迅雷被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开

迅雷被安全研究人员爆锤 懈怠回应导致大量漏洞被研究人员公开 日前安全研究人员 Wladimir Palant 在自己的网站上手撕迅雷，指责迅雷客户端存在大量漏洞的同时，迅雷对修复工作不积极或者说不愿意与研究人员沟通，最终结果是研究人员在期满 (90 天) 后公布了这些漏洞。从研究人员公布的研究来看，迅雷客户端其实就是一个筛子，上面遍布漏洞，因为迅雷为了尽可能留住用户提供了大量功能，这些功能都是拼凑的。由于漏洞以及相关细节比较多，这里我们简单梳理下，想要了解所有漏洞及完整细节可以在研究人员的博客中查看。下面是漏洞时间线：2023 年 12 月 6 日～12 月 7 日：研究人员通过迅雷安全响应中心提交了 5 个漏洞报告，实际上报告的漏洞数量更多，在报告中研究人员明确提到最终披露时间是 2024 年 3 月 6 日。2023 年 12 月 8 日：研究人员收到回信，迅雷安全响应中心称已经收到报告，一旦复现漏洞将与研究人员联系 (这应该是自动回复的通知模板)。2024 年 2 月 10 日：研究人员向迅雷提醒称距离漏洞公布只有 1 个月时间了，因为有些厂商会忘记截止日期，这个并不少见，于是研究人员发了提醒。2024 年 02 月 17 日：迅雷安全响应中心称对漏洞进行了验证，但漏洞尚未完全修复，也就是确认了漏洞存在，但由于 shi 山代码太多，一时三刻没法修复，为什么说是 shi 山代码看后面的说明。附研究人员关于迅雷安全响应中心的吐槽：限制仅通过 QQ 或微信登录，这对于国外研究人员来说很难，幸好在底部还留了个邮箱。安全问题一：使用 2020 年 4 月的 Chromium迅雷客户端为了尽可能留住用户并塞广告，直接集成了一个浏览器，这个使用迅雷的用户应该都知道，还集成了诸如播放器等功能。然而迅雷当然不会自己开发浏览器，迅雷集成了 Chromium 浏览器，这没问题，但集成的版本还是 2020 年 5 月发布的 83.0.4103.106 版。这个老旧版本存在数不清的漏洞，漏洞多到令人发指，毕竟已经四年了，有大量漏洞是很正常的，而且有一些高危漏洞，而迅雷至今没有更新。这也是前文提到的 shi 山代码太多的原因之一，对迅雷来说或许升级个 Chromium 版本都是很难的事情，因为要处理一大堆依赖。安全问题二：迅雷还集成 2018 年的 Flash Player 插件所有浏览器都在 2020 年 12 月禁用了 Adobe Flash Player 插件，这个播放器插件也存在巨量漏洞，但迅雷直接忽略了。迅雷内置的 Chromium 浏览器还附带了 Flash Player版，这个版本是 2018 年 4 月发布的，迅雷甚至都没更新到 Adobe 发布的最后一个安全更新。安全问题三：拦截恶意地址简直是搞笑迅雷也用实际行动告诉我们什么是草台班子，迅雷内置的浏览器有拦截恶意地址的功能，包括非法网站和恶意网站等。但迅雷还特别做了一个白名单机制，即域名中的白名单在内置浏览器中的访问是不受限制的，白名单域名就包括迅雷自己的 xunlei.com在初始版本中，研究人员提到任意域名结尾追加？xunlei.com 那就能通过验证，比如 https:// ... 是个大聪明。在后续版本中研究人员删除了上面的说法，但保留了另一个问题，那就是 https:// ./ 可以访问，因为迅雷无法处理 com.安全问题四：基于老旧的 Electron 框架开发迅雷主要就是基于 Electron 框架开发的，但迅雷使用的版本是 830.4103.122 版，发布于 2020 年 4 月份，和上面提到 Chromium 老旧版本情况类似，也都是筛子，这也是 shi 山代码之二，迅雷肯定因为某种原因好几年了都不敢动这些框架版本。上面只是其中几个典型的安全问题，研究人员在博客中还罗列了关于插件、API、过时的 SDK 等大量问题，内容比较多这里不再转述。迅雷修复了吗？迅雷并没有直接忽视研究人员的报告，事实上研究人员发现自己的实例代码页面被访问，说明迅雷的工程师也确实在处理。同时研究人员在 2 月份的迅雷新版本中还注意到迅雷删除了 Adobe Flash Player 集成，但如果用户主动安装了，那还是会被激活。所以可以断定迅雷并没有直接忽视漏洞，只不过由于 shi 山代码太多，一时三刻解决不了，而迅雷最大的问题就是没有及时与研究人员沟通，整整三个月迅雷除了一个自动回复外，就在 2 月份回了表示还在修复的邮件，既没有提到是否需要延长漏洞公开时间、也没有与研究人员沟通细节。于是到 3 月 6 日研究人员直接公布了所有漏洞，迅雷好歹也有千万级的用户，无论是迟迟不更新框架版本还是懈怠处理漏洞，都会给用户造成严重的安全问题。目前迅雷并未彻底解决研究人员提到的所有问题 (应该只修复了一小部分？)，建议使用迅雷的用户注意安全，如果不经常使用的话，可以考虑直接卸载掉。 ... PC版： 手机版：

