Clash for Windows 更新至 0.19.10：

Clash for Windows 更新至 0.19.10： 此版本包含一些重要的安全更新，建议及时下载安装使用 0.19.9 以前版本 XSS 问题可以通过 URL 下载 Profile 引发，请勿使用来历不明 URL 下载配置文件（包括 URL Scheme 下载） 感谢发现问题的开发者

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞 Clash for Windows 的开发者确认了一个的远程代码执行漏洞，包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。 GitHub 用户 LDAx2012 说，当受攻击者订阅了一个恶意链接，订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖，cfw-setting.yaml 中 parsers 的 js代码将会被执行。 该漏洞还在修复中，普通用户应该避免使用不可靠来源的订阅。

重要： Clash for Windows存在远程代码执行漏洞，可能存在恶意代码执行风险及目录穿越问题

重要： Clash for Windows存在远程代码执行漏洞，可能存在恶意代码执行风险及目录穿越问题 影响版本：0.20.12 及以下切使用 CFW 用户［包括支持 rule-providers path 的第三方客户端］ 风险等级：一般［执行操作需要用户手动订阅完成，但可能存在恶意引导问题］ 处置建议：用户应当清楚自己的订阅文件内容，且是由可信来源获取，并已对此进行了审核， 本次漏洞为 Clash 对于订阅文件中的rule-providers 的 path 的不安全处理出现了目录穿越问题，同时导致 cfw-setting.yaml 会被覆盖，且 cfw-setting.yaml 中 parsers 的 js代码将会被执行 注：开发团队已经被告知该问题，且正在考虑如何着手修改。普通用户不应当订阅来自互联网上的不明订阅链接，其中很可能被插入恶意代码，特别是在较新版本后客户端支持在 parser 中执行 js 代码［对于配置文件进行预处理］

国安局计算机科学家说：“修补漏洞只是一种虚假的安全感”

国安局计算机科学家说：“修补漏洞只是一种虚假的安全感” 46岁的戴夫·艾特尔（Dave Aitel）是美国国家安全局的前计算机科学家，多年来经营着自己的安全商店 Immunity，他说，这些年来，安全供应商和大型技术公司提出的补救措施使人们陷入了一种错误的安全感，而事实上所有的老问题仍然存在。 Aitel 的对手 Phillip Wylie，一位著名的进攻性安全专家和 CyCognito 的技术布道者，则认为打补丁并非完全无用，而是防御者武器库中的众多工具之一。 该会议由 Point3 Security 公司于4月8日和9日组织召开。Aitel 于4月18日在Twitter上发布了这场辩论的 。 Aitel 指出，如果网络上有易受攻击的设备，那么它们应该被移除，用其他设备代替，而不是不断打补丁。 在他为 Immunity 工作期间（他在2019年将 Immunity 卖给了 Cyxtera Technologies） Aitel 说，他的许多客户都是大型金融公司，他曾建议他们与软件供应商签订的任何合同也包含一个条款：如果任何软件被证明有过度的漏洞，他们可以退出合同。 Aitel 将补丁比作橙汁（美国人早餐中的必备），他说，多年来人们一直认为它是一个人早餐中最有用的部分；而最后，人们发现橙汁含有过多的糖分，只会使人发胖。 他在提到微软和其他大的软件供应商时措辞很严厉，他说他们在实际减轻劣质软件所带来的问题方面做得很少。他还批评了PHP的许多安全性问题。 Aitel 对 Linux 的批评同样严厉，他指出 “内核的最大贡献者是中国电信厂商华为”，他称该公司已被美国起诉，并问道：如果这么多补丁来自这样的公司，人们怎么能放心？ Aitel 呼吁进行漏洞管理，主张 “政府是处理这一问题的最佳实体”。他的论点是，没有其他实体有足够的力量来反击大型软件供应商和安全行业的游说。 不过，最终决定辩论胜负的观众投票站在了 Wylie的 一边，56%的观众支持他的立场。 您可以自行判断。我们认为漏洞是政治问题，而不仅仅是技术问题。此外请记得 Aitel 的身份，并且，他对谷歌的吹捧有些奇怪。 #security

