诉ZDNet：“客户帐户的安全是公司的重中之重。我们正在审查和评估此信息，并将采取任何必要的行动来进一步保护我们的客户。”   (稿源：cnBeta，封面源自网络。）

Safari将在今年晚些时候不再接受新的长效HTTPS证书，也就是自其创建之日起过13个月有效期的新证书。这意味着使用在截止时间点之后发出的长寿命SSL/TLS证书的网站将在苹果系统的浏览器中引发隐私错误。 苹果在证书颁发机构浏览器论坛（CA / Browser）会议上宣布了该政策。从2020年9月1日开始，任何有效期超过398天的新网站证书都不会受到Safari浏览器的信任，而是会被拒绝。而在截止日期之前颁发的较旧证书不受此规则的影响。 通过在Safari中实施该策略，苹果将会通过扩展在所有iOS和macOS设备上实施该策略。这将对网站管理员和开发人员造成一定影响，他们需要调整接下来的证书运营策略，确保其证书满足苹果的要求，否则可能会影响超过10亿台设备和计算机上的页面访问。 PKI和SSL管理公司Sectigo的高级研究员蒂姆·卡兰（Tim Callan）参加了本周在斯洛伐克举行的会议，他证实了这一消息：“本周，苹果在第49届CA/浏览器论坛宣布，他们的产品将否决在9月1日或之后发行的期限超过398天的证书的有效性。9月1日之前颁发的证书将具有与今天的证书相同的可接受期限，即825天，从而无需对这些证书采取任何措施。” 苹果，谷歌和CA/Browser的其他成员已经考虑了缩短证书有效期的问题，该政策有其优点和缺点。 此举的目的是通过确保开发人员使用具有最新加密标准的证书来提高网站的安全性，并减少可能被盗用并重新用于网络钓鱼和恶意驱动程序攻击的旧的、被忽略的证书的数量，短期证书将确保人们在大约一年内迁移到更安全的证书。 缩短证书的使用寿命确实存在一些缺点，通过增加证书替换的频率，苹果和其他公司也使得使用加密证书的网站所有者和企业的管理周期变得更加复杂。不过，“公司可以依靠自动化来协助证书的部署，更新和生命周期管理，以减少人员开销和随着证书更换频率的增加而出现错误的风险。”例如，Let’s Encrypt发行了免费的HTTPS证书，这些证书通常会在90天后过期，并提供了自动续订的工具，如今它们已在整个Web上使用。   （稿源：cnBeta，封面源自网络。）

Windows 7和IE浏览器都已经于上月停止支持，但由于最新曝光的严重IE漏洞微软决定再次为Windows 7系统提供安全补丁。在发现了一个被黑客广泛使用的JavaScript引擎漏洞之后，微软决定为所有IE 9之前的旧版浏览器提供安全更新。 CVE-2020-0674公告中写道： 这个远程代码执行漏洞存在于IE浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。 如果当前用户使用管理用户权限登录，则成功利用此漏洞的攻击者可以控制受影响的系统。然后，攻击者可能会安装程序。查看，更改或删除数据；或创建具有完全用户权限的新帐户。 在网络攻击情境中，攻击者可能会制作专门利用该IE漏洞的特制网站，然后诱使用户查看该网站。攻击者能够访问托管在IE渲染引擎上的应用或者微软Office办公文档中嵌入标记为“初始化安全”的ActiveX控件。攻击者还可能利用受感染的网站，接受或托管用户提供的内容或广告。这些网站可能包含可以利用此漏洞的特制内容。 该漏洞利用可以通过任何可承载HTML的应用程序（例如文档或PDF）来触发，并且在Windows 7、8.1和10上具有“严重”等级，并且目前正被黑客广泛使用。 Microsoft将发布针对所有这些操作系统以及Windows Server 2008、2012和2019的补丁程序。   （稿源：cnBeta，封面源自网络。）