谷歌在2023年支付了1000万美元的漏洞奖金 价值最高的漏洞报告获11.3万美元奖励

谷歌在2023年支付了1000万美元的漏洞奖金 价值最高的漏洞报告获11.3万美元奖励 在 2022 年谷歌向研究人员支付 1,200 万美元的奖金，而在 2023 年谷歌支付了 1,000 万美元的奖金，尽管略低于 2022 年，不过这仍然是一笔非常可观的奖励。谷歌公布的数据显示，2023 年谷歌共向 68 个国家或地区的 632 名研究人员支付了奖金，如果算平均的话，每个人获得 15,822 美元的奖金。不过这种算平均没有意义，多数漏洞的奖金比较低，一些漏洞的奖金非常高，例如在 2023 年单一漏洞报告的最高奖励是 113,337 美元 (约合人民币 81. 万元，注：这里说的是单一漏洞报告而不是单一漏洞，一个报告可能涉及完整的攻击链、里面可能包含多个漏洞利用)在 2023 年占比最高的依然是 Android 系统，谷歌为 Android 方面的漏洞支付了 340 万美元，为了吸引更多研究人员帮助谷歌排查 Android 的漏洞，谷歌还将 Android 平台的单一漏洞奖励提高到最高 15000 美元的奖励。以下是谷歌对 2023 年漏洞赏金计划的总结：推出额外奖励计划，为特定目标提供额外奖励 (例如在去年 6 月 1~12 月 31 日针对 Chrome 沙盒逃逸漏洞的奖金翻倍)将额外奖励计划扩展到 Chrome 和 Cloud，其中以 v8 CTF 为重点，关注 Chrome v8 引擎的安全性针对第一方 Android 应用程序的移动 VRP 启用 (面向谷歌自家预装应用的安全计划)推出 Bughunters 博客，分享互联网见解和安全措施在东京举办 ESCAL8 安全会议，以现场黑客活动、研讨会和讲座为特色自 2010 年谷歌启动漏洞赏金计划以来，谷歌累计支付的奖金高达 5,900 万美元。 ... PC版： 手机版：

中芯国际：2023年Q4营收16.8亿美元 净利润1.747亿美元

中芯国际：2023年Q4营收16.8亿美元 净利润1.747亿美元 中芯国际2023年Q4营收16.8亿美元，上年同期16.2亿美元；净利润1.747亿美元，预估1.486亿美元，同比增长85.9%。季度收入环比持平至增长2%，毛利率介于9%至11%的范围内。

