【MetaMask等至少10款浏览器插件钱包存在安全漏洞，部分钱包已修复漏洞】

【MetaMask等至少10款浏览器插件钱包存在安全漏洞，部分钱包已修复漏洞】 6月16日消息，包括 MetaMask 和 Phantom 在内的至少 10 款浏览器插件钱包由于 Javascript 语言中的某个问题导致可能存在暴露登录信息的可能性，该漏洞会使得助记词在内存中存储一段时间从而被攻击者利用。目前 MetaMask 及 Phantom 已修复了该漏洞。 MetaMask 表示，只有全部满足硬盘未加密、助记词被导入至不信任的设备或电脑被黑以及在导入时使用了「显示助记词」功能这三个条件才有被黑的可能性。Halborn 因披露该漏洞而获得了 5 万美元的奖金，并建议用户切换到新的钱包地址。Halborn 的联合创始人 Steve Walbroehl 表示，该漏洞已存在了很长时间，出于谨慎考虑最好更换钱包地址。

新发现的HTTP/2漏洞使服务器面临DoS攻击风险 单个TCP连接即可实现

新发现的HTTP/2漏洞使服务器面临DoS攻击风险 单个TCP连接即可实现 在thehackernews的报道中，安全研究员Bartek Nowotarski 于 1 月 25 日向卡内基梅隆大学计算机应急小组（CERT）协调中心报告了这一问题。该漏洞被称为"HTTP/2 CONTINUATION Flood"，它利用了配置不当的HTTP/2 实现，这些实现未能限制或净化请求数据流中的 CONTINUATION 帧。CONTINUATION 帧是一种用于延续报头块片段序列的方法，允许报头块在多个帧中分割。当服务器收到一个特定的 END_HEADERS 标志，表明没有其他 CONTINUATION 或其他帧时，先前分割的报头块就被视为已完成。如果 HTTP/2 实现不限制单个数据流中可发送的 CONTINUATION 帧的数量，就很容易受到攻击。如果攻击者开始向未设置 END_HEADERS 标志的易受攻击服务器发送 HTTP 请求，该请求将允许攻击者向该服务器持续发送 CONTINUATION 帧流，最终导致服务器内存不足而崩溃，并导致成功的拒绝服务 (DoS) 攻击。CERT 还列举了该漏洞的另一个变种，即使用 HPACK Huffman 编码的 CONTINUATION 帧造成 CPU 资源耗尽，同样导致 DoS 攻击成功。Nowotarski 指出，这意味着单台机器甚至单TCP连接都有可能破坏服务器的可用性，造成从服务崩溃到性能下降等各种后果。分布式拒绝服务（DDoS）攻击会创建大规模僵尸网络，通过纯粹的流量来压垮网络，而 DoS 攻击则不同，它可以通过向传输控制协议（TCP）连接发送大量请求来耗尽目标服务器的资源，从而利用单个设备制造虚假网络流量。与该新漏洞有关的几个常见漏洞和暴露 (CVE) 记录已经创建。这些记录包括：CVE-2024-2653 - amphp/httpCVE-2024-27316 - Apache HTTP Server: HTTP/2 DoS by memory exhaustion on endless continuation framesCVE-2024-24549 - Apache Tomcat: HTTP/2 header handling DoSCVE-2024-31309 - Resource exhaustion in Apache Traffic ServerCVE-2024-27919 - HTTP/2: memory exhaustion due to CONTINUATION frame floodCVE-2024-30255) - HTTP/2: CPU exhaustion due to CONTINUATION frame floodCVE-2023-45288 - HTTP/2 CONTINUATION flood in net/httpCVE-2024-28182 - Reading unbounded number of HTTP/2 CONTINUATION frames to cause excessive CPU usageCVE-2024-27983 - node::http2::Http2Session::~Http2Session() leads to HTTP/2 server crashCVE-2024-2758 - Tempesta FW rate limits are not enabled by default建议用户将受影响的软件升级到最新版本，以减轻潜在威胁。在没有修复程序的情况下，建议考虑暂时禁用服务器上的 HTTP/2。根据的一项调查，目前约有 35.5% 的网站使用 HTTP/2。 ... PC版： 手机版：

微软修复漏洞 旗下AI不能再生成名人假裸照

微软修复漏洞 旗下AI不能再生成名人假裸照 微软发言人证实了这一事件，并表示：“我们对此已展开调查，并正采取相应措施解决问题。我们的行为准则明确禁止使用我们的工具创建成人或未经同意的私密内容。任何违反我们政策的行为，尤其是反复尝试制作这类内容，都将导致用户无法继续使用我们的服务。我们有一支庞大的团队，致力于根据我们负责任的人工智能原则开发各种安全系统，包括内容过滤、操作监控和滥用检测等，以减少系统的滥用可能性，并为用户创造一个更安全的环境。”微软强调，一项正在进行的调查无法证实X上斯威夫特的假裸照是用Designer制作的，但该公司将继续加强其文本过滤提示，并解决滥用其服务的问题。上周五，微软首席执行官萨蒂亚·纳德拉（Satya Nadella）在接受采访时表示，“我们有责任”为人工智能工具增加更多“护栏”，以防止它们制作有害内容。上周末，X开始彻底屏蔽对“泰勒·斯威夫特”的搜索。纳德拉说：“这关乎全球社会在规范上的融合。我们可以做到这一点，尤其是在法律、执法部门和科技平台的共同努力下。我相信，我们可以管理的范围远远超过我们目前的认知。”经过404 Media等媒体测试以及4chan和Telegram上的消息显示，用户利用漏洞生成图像的操作已不再有效。在斯威夫特人工智能生成图片上周引发关注之前，Designer已经阻止用户生成带有“泰勒·斯威夫特裸体”等文字提示的图片，但Telegram和4chan上的用户发现，他们可以通过稍微拼错名人的名字，以及描述不使用任何性术语但会导致性暗示的图片来绕过这些保护。微软修复漏洞后，引发了网友热议。根据404 Media的报道，Telegram上的一名用户在频道中写道：“我认为微软的Designer已经被打补丁了。”另一位用户回应道：“好像它再也无法生成名人的照片了。即使是搜索克洛伊·莫瑞兹（Chloe Moretz），也只会生成普通的金发女孩。我尝试更换服务器和账号，但得到的结果都是一样的。”还有用户表示：“我觉得它现在已经完蛋了。Ariana,、Kylie Jenner,、Lisa、Zendaya这样的名人，现在都只展示出与她们长相或种族相似的普通女孩照片。”404 Media并未公布Telegram频道的名称，因为Telegram并未删除该频道，而且通常不会从其平台上删除太多有害内容。该频道拥有数万名成员，但404 Media并未公布特定用户的身份。分享Telegram频道的名称只会吸引更多人关注它，无益于为有害内容的目标提供任何追索权。尽管Telegram频道仍在分享人工智能生成的成人图片，其中一些似乎是用其他人工智能工具生成的，还有一些是从其他网站上提取的。虽然该频道的重点是利用微软的Designer这一免费且易于使用的工具，但有许多其他方法可以在网上制作这种有害的内容。例如，目前任何人都可以下载名人模型并在自己的电脑上本地运行，以生成有害内容。在4chan上，一些用户声称他们已经发现了必应和Designer的新漏洞。Telegram频道上的一位用户表示：“我坚信，如果这里被关闭了，我们会找到其他地方来制作人工智能内容。”（小小） ... PC版： 手机版：