Google Project Zero (GPZ)团队近日向三星发出警告，表示后者在Galaxy系列手机中修改内核代码的行为将会暴露更多的安全BUG。GPZ研究员Jann Horn表示，以三星为代表的多家智能手机厂商通过添加下游自定义驱动的方式，直接硬件访问Android的Linux内核会创建更多的漏洞，导致现存于Linux内核的多项安全功能失效。 Horn表示这个问题是在三星Galaxy A50的Android内核中发现的。不过他表示，这种情况在Android手机厂商中非常普遍。也就是说，这些厂商向Linux Kernel中添加未经上游（upstream）内核开发者审核的下游（downstream）代码，增加了与内存损坏有关的安全性错误。 即使这些下游定制旨在增加设备的安全性，它们也会引入安全性错误。谷歌于2019年11月向三星报告了该漏洞，随后在今年2月面向Galaxy系列手机的更新中修复了这个问题。 该错误影响了三星的PROCA（过程验证器）安全子系统。三星在其安全网站上将漏洞SVE-2019-16132描述为中等问题。它允许在运行Android 9和Android 10操作系统的某些Galaxy智能手机上“可能执行任意代码”。 Horn解释说：“Android通过锁定可以访问设备驱动程序的进程（通常是特定于供应商的）来减少此类代码对安全性的影响。”一个例子是，较新的Android手机通过专用的帮助程序来访问硬件，这些帮助程序在Android中统称为硬件抽象层（HAL）。 不过Horn表示，手机厂商通过修改Linux Kernel核心部分的工作方式，这破坏了“锁定攻击面”上做出的努力。Horn建议智能手机制造商使用Linux中已经存在的直接硬件访问功能，而不是更改内核代码。例如，PROCA旨在阻止已获得对内核的读写访问权限的攻击者，但三星需要花费工程时间来阻止攻击者首先获得该访问权限。   （稿源：cnBeta，封面源自网络。）

麻省理工学院工程师团队的最新研究发现，在名为Voatz的区块链投票系统中存在一系列令人震惊的漏洞。对Voatz的Android应用程序进行反向工程后，研究人员得出结论称，通过入侵选民手机，攻击者几乎可以随意观察、压制和更改选票。该论文称，网络攻击还可能揭示给定用户在哪里投票，并可能在此过程中压制投票。 研究人员说，最令人不安的是，破坏了管理Voatz API的服务器的攻击者甚至可以在投票到来时更改选票，这在理论上应该可以防止分布式分类账的威胁。 研究人员得出结论称：“鉴于本文所讨论的失败的严重性，缺乏透明度，选民隐私的风险以及攻击的琐碎性质，我们建议放弃将这个应用程序用于高风险选举的任何近期计划。” Voatz的基于区块链的投票项目旨在替代缺席选票，安全研究人员对此表示怀疑，但许多科技界人士表示了浓厚兴趣，其获得了超过900万美元的风险投资。在Voatz系统下，用户将通过应用程序远程投票，并通过手机的面部识别系统验证身份。 Voatz已经在美国的一些次要选举中使用，在2018年西弗吉尼亚选举中收集了150多张选票。 Voatz 在博客文章中对MIT的发现提出了质疑，称该研究方法存在“错误”。该公司的主要抱怨是，研究人员正在测试Voatz客户端软件的过时版本，并且没有尝试连接到Voatz服务器本身。博客文章写道：“这种有缺陷的方法使关于其破坏整个系统能力的任何主张无效。” Voatz的高管在与记者的电话中辩称，服务器端保护将阻止受感染的设备通过身份验证进入更广泛的系统。Voatz首席执行官Nimit Sawhney说道：“他们的所有主张都基于这样的想法，因为他们能够破坏设备，因此能够破坏服务器。而这个假设是完全错误的。” Voatz还强调了允许选民和选举官员事后核实选票的措施。该公司产品负责人Hilary Braseth说道：“使用Voatz提交的每张选票都会产生纸质选票，使用Voatz的每位选民一旦提交，都会收到一张选票。” 到目前为止，这些解释并没有使安全专家印象深刻。 约翰·霍普金斯密码学家Matthew Green在Twitter上指出：“设备只是将票发送到服务器。服务器可能会将它们放在区块链上，但是如果设备或服务器受到威胁，这将无济于事。Voatz需要解释他们如何处理这个问题。” Voatz还在博文中指出了其正在进行的漏洞赏金计划和定期的代码审查，以证明该应用程序具有强大的安全性-但有些研究人员可能不同意。去年10月，该公司因FBI转介事件而备受抨击，消息人士告诉CNN该事件起源于密歇根大学的选举安全课程。其他人则批评了Voatz的赏金计划对研究人员来说是繁重且敌对的，这可能解释了为什么麻省理工学院的研究人员没有参加其中。 总体而言，这仍然不是第一次提出有关Voatz或区块链投票的安全问题。11月，参议员Ron Wyden（D-OR）写信给五角大楼，提出对Voatz安全性的担忧，并要求对该应用程序进行全面审核。该请求最终被推迟。Wyden在一份声明中说道：“网络安全专家已经明确表明，互联网投票是不安全的。现在距离共和党人结束选举安全禁令和让国会通过整个选举系统的强制性安全标准已经过去了很长时间。”   (稿源：cnBeta，封面源自网络。）

