近日，安全专家 克雷格·阿伦特（@craig_arendt）发现基于 EPub 服务的各大电子阅读器漏洞，能够同时影响亚马逊、苹果、谷歌等厂商。开源的 Java 库 “EpubCheck”被用于将内容转换为通用电子书格式，专家在 EpubCheck 库中发现了 XXE 漏洞可影响主要的 EPub 服务，或可导致信息泄露和拒绝服务。 EPub（Electronic Publication的缩写，意为：电子出版），是一个自由的开放标准，其文字内容可以根据阅读设备的特性，以最适于阅读的方式显示。（百度百科） 此次漏洞会影响支持 EPub 的服务和阅读器，如： EpubCheck <= 4.0.1 （验证 EPub 的工具） Adobe Digital Editions <= 4.5.2 （电子书阅读器） 亚马逊 KDP （Kindle 在线出版服务） Apple Transporter 以及 Google电子书上传服务等 研究人员着重测试过 “EpubCheck” ，发现了 XML 外部实体注入（XXE）问题。“验证工具（EpubCheck）易受 XXE 攻击，因此任何依赖此版本工具来检查图书有效性的应用程序都容易受到这种类型的攻击。”阿伦特解释称，亚马逊的 Kindle 文件上传服务存在一个 XXE 漏洞，或可被攻击者利用来窃取书籍和资料；类似的漏洞也影响 Apple Transporter 服务，攻击者能将恶意制作的图书发送到 App Store，在 EPub 解析过程中可能导致用户信息泄露；Google Play 图书服务虽不受 XXE 漏洞的影响，但专家发现了触发 XML 实体扩展漏洞的可能性，攻击者能够利用漏洞通过爆炸式增长的数据解析请求来导致拒绝服务。 目前，以上所有供应商都已对易受攻击的 EPub 漏洞进行了修复。 稿源：HackerNews.cc 翻译/整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

苹果昨天发布了新版本的 iOS 和 macOS Sierra 系统，修复了移动端和桌面操作系统中的一些代码执行漏洞、改进系统安全性和稳定性。 其中最重要的是，在新版本 iOS 10.2.1 和 macOS Sierra 10.12.3 中修复了两个内核漏洞 CVE-2017-2370 和 CVE-2017-2360 。这两个漏洞是由谷歌 Project Zero 团队的研究员 Ian Beer 发现，分别为缓冲区溢出漏洞和 use-after-free 漏洞，允许恶意应用程序以内核最高权限执行代码。 此外，iOS 和 macOS Sierra 还修复了一个 libarchive 缓冲区溢出漏洞（ CVE-2016-8687 ），允许攻击者打开恶意归档文件、任意代码执行。苹果还修复了 11 个 WebKit 和 Safari 浏览器漏洞。 稿源：HackerNews.cc 翻译整理，封面来源：百度搜索。 转载请注明“转自 HackerNews.cc ” 并附上原文链接，违者必究。

2016 年初美国法庭宣判苹果公司需配合 FBI，就圣博娜迪诺恐怖袭击案的调查解锁一台凶犯的 iPhone 5c，苹果公司以“用户面临更大的风险”为由拒绝添加后门程序，最后 FBI 不得不斥巨资寻求第三方技术破解 iPhone 5c，这场风波才得以平息。 近日应 USA Today、Associated Press 和 Vice Media 的诉讼要求，美国司法部公开了一份 100 多页的相关记录文件。在恐怖袭击事件之后，FBI 方面很快就发现他们无法破解手机，只能向国会议员透露他们的无奈。USA Today、Associated Press 和 Vice Media 还希望 FBI 能够公开他们到底利用了什么安全漏洞来破解手机，以及政府为此花了多少钱，而 FBI 则以《信息自由法案》为由拒绝提供这些信息。不过去年 FBI 局长詹姆斯·科米曾暗示为了破解设备他们向第三方支付了 100 多万美元。 在这份记录文件中确实没有什么太多有价值的信息，但据文件内容显示 FBI 和苹果公司冲突期间，至少有三家公司表示对破解这台 iPhone 5c 有兴趣，只是当时这三家公司还没有开发出任何有利于破解设备的工具。 稿源：cnBeta，有删改；封面：百度搜索