京东：员工总数超62万，2023年营收10800亿元，净利润233亿元。

#内幕消息 京东：员工总数超62万，2023年营收10800亿元，净利润233亿元。 阿里巴巴：员工人数为22万，2023年营收8686亿元，净利润656亿元。 字节跳动：员工总数为12万，2023年营收8635亿元，净利润2015亿元。 华为：员工数量为20.7万，2023年营收为7043亿元，净利润870亿元。 腾讯：员工人数为10.5万，2023年营收6090亿元，净利润1152亿元。 比亚迪：拥有超过70万名员工，2023年的营收达到6023亿元，净利润313亿元。 宁德时代：员工人数为11.6万，2023年营收4009亿元，净利润441亿元。 美的：员工人数为19.9万，2023年营收3720亿元，净利润337亿元。 小米：员工人数为3.4万，2023年营收2710亿元，净利润175亿元。 海尔：员工人数为11.2万，2026年营收2614亿元，净利润169亿元。 拼多多：员工人数为1.3万，2023年营收2476亿元，净利润600亿元。 格力：员工人数为7.2万，2023年营收1558亿元，净利润195亿元。 理想：员工人数为1.9万，2023年营收1238亿元，净利润118亿元。 荣耀：员工数量为1.3万，2023年营收约900亿，净利润约90亿。（第三方估计） 传音：员工数量为1.6万，2023年营收624亿元，净利润55亿元。 大疆：员工数量为1.5万，2023年营收500亿元，净利润80亿元。 蔚来：员工数量为2.7万，2023年营收556亿元，净利润-211亿元。 赛力斯：员工数量为1.7万，2023年营收约360亿元，净利润约-24亿元。 小鹏：员工数量为1.6万，2023年营收307亿元，净利润-104亿元。

苹果第二财季营收907.53亿美元 净利润同比下降2%

苹果第二财季营收907.53亿美元 净利润同比下降2% 苹果公司第二财季每股摊薄收益和营收均超出华尔街分析师预期，从而推动其盘后股价大幅上涨逾6%。苹果公司董事会批准将季度股息调高4%，将向公司的普通股股东派发每股0.25美元的现金股息，这笔股息将于2024年5月16日向截至2024年5月13日营业时间结束的在册股东发放。另外，苹果公司董事会还已经批准了又一项股票回购计划，未来将按此计划回购价值最多1100亿美元的普通股。根据股市研究机构Birinyi Associates提供的数据显示，这是苹果公司历史上规模最大的一项股票回购计划。详细业绩：在截至2024年3月30日的第二财季，苹果公司的净利润为236.36亿美元，与去年同期的241.60亿美元相比下降2%；每股摊薄收益为1.53美元，与去年同期的1.52美元相比略有增长。苹果公司第二财季用于计算每股收益的在外流通股票总量为15464709股，而去年同期为15847050股。苹果公司第二财季运营利润为279.00亿美元，与去年同期的283.18亿美元相比有所下降。苹果公司第二财季总净营收为907.53亿美元，与去年同期的948.36亿美元相比下降4%。其中，苹果公司第二财季来自于产品的净营收为668.86亿美元，与去年同期的739.29亿美元相比有所下降；来自于服务的净营收为238.67亿美元，与去年同期的209.07亿美元相比实现增长。苹果公司第二财季毛利润为422.71亿美元，与去年同期的419.76亿美元相比有所增长。苹果公司第二财季每股摊薄收益和营收均超出华尔街分析师预期。据雅虎财经频道提供的数据显示，27名分析师此前平均预计苹果公司第二财季每股收益将达1．5美元，25名分析师此前平均预计苹果公司第二财季营收将达900.1亿美元。按地区划分：苹果公司第二财季美洲部门营收为372.73亿美元，与去年同期的377.84亿美元相比有所下降；欧洲部门营收为243.12亿美元，与去年同期的239.45亿美元相比有所增长；大中华区营收为163.72亿美元，与去年同期的178.12亿美元相比下降8%；日本部门营收为62.62亿美元，与去年同期的71.76亿美元相比有所下降；亚太其他地区营收为67.23亿美元，与去年同期的81.19亿美元相比有所下降。按产品划分：苹果公司第二财季来自于iPhone的营收为459.63亿美元，与去年同期的513.34亿美元相比有所下降，未能达到分析师此前预期。据金融市场数据信息及基础设施提供商LSEG（原名为Refinitiv）提供的数据显示，分析师此前平均预期苹果公司第二财季iPhone营收将达460亿美元；来自于Mac的营收为74.51亿美元，与去年同期的71.68亿美元相比有所增长，这一表现超出分析师预期。据LSEG提供的数据显示，分析师此前平均预期苹果公司第二财季Mac营收将达68.6亿美元；来自于iPad的营收为55.59亿美元，与去年同期的66.70亿美元相比有所下降，未能达到分析师预期。据LSEG提供的数据显示，分析师此前平均预期苹果公司第二财季iPad营收将达59.1亿美元；来自于可穿戴设备、家居设备和配件的营收为79.13亿美元，与去年同期的87.57亿美元相比有所下降，未能达到分析师预期。据LSEG提供的数据显示，分析师此前平均预期苹果公司第二财季来自于可穿戴设备、家居设备和配件的营收将达80.8亿美元；来自于服务的营收为238.67亿美元，与去年同期的209.07亿美元相比实现增长，超出分析师预期。据LSEG提供的数据显示，分析师此前平均预期苹果公司第二财季服务营收将达232.7亿美元。苹果公司第二财季总销售成本为484.82亿美元，与去年同期的528.60亿美元相比有所下降。其中，产品销售成本为424.24亿美元，与去年同期的467.95亿美元相比有所下降；服务销售成本为60.58亿美元，与去年同期的60.65亿美元相比基本持平。苹果公司第二财季总运营支出为143.71亿美元，与去年同期的136.58亿美元相比有所上升。其中，研发支出为79.03亿美元，与去年同期的74.57亿美元相比有所上升；销售、总务和行政支出为64.68亿美元，与去年同期的62.01亿美元相比有所上升。资本回报计划：苹果公司董事会批准将季度股息调高4%，将向公司的普通股股东派发每股0.25美元的现金股息，这笔股息将于2024年5月16日向截至2024年5月13日营业时间结束的在册股东发放。另外，苹果公司董事会还已经批准了又一项股票回购计划，未来将按此计划回购价值最多1100亿美元的普通股。业绩展望：苹果公司在财报中并未提供正式的业绩展望，但该公司CEOTim Cook（Tim Cook）在接受媒体采访时表示，按百分比增幅计算，第三财季整体销售额预计将可实现“较低的个位数增长”。此外，在财报发布后召开的分析师电话会议上，苹果公司CFO卢卡·马埃斯特里（Luca Maestri）表示，按百分比增幅计算，该公司预计第三财季iPad销售将实现两位数的同比增长；同时还补充称，预计苹果公司的服务部门将继续以过去两个季度的速度实现增长。股价变动：当日，苹果公司股价在纳斯达克常规交易中上涨3.73美元，报收于173.03美元，涨幅为2.20%。在随后截至美国东部时间2日下午5点42分（北京时间3日凌晨5点42分）为止的盘后交易中，苹果公司股价再度大幅上涨11.17美元，至184.20美元，涨幅为6.45%。过去52周，苹果公司的最高价为199.62美元，最低价为164.08美元。 ... PC版： 手机版：