Facebook 刚刚修复了 WhatsApp 桌面平台中一个严重的安全漏洞，消除了允许攻击者从 Windows / Mac 上的本地文件系统中读取文件、甚至远程代码执行的隐患。该漏洞由安全研究人员 Gal Weizman 和 PerimeterX 共同发现，美国国家标准技术研究所（NIST）评估的严重等级为 8.2 。 早在 2017 年的时候，研究人员就已经发现过可更改他人回复文字的问题。Weizman 意识到，他可以利用富媒体制作以假乱真的消息，将目标重定向到他指定的位置。 安全研究人员进一步证实了此事，可以利用 JavaScript 达成一键式持久性跨站脚本攻击（XSS）。 最终绕过 WhatsApp 的 CPS 规则来增强攻击能力，甚至实现远程代码执行 经过一番挖掘，研究人员意识到这一切都是可行的。因为 Facebook 提供的 WhatsApp 桌面应用程序版本，正式基于过时的 Chrome 69 版本。 问题在 Chrome 78 正式推出时曝光，早几个版本中使用的 javascript 技俩的功能已得到修补。 若 WhatsApp 将其 Electron Web 应用程序从 4.1.4 更新到发现此漏洞时的最新版本（7.x.x），那 XSS 也将不复存在。 Facebook 表示，CVE-2019-18426 漏洞影响 0.3.9309 之前的 WhatsApp 桌面客户端、以及 2.20.10 之前的 iPhone 客户端。 有关漏洞的详情，还请移步至 Weizman 的 PerimeterX 博客文章中查看。   （稿源:cnBeta，封面源自网络。）  

Sudo 维护团队指出，从 Sudo 1.7.1 到 1.8.25p1 都包含一项可让非特权用户获得 root 权限的漏洞（编号 CVE-2019-18634），他们已在最新发布的 1.8.31 版本中完成修复，同时提供了暂时缓解的方法。Sudo 1.7.1 于2009年4月19日发布，因此该漏洞已存在大约 10 年。 另外，1.8.26 到 1.8.30 版本也发现存在 CVE-2019-18634 漏洞，但 1.8.26 版本发布时曾变更 EOF（end of file）处理的设定，致使该漏洞无法被利用。 Sudo 是 UNIX 和 Linux 操作系统广泛使用的工具，它让系统管理员给普通用户分配合理的权限，以执行一些只有管理员或其他特定帐号才能完成的任务。此次被发现的高危漏洞在启用了 pwfeedback 选项的系统中很容易被利用，根据漏洞的描述，pwfeedback 功能让系统能够以 ‘*’ 表示目前输入的字符长度，原意是一项提升安全性的功能，但安全研究员 Joe Vennix 发现系统启用 pwfeedback 功能后，用户可能会触发基于堆栈的缓冲区溢出 bug，从而获得 root 权限。 虽然在 sudo 的上游版本中默认情况下未启用 pwfeedback，但某些下游发行版，例如 Linux Mint 和 elementary OS 在其默认 sudoers 文件中启用了它（Ubuntu 不受影响）。 具有 sudo 特权的用户可以通过运行以下命令来检查是否启用了 pwfeedback： 如果在”Matching Defaults entries”输出中列出了 pwfeedback，则 sudoers 配置将受到影响。如下所示的 sudoers 配置就很容易受到攻击： $sudo -lMatchingDefaults entries for millert on linux-build:insults,pwfeedback, mail_badpass, mailerpath=/usr/sbin/sendmailUsermillert may run the following commands on linux-build:(ALL : ALL) ALL 最后，建议受影响的系统尽快将 sudo 升级至最新版本 1.8.31。如果没条件升级到新版本，在启用了 pwfeedback 的 sudoer 配置文件里，将“Defaults pwfeedback”改成“Defaults !pwfeedback”，也能有效阻止攻击。   (稿源：开源中国，封面源自网络。）

