GitHub私有漏洞报告正式开放上线

GitHub私有漏洞报告正式开放上线GitHub于2022年推出的私有漏洞报告机制(PrivateVulnerabilityReporting)现已向所有项目开放，开源项目维护者可以开启此功能，以允许安全研究人员提交漏洞。此功能可以帮助项目维护者更快地获取漏洞报告，并在保证安全性的前提下更快地修复漏洞。此前，该功能已经经过了一段时间的预览期，现在已经正式上线，成为了开源社区的一个有益补充。频道：@TestFlightCN

GitHub 将在12月全面上线Copilot Chat 功能，教育用户及开源项目维护者可免费使用

GitHub将在12月全面上线CopilotChat功能，教育用户及开源项目维护者可免费使用https://github.blog/2023-11-08-universe-2023-copilot-transforms-github-into-the-ai-powered-developer-platform/标签:#Copilot#GitHub频道:@GodlyNews1投稿:@GodlyNewsBot

加拿大研究人员：“冬奥通”App存在安全漏洞

加拿大研究人员：“冬奥通”App存在安全漏洞加拿大研究人员周二（18日）发布的一份报告称，下个月北京冬奥会所有注册涉奥人员必须使用的一款智能手机应用程序(App)存在安全缺陷，容易受到隐私泄露和黑客攻击。据路透社报道，“冬奥通”App是由北京奥组委建立，注册人员须下载“冬奥通”应用程序，登录冬奥健康监测系统，监测并报告健康状况。“冬奥通”也提供各种信息服务。多伦多CitizenLab项目的研究人员说，冬奥通未能对个人数据的传输进行适当加密，容易受到黑客攻击。他们还发现，冬奥通的隐私政策没有说明它将与哪些机构分享用户的信息。研究人员在该应用程序的iOS版本中创建一个账户后发现了这些缺陷。他们无法在安卓版中建立账户，冬奥通的两个版本都存在安全漏洞。CitizenLab称已于12月3日向北京冬奥组委通报了其安全关切，但没有收到任何回应。北京冬奥组委未立即回应评论请求。发布：2022年1月19日8:49AM

微软安全研究人员发现macOS漏洞 可让恶意软件绕过安全检查

微软安全研究人员发现macOS漏洞可让恶意软件绕过安全检查Gatekeeper是一个macOS安全功能，它自动检查所有从互联网上下载的应用程序是否经过公证和开发者签名（经苹果公司批准），在启动前要求用户确认，或发出应用程序不可信的警告。这是通过检查一个名为com.apple.quarantine的扩展属性来实现的，该属性由网络浏览器分配给所有下载文件，类似于Windows中的MarkoftheWeb。该缺陷允许特别制作的载荷滥用逻辑问题，设置限制性的访问控制列表（ACL）权限，阻止网络浏览器和互联网下载器为下载的ZIP文件存档的有效载荷设置com.apple.quarantine属性。结果是存档的恶意载荷中包含的恶意应用程序在目标系统上启动，而不是被Gatekeeper阻挡，使攻击者能够下载和部署恶意软件。微软周一表示，"苹果在macOSVentura中引入的锁定模式，是针对可能被复杂网络攻击盯上的高风险用户的可选保护功能，旨在阻止零点击远程代码执行漏洞，因此不能防御Achilles"。微软安全威胁情报团队补充说："无论他们的锁定模式状态如何，终端用户都应该应用苹果发布的已修复版本"。这只是过去几年发现的多个Gatekeeper旁路之一，其中许多被攻击者在外部滥用，以规避macOS安全机制，如Gatekeeper、文件隔离和系统完整性保护（SIP）在完全打过补丁的Mac上。例如，BarOr在2021年报告了一个被称为Shrootless的安全漏洞，可以让威胁者绕过系统完整性保护（SIP），在被攻击的Mac上进行任意操作，将权限提升到root，甚至在脆弱的设备上安装rootkit。该研究人员还发现了powerdir，这是一个允许攻击者绕过透明、同意和控制（TCC）技术来访问用户受保护数据的漏洞。他还发布了一个macOS漏洞（CVE-2022-26706）的利用代码，可以帮助攻击者绕过沙盒限制，在系统上运行代码。最后但并非最不重要的是，苹果在2021年4月修复了一个零日macOS漏洞，使臭名昭著的Shlayer恶意软件背后的威胁者能够规避苹果的文件隔离、Gatekeeper和证书安全检查，并在受感染的Mac上下载更多的恶意软件。Shlayer的创造者还设法让他们的有效载荷通过苹果的自动证书程序，并使用多年的技术来提升权限和禁用macOS的Gatekeeper，以运行未签署的载荷。了解更多：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-42821...PC版：https://www.cnbeta.com.tw/articles/soft/1335733.htm手机版：https://m.cnbeta.com.tw/view/1335733.htm

