Mozilla将为Firefox添加垂直标签、配置文件管理和本地 AI

Mozilla将为Firefox添加垂直标签、配置文件管理和本地 AI 根据 Mozilla 社区经理最近在Mozilla Connect平台上发表的一篇文章，这家营利性公司（非营利性 Mozilla 基金会的一部分）将大幅提高其浏览器的生产力、性能和隐私保护。Firefox浏览器将很快获得对标签分组、垂直标签和改进的侧边栏的本地支持，以更好地处理标签组织。此外，还将推出新的配置文件管理系统，为用户提供更简便的方法来分离和管理学校、工作和个人浏览数据。即将推出的Firefox浏览器版本还将为新标签页壁纸带来新的自定义选项，允许用户从照片、颜色和抽象图像中进行选择，以增强标签页的打开体验。此外，Mozilla 还将使隐私设置更加直观，精简的菜单旨在减少视觉混乱并优先考虑用户的主要操作。这家开源公司还在努力使Firefox浏览器更快、更流畅，加快页面加载和启动时间。Mozilla 表示，根据 Speedometer 3 基准测试，该浏览器的响应速度已经提高了 20%。隐私仍然是重中之重，Firefox浏览器将继续通过本地管理翻译和 PDF 编辑等功能保护用户的个人信息。每个处理用户数据的过程似乎都将在本地进行，即使涉及人工智能算法。当然，Mozilla 对采用人工智能非常感兴趣，就像目前所有的科技企业一样，但该公司的目标是利用人工智能"解决实际问题"，而不要求用户将其信息发送到远程服务器。Mozilla 宣布下一季度将在Firefox浏览器中推出一项人工智能功能：为 PDF 文档中的图像生成替代文本的新选项。该公司表示，这项功能将为视障用户和有学习障碍的人提供更好的浏览体验，它将完全离线工作，不涉及远程处理。Firefox用户近期似乎普遍对 Mozilla 公布的开发成果感到满意，尤其是与标签页和配置文件相关的新生产力改进。不过，该公司仍需解决用户长期以来要求的改进，如对 HDR 内容的原生支持、在移动设备上更好的Firefox体验，以及检测占用资源的扩展的有效诊断工具。 ... PC版： 手机版：

重要/漏洞：腾讯 QQ/TIM 存在本地提权漏洞，攻击者可通过 QQProtect 进程无感提升权限

重要/漏洞：腾讯 QQ/TIM 存在本地提权漏洞，攻击者可通过 QQProtect 进程无感提升权限 漏洞编号：CVE-2023-34312 重要等级：重要 影响范围：QQ 9.7.8.29039 9.7.8.29039TIM 3.4.5.22071 3.4.7.22084 原理：腾讯QQ子组件 QQProtect 和 QQProtectEngine.dll 存在任意地址写入安全漏洞，由于 QQProtect.exe 没有ASLR（地址空间布局随机化）保护攻击者可以结合两个漏洞在 QQProtect.exe 进程中加载恶意的 DLL，并获取 NT Authority\SYSTEM shell 且攻击过程几乎无感 组件目录：ProgramFiles(x86)%\Common Files\Tencent\QQProtect\bin 处置建议：建议更新程序到最新版本，阻止该组件将会影响程序通信问题 补充："Write-What-Where" (WWW) 常用于描述某些类型的漏洞攻击，特别是在操作系统的内存管理中。"Write-What-Where"的字面意思就是“写入什么（Write What），写入何处（Write Where）”。 在一个典型的"Write-What-Where"漏洞中，攻击者可以控制两个关键的因素： 写入内容（What）：即攻击者可以控制要写入内存的具体数据。 写入位置（Where）：即攻击者可以控制数据写入的内存地址。 攻击者利用这种漏洞，可以修改程序的运行方式，或者破坏系统的内存，从而造成严重的安全问题。这可能导致各种严重的后果，如任意代码执行，权限升级等。 相关资料：

重要: 闲蛋面板疑似出现重大漏洞，攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息

重要: 闲蛋面板疑似出现重大漏洞，攻击者可获取管理员账号进行资金提现及导出服务端全部配置和相关服务器详细信息 漏洞原理: 登录后闲蛋面板直接返回了相关用户的登录信息，包括邮箱及明文密码，普通用户访问特定链接通过查阅 userType:0 即可获取管理员账号及加密密码，登录后与管理员权限相同，可执行全部操作，包括进行支付提现和导出配置数据 注意:管理员密码仅用 MD5 转换一遍，安全级别低，攻击者碰撞成本较低 处置建议: 无，建议关机到发布修复补丁 利用难度: 一般，无特殊环境要求 使用情况: 已出现在野利用 勘误补充: MD5 不是加密算法,因为它不涉及密钥的使用,也不会对原始数据进行加密处理,而是将数据压缩成固定长度的摘要值,常用于数据完整性校验和数字签名等场景。

密码管理工具 KeePass 已推出 2.53.1 版本，修复了允许攻击者导出数据库明文的漏洞

密码管理工具 KeePass 已推出 2.53.1 版本，修复了允许攻击者导出数据库明文的漏洞 KeePass 2.53.1 版本中去除了“策略”选项卡中，“导出不重复输入密码”的选项。目前，任何导出操作都必须再次输入当前密码库的主密码来确认。 通过篡改用户硬盘上的 KeePass XML 配置文件，并注入恶意触发器的攻击手段已不再有效。