援引外媒KrebsonSecurity报道，在2020年1月的补丁星期二活动中，微软可能已准备好修复存在于Windows系统中的严重加密漏洞，而该漏洞能够让恶意程序伪装成为受信任的组件欺骗用户进行安装感染。而重点是，今天正式停止支持的Windows 7系统可能不会修复该漏洞。 KrebsonSecurity在推文中写道：“消息源称微软计划在补丁星期二中修复存在于所有Windows版本中的严重安全漏洞，该漏洞是一个核心加密组件，可能会被用来欺骗数字签名软件的来源。显然，国防部和其他一些人会获得一个高级补丁https://t.co/V6PByhjTNR” 报道中称存在于Windows组件crypt32.dll中的安全漏洞非常严重，以至于Microsoft提前向政府安全服务发布了补丁。 KrebsonSecurity表示：“多方消息源确认，微软公司定于本周二发布软件更新，以修复所有Windows版本中核心加密组件中的严重漏洞。目前相关补丁已经提前发给了美军分支机构、以及管理关键互联网基础设施的其他高价值客户/目标，而且这些组织被要求签署协议以阻止他们透露漏洞的细节。” 不过在后续的声明中，微软否认了这一点。更为严重的是，该组件可以追溯到Windows NT时代的所有Windows版本，不过由于Windows 7停止支持，微软将不会发布相应的安全补丁。   （稿源：cnBeta，封面源自网络。）

谷歌 Project Zero 团队以披露大量严重漏洞而被人们所熟知，但也因为严格的快速披露政策而遭到了行业内的批评。于是 2020 年的时候，谷歌安全团队试图制定新的政策，将问题披露的宽限期给足了整整 90 天。即便如此，谷歌还是对过去五年的政策表现感到满意，指出有 97.9% 的漏洞报告在当前的 90 天披露政策下得到了有效的修复。 相比之下，2014 年有些 bug 拖了六个月、甚至更长的时间来解决。不过在审查了“复杂且经常引起争议”的漏洞披露政策之后，谷歌还是决定在 2020 年做出一些改变。 那些易被曝光漏洞的企业，将被给予默认 90 天的缓冲时间，而无论其将于何时修复相关 bug 。若企业顺利或提前完成了修复，也可以与谷歌 Project Zero 取得联系，以提前公布漏洞详情。 ● 厂家在 20 天内修复了 bug？谷歌将在第90天公布漏洞详情； ● 厂家在 90 天内修复了 bug？谷歌也将在第 90 天公布漏洞详情！ 当然，在争取推动“更快的补丁开发”流程的同时，Project Zero 还希望全面提升补丁程序的采用率。 现有政策下，谷歌希望供应商能够快速开发补丁，并制定适当的流程，以将之交付给最终客户，我们将继续紧迫地追求这一点。 然而有太多次，供应商只是简单的记录了漏洞，而不考修改或从根本上修复已曝光的漏洞。有鉴于此，Project Zero 团队希望推动更快的补丁开发，以防别有用心者轻易地向用户发动大大小小的攻击。 改进后的新政策指出，发现漏洞之后，最终用户的安全性不会就此得到改善，直到 bug 得到适当的修复。只有最终用户意识到相关 bug，并在他们的设备上实施了修补，才能够从漏洞修复中得到益处。 最后，在新政策转入“长期实施”之前，Google 将给予 12 个月的试用。   （稿源：cnBeta，封面源自网络。）