研究人员为智能家居枢纽中存在的安全漏洞敲响警钟

研究人员为智能家居枢纽中存在的安全漏洞敲响警钟副教授KyuLee解释说，该团队"能够使用机器学习技术来弄清许多活动，甚至不需要解密信息"。更令人担忧的是，ChatterHub可以被用来绕过智能锁等设备。该研究表明，如果研究人员想解锁某些类型的智能锁，他们不必向这些锁发送正确的加密代码。相反，他们可以用信息包不断轰击一些锁，直到它们发生故障，相当于可以"阻止房主锁门"。犯罪分子还可以利用这种技术使设备的电池耗尽，导致其关机和解锁。拥有ChatterHub应用程序的不良行为者甚至不需要靠近你的家就能将其作为目标。从佐治亚大学提供的信息来看，使用该应用程序进行恶意攻击的人似乎也不需要在家里做很多研究。潜在的入侵者不需要知道他们正在迭代的智能集线器的类型，也不需要知道你有哪些其他设备或你的智能家居设置的布局。智能家居攻击会让你暴露在什么地方？智能家居攻击到底会让你暴露多少，完全取决于你的智能家居设置。如果你除了几个通过应用程序控制的智能灯泡外没有其他东西，那么黑客真正能做的也只能是破坏你的照明。同样，一台电视和一个智能音箱可能不会造成很多问题，除了网络犯罪分子会发现你现在正在看的Netflix剧集。真正的问题发生在智能家居功能上，这些功能的存在是为了让你的家更安全，但实际上可能会产生相反的效果。摄像机和婴儿监视器是用来看和听的，那么有权限的黑客可以用它们来监视你的家，收集信息，并计算出你是否在房子里。如果你的智能家居也安装了智能锁，后果可能更加严重。从理论上讲，一个能够进入你的智能家居的黑客可以解开任何装有智能锁的门。当然需要值得指出的是，传统的锁也不是那么安全，正如LockPickingLawyer所证明的。地球上有能力撬开插销和滚轴锁的人可能比有能力入侵智能家居的人多。此外，犯罪分子可以在几秒钟内使用像石头一样简单的工具攻破大多数窗户。智能锁确实有另一个因素。如果黑客不能控制你的智能设备，但可以拦截它们之间的信息，他们可以利用这些信息来确定一个设备是否处于活动状态。这可以用来查看灯是否打开或门是否解锁，并给他们一个机会进入你的家。佐治亚大学副教授KyuLee如何保持你的智能家居安全首先，你应该明白，这是一项大学研究，由一个比你的普通罪犯拥有更多资源的组织进行。据统计，大多数人都不值得付出如此大的努力。这可能会随着人工智能的普及而改变，像量子计算这样的东西对所有数字事物都有可怕的安全影响，但就目前的情况来看，拥有智能家居设备得你更可能是安全的。正如研究人员在研究中所说，ChatterHub强调的问题的解决方案将不得不直接来自智能设备的开发者。随着技术的发展，开发者也将负责抵御其他新出现的威胁。然而，你仍然可以做一些事情来确保你的智能家居尽可能的安全。由于你的智能家居通过你的Wi-Fi网络运行，这是一个理想的开始。确保你的路由器有一个强大的密码，并考虑为你的智能家居使用你的路由器的访客网络，如果它有一个。这里的好处是，如果有人进入访客网络，他们将无法访问路由器的任何其他设置。另一个建议是将你的智能家居限制在你真正需要的设备上。一个较小的设备网络意味着更少的事情会出错。最后，确保你的智能设备是最新的。开发人员通过固件更新来修补错误和漏洞。一些设备如亚马逊Echo会自动下载和应用更新，而其他设备可能需要你通过各自的应用程序安装更新。检查所有关键设备的更新，如智能锁和摄像头，作为你每周家庭工作的一部分。这足以确保你的智能家居尽可能的安全，并确保开发人员对新出现的威胁的反应尽快实施。...PC版：https://www.cnbeta.com.tw/articles/soft/1332937.htm手机版：https://m.cnbeta.com.tw/view/1332937.htm

【Samuel Dobson辞去比特币核心维护者的职务】

【SamuelDobson辞去比特币核心维护者的职务】比特币核心开发者SamuelDobson（又名“meshcollider”）周四晚上通过一系列推文宣布，他将在任职三年后辞去比特币核心维护者的职务，因为他“无法再投入所需的时间，因为其博士学习即将进入尾声。”据悉，作为比特币核心钱包的维护者，Dobson可以直接访问GitHub上的比特币代码，有权批准更改并改进比特币软件，他还负责确保协议的安全性。