国安局计算机科学家说:“修补漏洞只是一种虚假的安全感”

国安局计算机科学家说:“修补漏洞只是一种虚假的安全感” 46岁的戴夫·艾特尔(Dave Aitel)是美国国家安全局的前计算机科学家,多年来经营着自己的安全商店 Immunity,他说,这些年来,安全供应商和大型技术公司提出的补救措施使人们陷入了一种错误的安全感,而事实上所有的老问题仍然存在。 Aitel 的对手 Phillip Wylie,一位著名的进攻性安全专家和 CyCognito 的技术布道者,则认为打补丁并非完全无用,而是防御者武器库中的众多工具之一。 该会议由 Point3 Security 公司于4月8日和9日组织召开。Aitel 于4月18日在Twitter上发布了这场辩论的 。 Aitel 指出,如果网络上有易受攻击的设备,那么它们应该被移除,用其他设备代替,而不是不断打补丁。 在他为 Immunity 工作期间(他在2019年将 Immunity 卖给了 Cyxtera Technologies) Aitel 说,他的许多客户都是大型金融公司,他曾建议他们与软件供应商签订的任何合同也包含一个条款:如果任何软件被证明有过度的漏洞,他们可以退出合同。 Aitel 将补丁比作橙汁(美国人早餐中的必备),他说,多年来人们一直认为它是一个人早餐中最有用的部分;而最后,人们发现橙汁含有过多的糖分,只会使人发胖。 他在提到微软和其他大的软件供应商时措辞很严厉,他说他们在实际减轻劣质软件所带来的问题方面做得很少。他还批评了PHP的许多安全性问题。 Aitel 对 Linux 的批评同样严厉,他指出 “内核的最大贡献者是中国电信厂商华为”,他称该公司已被美国起诉,并问道:如果这么多补丁来自这样的公司,人们怎么能放心? Aitel 呼吁进行漏洞管理,主张 “政府是处理这一问题的最佳实体”。他的论点是,没有其他实体有足够的力量来反击大型软件供应商和安全行业的游说。 不过,最终决定辩论胜负的观众投票站在了 Wylie的 一边,56%的观众支持他的立场。 您可以自行判断。我们认为漏洞是政治问题,而不仅仅是技术问题。此外请记得 Aitel 的身份,并且,他对谷歌的吹捧有些奇怪。 #security

相关推荐

封面图片

谷歌修补商业间谍软件供应商利用的零日漏洞

谷歌修补商业间谍软件供应商利用的零日漏洞 谷歌已紧急修复 Chrome 中被商业间谍软件供应商利用的零日漏洞。 就在补丁发布前两天,谷歌威胁分析小组(TAG)的 Clement Lecigne 向 Chrome 团队报告了该漏洞。 谷歌,它已经意识到这个漏洞的存在,该漏洞被追踪为 CVE-2023-5217,并被描述为“libvpx 中 vp8 编码的堆缓冲区溢出”。 谷歌威胁分析小组(TAG)的研究员 Maddie Stone 在推特上,该 Chrome 漏洞已被利用来安装间谍软件。 该漏洞已在 Google Chrome 117.0.5938.132 中修复,该版本现已通过稳定桌面通道向 Windows、Mac 和 Linux 用户推出。
封面图片

计算机科学家认为不应神化 AI

计算机科学家认为不应神化 AI 计算机科学家 Jaron Lanier 在《纽约客》发表文章《There Is No AI》,提出应停止对人工智能的神化,而将其作为一种创新的社会协作形式来看待。他反对最近呼吁停止训练更高级人工智能的联署信,并再次提出“数据尊严”概念:结束人工智能黑箱,记录比特的来源,“人们可以为他们创造的东西获得报酬,即使这些东西是通过大模型过滤和重新组合的”,“当一个大模型提供有价值的输出时,数据尊严的方法将追踪最独特和有影响力的贡献者。” 频道 @WidgetChannel 投稿 @WidgetPlusBot
封面图片

