QNAP 修补漏洞进度一拖再拖，研究人员强烈谴责 公开漏洞迫使其尽快修补

QNAP修补漏洞进度一拖再拖，研究人员强烈谴责公开漏洞迫使其尽快修补https://www.hkepc.com/22416https://www.theregister.com/2024/05/20/qnap_watchtowr/（英文）https://www.bleepingcomputer.com/news/security/qnap-qts-zero-day-in-share-feature-gets-public-rce-exploit/（英文）资安机构watchTowr17日发表声明，批评QNAP至今仍未修复1月向其报告的安全漏洞，修补速度极其缓慢，为了让QNAP正视问题，watchTowr决定公开漏洞迫其尽快解决问题。据了解，watchTowr研究QNAPNAS的作业系统，包括QTS、QuTSCloud和QTShero等共发现了15个严重漏洞，其中一个是2023年12月向QNAP公报告，其余漏洞则是1月初报告，但直至2024年5月17日，只有4个漏洞已经被修复，6个漏洞已被QNAP确认但未有修复，还有5个漏洞QNAP完全没有作出公布。———2023-02-01

【Polygon披露了使 90 亿个MATIC面临风险的修补漏洞】

【Polygon披露了使90亿个MATIC面临风险的修补漏洞】区块链网络周三表示，一名在12月初帮助Polygon避免了数十亿美元灾难的黑客赢得了220万美元的漏洞赏金。它报告了在12月3日持有超过90亿个MATIC代币的关键Polygon智能合约中的漏洞，根据管理Polygon漏洞赏金计划的加密安全初创公司Immunefi的说法，它的速度不足以保护所有合约的资金。12月4日，个别黑客窃取了801,601个MATIC代币（当时价值约140万美元）。Polygon基金会表示，它受到了打击。尽管如此，根据Polygon的事件时间表，修复，一个硬分叉在块#22156660之前在90%的网络验证器中存活，保护了以太坊扩展工具的大量资金。在周三之前，Polygon还没有公开讨论过硬分叉的原因。事实上，根据Discord日志，突然的硬分叉对网络产生了溢出效应，因为没有为转变做好准备的验证者被下线。

【ParaSpace：用户资产安全且没有NFT受损，目前正着手修补漏洞】

【ParaSpace：用户资产安全且没有NFT受损，目前正着手修补漏洞】2023年03月17日07点06分老不正经报道，ParaSpace在社交媒体上公告表示，团队已经与BlockSecTeam一起确定了ParaSpace协议早前发生的漏洞利用的原因，目前ParaSpace上的所有用户资金和资产都是安全的，没有NFT受到损害，协议的经济损失也很小。由于BlockSecTeam团队采取的迅速行动，及时挽救利用者试图从协议中提取的2909枚ETH。协议的总损失大约是50-150枚ETH损失，这是由于在利用过程中利用者在Token之间交换造成的滑点。ParaSpace将把这些资金偿还到协议中，确保没有资产丢失。

安局计算机科学家说：“修补漏洞只是一种虚假的安全感” ——

国安局计算机科学家说：“修补漏洞只是一种虚假的安全感”——46岁的戴夫·艾特尔（DaveAitel）是美国国家安全局的前计算机科学家，多年来经营着自己的安全商店Immunity，他说，这些年来，安全供应商和大型技术公司提出的补救措施使人们陷入了一种错误的安全感，而事实上所有的老问题仍然存在。Aitel的对手PhillipWylie，一位著名的进攻性安全专家和CyCognito的技术布道者，则认为打补丁并非完全无用，而是防御者武器库中的众多工具之一。该会议由Point3Security公司于4月8日和9日组织召开。Aitel于4月18日在Twitter上发布了这场辩论的。Aitel指出，如果网络上有易受攻击的设备，那么它们应该被移除，用其他设备代替，而不是不断打补丁。在他为Immunity工作期间（他在2019年将Immunity卖给了CyxteraTechnologies）——Aitel说，他的许多客户都是大型金融公司，他曾建议他们与软件供应商签订的任何合同也包含一个条款：如果任何软件被证明有过度的漏洞，他们可以退出合同。Aitel将补丁比作橙汁（美国人早餐中的必备），他说，多年来人们一直认为它是一个人早餐中最有用的部分；而最后，人们发现橙汁含有过多的糖分，只会使人发胖。他在提到微软和其他大的软件供应商时措辞很严厉，他说他们在实际减轻劣质软件所带来的问题方面做得很少。他还批评了PHP的许多安全性问题。Aitel对Linux的批评同样严厉，他指出“内核的最大贡献者是中国电信厂商华为”，他称该公司已被美国起诉，并问道：如果这么多补丁来自这样的公司，人们怎么能放心？Aitel呼吁进行漏洞管理，主张“政府是处理这一问题的最佳实体”。他的论点是，没有其他实体有足够的力量来反击大型软件供应商和安全行业的游说。不过，最终决定辩论胜负的观众投票站在了Wylie的一边，56%的观众支持他的立场。您可以自行判断。我们认为漏洞是政治问题，而不仅仅是技术问题。此外请记得Aitel的身份，并且，他对谷歌的吹捧有些奇怪。#security

当局倡优化环评程序　须环评报告规模下限改为50公顷

当局倡优化环评程序须环评报告规模下限改为50公顷环境及生态局就优化《环境影响评估条例》程序提出4项改善措施，包括建立中央环境数据库，更新环评条例内指定工程项目清单，更新技术评估要求，以及善用直接申请环境许可证途径。环境保护署助理署长曾世荣在本台节目《千禧年代》表示，中央数据库会整合过去针对大型基建所做调查的资料，作为环评参考，政府希望透过这项优化程序措施，减省约一半环评所需时间，一般项目环境评估目标减至18个月内完成，较大型及复杂的项目就在24个月内完成环评。另外，环评条例附表3内列明须有环评报告的项目，由发展规模下限为20公顷，改为50公顷，并剔除15万居住人口的下限。曾世荣说，检视过去25年附表3的项目，主要涉及房屋发展配套，环评结论不多建议要有特别环境改善措施，而附表2涉及基建仍有环评及环境许可证要求，相信不会出现「走漏眼」。长春社公共事务经理吴希文在同一节目认为，政府的改善建议，大多为了加快发展审批而作出修例，对加强环评把关不多著墨，担心建议获通过后，环评条例能否维持基本把关。他又指，在政府建议下，面积32公顷的粉岭高球场日后毋须再做环评报告，而高球场发展正正有很多环评争议，如不透过环评制度列出有关争议，可能会出现「走漏眼」，甚至放生了一些本身对环境有重大影响的发展项目。2022-12-0710:30:39