苹果公司（以下简称“苹果”）近日终于发布了自己的首份人工智能研究报告。业内人士称，这对苹果将来推广自己的人工智能应用大有裨益。这篇报告阐述了一项新技术——如何通过计算机生成图像、而非真实图像来训练一种算法的图像识别能力。 苹果在报告中称，在机器学习研究中，使用合成图像（例如，来自一款视频游戏）来训练神经网络要比使用真实图像更有效。因为合成图像数据已经被标记和注释，而真实的图像数据需要有人耗费巨大的精力去标记计算机看到的每件事物，如一棵树、一条狗或一辆自行车。 使用合成图像也存在一定的弊端，导致一种算法所了解的内容与真实世界中的场景有所不同。为解决此类问题，提高合成图像数据的训练效果，苹果研究人员推出了“模拟+无监督”的学习方法，以提高模拟图像的真实感。苹果研究人员使用一种经过修改的新型机器学习技术，被称为“生成对抗网络”（GAN），让两个神经网络彼此对抗，从而生成更逼真的图像。 业内人士称，对于苹果而言，此次公开其首份人工智能研究报告也是一大进步。多年来，苹果对其在人工智能领域的研究一直守口如瓶，这遭到了人工智能研究社区的批评。同时，这也影响了苹果招募人工智能人才。 此次苹果公开自己的人工智能研究也有助于将来普及自家的人工智能软件。如今，人工智能软件正被应用到几乎所有应用中，如 iPhone 7 的拍照功能，以及各种互联网服务。 了解更多内容可访问: https://arxiv.org/abs/1612.07828 稿源：cnBeta，有删改；封面：百度搜索

过去几周，苹果 iCloud 用户一直受到日历垃圾活动邀请的骚扰。苹果称已经意识到这个问题并着手解决。近日，苹果升级了其网页版 iCloud 服务，增加了一个“报告垃圾活动邀请”的功能。这个功能可以让用户删除垃圾邀请并将发送者信息向苹果报告以开展进一步调查。目前该功能只在 iCloud.com 网页版日历应用上可用，不过相信不久苹果就会在 iOS 版和 Mac 版的系统更新中加入此项功能。 收到此类垃圾邀请信息的骚扰，可以通过登录 iCloud.com 网页，通过该功能删除垃圾邀请，然后系统会自动同步到你所有使用该 iCloud 账号的 Mac 电脑和 iOS 设备上。 操作方法如下： （1）登录 iCloud.com，进入日历 Calendar 界面 （2）点开一个垃圾邀请，弹出窗口中点击 “Report Junk” 链接 （3）该垃圾信息将会从你所有同步的日历中删除，并将发送者信息发送给苹果。 稿源：cnbeta.com，有删改，封面：百度搜索

  曾在今年 4 月（传闻）协助 FBI 破解苹果 iPhone 5S 的以色列移动软件开发商 Cellebrite 再次遭遇尴尬事件，该公司所使用的”UFED”  等核心黑客工具被其产品经销商之一的 McSira 公开泄露。 McSira 官网中原需许可证密钥方可下载的最新黑客工具被“公之于众”，这对于诸多黑客、竞争对手以及安全研究人员而言都是一份“厚礼”。被泄露的工具属 Cellebrite 公司机密核心产品，可用于绕过移动设备、尤其是 iPhone 安全机制、提取所有敏感数据和密码。Cellebrite 公司曾在 2015 年投放广告称 “UFED” 工具可在几个小时内解锁 iPhone。 一位匿名安全研究员透露他已破解一部分 Cellebrite 软件，发现这些黑客工具主要针对旧版苹果设备，只是提取数据并无任何数据利用行为。目前尚不清楚这批黑客工具在 McSira 平台上被“公布”了多长时间。 稿源：本站翻译整理，封面来源：百度搜索    

据俄罗斯“卫星”新闻网 10月10日援引《电讯报》消息，英国禁止部长级官员在政府会议期间佩戴Apple“智能手表”，因为俄罗斯黑客似乎可对其进行网络攻击。据该报报道，出现黑客能将Apple Watch用作窃听设备的消息后，英国颁布了此项禁令。此前，出于同样的原因，英国曾禁止在议会期间使用手机。 稿源：cnBeta.com，封面来源：百度搜索