谷歌科学家发布:量子计算机取得重大突破

谷歌科学家发布:量子计算机取得重大突破 谷歌科学家最近在ArXiv平台上发布了一篇预印本论文,声称在量子计算机领域取得了重大突破。他们表示,通过对Sycamore处理器的升级,谷歌成功提升了量子位的数量,从之前的53个增加到了70个。 这次实验中,谷歌科学家们执行了一项名为随机电路采样的任务,这个任务在量子计算中用于评估计算机的性能和效率。通过运行随机电路并分析结果输出,科学家们测试了量子计算机在解决复杂问题方面的能力。 谷歌的研究结果显示,升级后的70个量子位的Sycamore处理器在执行随机电路采样任务上比业内最先进的超级计算机快了几十亿倍。例如,需要业内最先进超级计算机Frontier计算47.2年才能完成的任务,53个量子位的Sycamore处理器只需要6.18秒就能完成,而新版的70个量子位的Sycamore处理器速度更快。来源 ,, 来自:雷锋 频道:@kejiqu 群组:@kejiquchat 投稿:@kejiqubot
封面图片

谷歌三星抢先修补了Android智能机的Dirty Pipe漏洞

谷歌三星抢先修补了Android智能机的Dirty Pipe漏洞 本周早些时候,Google 发布了 2022 年 4 月份的 Android 安全更新,但它并未包含对上月曝光的“Dirty Pipe”漏洞的修补。 庆幸的是,尽管大多数厂商可能要拖到 5 月才推出补丁,但谷歌和三星已经先行一步。 据悉,作为 Linux 内核中发现的一个安全漏洞,CVE-2022-0847 会允许某人在只读进程中注入并覆盖数据,而无需 root 或任何管理员权限。 XDA-Developers指出:Dirty Pipe 漏洞已被用于在 Android 设备上实现临时 root 访问,但也很容易被恶意软件和其它未知软件获得系统访问权限。 目前 Linux 内核(Kernel 5.16.11、5.15.25 和 5.10.102)已经完成 CVE-2022-0847 安全漏洞的修复,但可惜谷歌尚未将它全面包含到 2022 年 4 月份的 Android 安全更新中。 不愿等待 5 月安全更新的朋友,如果你正在使用 Pixel 6 / 6 Pro,那现在已经能够获取谷歌在周四发布的 Android QPR3 Beta 2(包含该内核补丁)。 与此同时,三星也率先为旗下 Galaxy 设备的 4 月 Android 更新引入了该修复程序(有在安全公告中提及 CVE-2022-0847),且被验证能够抵御 Dirty Pipe 攻击。 尴尬的是,小米12 / 12 Pro 的速度太过拖沓 自 2 月首发以来,尚未向用户提供过安全更新,此外一加等 Android 智能机厂商也尚未发布其 4 月更新。 在此之前,还请广大 Android 智能机用户保持良好的使用习惯,尤其注意不安装来源不明的 APK 文件。 cnBeta
封面图片

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞

苹果紧急更新修复了用于入侵iPhone和Mac的零漏洞 苹果公司周四发布了安全更新,以解决被攻击者利用来入侵iPhone、iPad和Mac的两个零日漏洞。 零日安全漏洞是软件供应商不知道的缺陷,还没有打补丁。在某些情况下,它们也有公开可用的概念验证漏洞,或者可能已被积极利用。 在今天发布的安全公告中,苹果公司表示,他们知道有报告称这些问题 "可能已经被积极利用了"。 这两个缺陷是英特尔图形驱动程序中的越界写入问题(CVE-2022-22674),允许应用程序读取内核内存,以及AppleAVD媒体解码器中的越界读取问题(CVE-2022-22675),将使应用程序以内核权限执行任意代码。 这些漏洞由匿名研究人员报告,并由苹果公司在iOS 15.4.1、iPadOS 15.4.1和macOS Monterey 12.3.1中修复,分别改进了输入验证和边界检查。 BleepingComputer
封面图片

《计算机基础班课程资料 (办公软件 多媒体 网络安全 计算机基础 数据库)【17GB】》 | 简介:计算机基础班课程资料 (办公

《计算机基础班课程资料 (办公软件 多媒体 网络安全 计算机基础 数据库)【17GB】》 | 简介:计算机基础班课程资料 (办公软件 多媒体 网络安全 计算机基础 数据库)【17GB】这本书带给读者一个新鲜的视角,无论是在探索历史、社会还是文化方面,它都能为你提供独特的深度和思考。每一页都充满了智慧和启发,是对知识渴望者的不二之选。 | 标签:#书籍 #计算机 #阅读 | 文件大小:NG | 链接:

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人