#网友投稿过去几天，  有关 Windows 版 Telegram 中涉嫌远程代码执行漏洞的谣言在 X 和黑客论坛上流传。虽然其

#网友投稿过去几天，  有关 Windows 版 Telegram 中涉嫌远程代码执行漏洞的谣言在 X 和黑客论坛上流传。虽然其中一些帖子声称这是一个零点击缺陷，但演示所谓的安全警告绕过和 RCE 漏洞的视频清楚地显示有人点击共享媒体来启动 Windows 计算器。Telegram 很快反驳了这些说法，称他们“无法确认此类漏洞的存在”，并且该视频很可能是一个骗局。 然而，第二天，XSS 黑客论坛上分享了一个概念验证漏洞，解释说 Windows 版 Telegram 源代码中的拼写错误可能会被利用来发送 Python.pyzw文件，在单击时绕过安全警告。这导致该文件自动由 Python 执行，而不会像其他可执行文件那样发出来自 Telegram 的警告，并且如果不是拼写错误的话，应该对此文件执行此操作。 POC将 Python 文件伪装成共享视频以及缩略图，可用于诱骗用户点击假视频来观看。在给 BleepingComputer 的一份声明中，Telegram 正确地质疑该错误是零点击缺陷，但确认他们修复了 Windows 版 Telegram 中的“问题”，以防止 Python 脚本在点击时自动启动。BleepingComputer 询问 Telegram 他们如何知道用户的 Windows 设备上安装了哪些软件，因为他们的隐私政策中没有提及此类数据。 Telegram Desktop 客户端会跟踪  与风险文件（例如可执行文件）相关的 文件扩展名列表。当有人在 Telegram 中发送其中一种文件类型，并且用户单击该文件时，Telegram 首先会显示以下安全警告，而不是在 Windows 中的关联程序中自动启动。Telegram 警告中写道：“此文件的扩展名为 .exe。它可能会损害您的计算机。您确定要运行它吗？安装 Windows 版 Python 后，它会将.pyzw文件扩展名与 Python 可执行文件关联起来，从而使 Python 在双击文件时自动执行脚本 .pyzw 扩展名适用于 Python zipapps，它们是 ZIP 存档中包含的独立 Python 程序。Telegram 开发人员意识到这些类型的可执行文件应被视为有风险，并将其添加到可执行文件扩展名列表中。不幸的是，当他们添加扩展名时，他们犯了一个拼写错误，将扩展名输入为“ pywz”，而不是正确拼写的“ pyzw”。因此，当这些文件通过 Telegram 发送并点击时，如果 Python 安装在 Windows 中，它们会自动由 Python 启动。 如果攻击者能够诱骗目标打开文件，这将有效地允许攻击者绕过安全警告并在目标的 Windows 设备上远程执行代码。为了伪装该文件，研究人员设计了使用 Telegram 机器人来发送具有“video/mp4”mime 类型的文件，从而使 Telegram 将文件显示为共享视频。如果用户单击视频来观看，脚本将自动通过 Windows 版 Python 启动。 该错误于 4 月 10 日向 Telegram 报告，他们通过更正“data_document_resolver.cpp”源代码文件中的扩展名拼写来修复该错误。但是，此修复似乎尚未生效，因为当您单击文件启动它时不会出现警告。 相反，Telegram 利用了服务器端修复程序，将 .untrusted 扩展名附加到 pyzw 文件，单击该扩展名后，Windows 将询问您希望使用什么程序来打开它们，而不是在 Python 中自动启动。Telegram 桌面应用程序的未来版本应包含安全警告消息，而不是附加“.untrusted”扩展名，从而为流程添加更多安全性。win系统飞机请使用最新版 广告赞助 中菲速递  菲律宾 信誉之最物流 中菲海运空运 布偶猫舍 种猫均为赛级布偶，纯散养家庭在菲猫舍   免费投稿/曝光/澄清  @FChengph 今日新闻频道 @cctvPH