腾讯公布二季度财报 营收与净利润均不及预期

腾讯公布二季度财报 营收与净利润均不及预期 8月16日，腾讯控股发布截至6月30日的2023年第二季度财报。本季度营收为1492亿元人民币（205亿美元），同比增长11%，平均预期约为1520亿元人民币。净利润262亿元人民币，同比增长41%，预估为323亿元人民币。 财报显示，本季度广告、视频号、海外游戏合力拉动腾讯收入增长。其中，广告业务收入增长34%至250亿元；视频号收入超30亿元；国际市场游戏收入增长19%至127亿元。此外，第二季度微信及WeChat合并月活账户数13.27亿，同比增长2%。 腾讯业绩表现疲软，二季度营收和净利润均未达预期，主要股东Prosus NV和Naspers Ltd.股价闻声下跌约3%，也令互联网行业复苏能否实现期待已久的复苏蒙上阴影。2022年，腾讯和阿里巴巴等龙头企业2022年几乎没有增长。2023年初，腾讯第一季度营收实现两位数增长。 腾讯在报告中指出，将继续推动创新，包括通过生成式人工智能，正在以腾讯云模型即服务(MaaS)为合作伙伴提供模型库，同时也在打磨自研的专有基础模型。 截至8月16日收盘，腾讯控股港股股价报323.8港元，跌1.14%。 标签: #财报 #腾讯 频道: @GodlyNews1 投稿: @GodlyNewsBot