Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞

Curl 将于10月11日修复一个严重程度为“HIGH”安全漏洞 10 月 11 日，curl 将推出新版本 8.4.0。该更新将修复一个严重程度为 HIGH 等级的安全漏洞。这不是什么普通的错误。 据维护人员称，这可能是他们长期以来见过的最严重的 curl 安全问题。 有关漏洞的具体信息在发布前仍处于保密状态，预计于 10 月 11 日 06:00 UTC 时间发布。 已知信息： CVE-2023-38545：严重性 HIGH（同时影响 libcurl 和 curl 工具） CVE-2023-38546：严重性 LOW（仅影响 libcurl，不影响工具） 详细信息：

Curl 正式发布新版本 8.4.0 ，修复 SOCKS5 堆溢出漏洞，请尽快更新。

Curl 正式发布新版本 8.4.0 ，修复 SOCKS5 堆溢出漏洞，请尽快更新。 Curl 项目的维护者在一周前就了漏洞提醒，表示将在 8.4.0 版本中修复这个严重的漏洞。据维护人员称，这可能是他们长期以来见过的最严重的 curl 安全问题，同时影响到 libcurl 库和 curl 工具。 根据 Curl 作者 Daniel Stenberg 在其个人博客中的介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞(heap buffer overflow)，该漏洞(CVE-2023-38545)会导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 目前 8.4.0 版本已正式发布，建议用户和开发者立即更新。 漏洞详情：

curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级

curl 8.4.0 正式发布，修复 SOCKS5 堆溢出漏洞，建议升级 curl 8.4.0 已正式，创始人 Daniel Stenberg（社区称号 bagder）已提前预告了该版本 修复高危安全漏洞，并称该漏洞可能是很长一段时间以来 curl 遇到的最严重漏洞，同时影响到 libcurl 库和 curl 工具。 根据介绍，这个高危漏洞是 SOCKS5 堆溢出漏洞 (heap buffer overflow)，该漏洞 (CVE-2023-38545) 导致 curl 在 SOCKS5 代理握手过程中溢出基于堆的缓冲区。 有开发者，该漏洞出现的场景是输入的域名太长，从而导致内存溢出。当然前提条件是使用了 SOCKS5 代理。 两种典型的攻击场景如下： 1、某些程序里内置 libcurl，而允许外部用户指定 socket5 代理以及输入超长的域名，则可以发起攻击 2、用户在使用 curl 或者 libcurl 时，使用了 socket5 代理，并且 http 请求到恶意服务器，并且恶意服务器返回了 http 30x 跳转，把用户访问目标指向一个超长域名从而导致溢出 详情查看： 来源：

微软更新Edge浏览器 增加内置网速测试工具与安全修复

微软更新Edge浏览器 增加内置网速测试工具与安全修复 Edge 的内置速度测试工具现在位于默认"工具"侧边栏应用程序的顶部，该侧边栏还包括其他方便的实用工具，如世界时钟、计算器、翻译器、单位转换器等。不过，点击"开始"会打开一个新的Microsoft Bing 标签，其中包含速度测试工具，而不是在侧边栏中运行。设置侧边栏的初衷是让用户可以在不切换当前标签页的情况下使用应用程序和工具，因此出现这种情况有点奇怪。以下是 124.0.2478.80 版的更新日志：功能更新侧边栏工具应用程序 - SpeedTest。在Microsoft Edge 侧边栏的工具应用程序中默认添加 SpeedTest 答案。有关详细信息，请参阅管理Microsoft Edge 中的侧边栏。Microsoft 发布了最新的Microsoft Edge 稳定通道（版本 124.0.2478.80），其中包含 Chromium 项目的最新安全更新。在安全更新方面，124.0.2478.80 版本修补了两个严重的 Chromium 安全漏洞：CVE-2024-4331：在 124.0.6367.118 之前的 Google Chrome 浏览器中，Picture In Picture 中的空闲后使用允许远程攻击者通过制作的 HTML 页面利用堆破坏。(Chromium 安全严重性：高）。CVE-2024-4368：在 124.0.6367.118 之前的 Google Chrome 浏览器中，Dawn 中的 Free 后使用允许远程攻击者通过制作的 HTML 页面利用堆破坏。(Chromium 安全严重性：高）。Microsoft Edge 会在后台自动更新。不过，您可以访问 edge://settings/help 强制浏览器获取最新更新。另有消息称，微软最近宣布了Edge 浏览器的新内存消耗控制功能。它们现在可以在微软 Edge 125 Beta 中使用，该版本已于本周发布进行公开测试。这些控制功能允许你在玩游戏或执行其他任务时指定 Edge 可以使用多少内存。 ... PC版： 手机版：

【拜登政府将监管比特币作为国家安全问题】

【拜登政府将监管比特币作为国家安全问题】 据多个报道，白宫希望制定一套有凝聚力的政策来监管比特币和加密货币，因为目前立法和执法都分散在各个部门和机构。该命令将在国家安全工作的框架下进行，因为政府试图分析加密货币并采用一个有凝聚力的监管框架，该框架将涵盖比特币、加密货币、稳定币和NFTs。一位熟悉白宫计划的人士表示，这旨在从整体上审视数字资产，并制定一套政策，使政府在这一领域试图做的事情保持一致。 由于数字资产不会留在一个国家，因此有必要与其他国家同步合作。 据报道，监管工作将涉及国务院、财政部、国家经济委员会和经济顾问委员会，以及白宫国家安全委员会，因为根据《巴伦周刊》的报道，政府衡量加密货币 “对国家安全有经济影响"。 此前金色财经报道，拜登政府最早将于 2 月发布关于加密的行政命令。

拜登政府将监管比特币作为国家安全问题

拜登政府将监管比特币作为国家安全问题 据多个报道，白宫希望制定一套有凝聚力的政策来监管比特币和加密货币，因为目前立法和执法都分散在各个部门和机构。该命令将在国家安全工作的框架下进行，因为政府试图分析加密货币并采用一个有凝聚力的监管框架，该框架将涵盖比特币、加密货币、稳定币和 NFTs。 一位熟悉白宫计划的人士表示，这旨在从整体上审视数字资产，并制定一套政策，使政府在这一领域试图做的事情保持一致。 由于数字资产不会留在一个国家，因此有必要与其他国家同步合作。 据报道，监管工作将涉及国务院、财政部、国家经济委员会和经济顾问委员会，以及白宫国家安全委员会，因为根据《巴伦周刊》的报道，政府衡量加密货币 “对国家安全有经济影响 "。 此前金色财经报道，拜登政府最早将于 2 月发布关于加密的行政命令。 BitCoinMagazine