QNAP 修补漏洞进度一拖再拖，研究人员强烈谴责 公开漏洞迫使其尽快修补

QNAP修补漏洞进度一拖再拖，研究人员强烈谴责公开漏洞迫使其尽快修补https://www.hkepc.com/22416https://www.theregister.com/2024/05/20/qnap_watchtowr/（英文）https://www.bleepingcomputer.com/news/security/qnap-qts-zero-day-in-share-feature-gets-public-rce-exploit/（英文）资安机构watchTowr17日发表声明，批评QNAP至今仍未修复1月向其报告的安全漏洞，修补速度极其缓慢，为了让QNAP正视问题，watchTowr决定公开漏洞迫其尽快解决问题。据了解，watchTowr研究QNAPNAS的作业系统，包括QTS、QuTSCloud和QTShero等共发现了15个严重漏洞，其中一个是2023年12月向QNAP公报告，其余漏洞则是1月初报告，但直至2024年5月17日，只有4个漏洞已经被修复，6个漏洞已被QNAP确认但未有修复，还有5个漏洞QNAP完全没有作出公布。———2023-02-01

【Polygon披露了使 90 亿个MATIC面临风险的修补漏洞】

【Polygon披露了使90亿个MATIC面临风险的修补漏洞】区块链网络周三表示，一名在12月初帮助Polygon避免了数十亿美元灾难的黑客赢得了220万美元的漏洞赏金。它报告了在12月3日持有超过90亿个MATIC代币的关键Polygon智能合约中的漏洞，根据管理Polygon漏洞赏金计划的加密安全初创公司Immunefi的说法，它的速度不足以保护所有合约的资金。12月4日，个别黑客窃取了801,601个MATIC代币（当时价值约140万美元）。Polygon基金会表示，它受到了打击。尽管如此，根据Polygon的事件时间表，修复，一个硬分叉在块#22156660之前在90%的网络验证器中存活，保护了以太坊扩展工具的大量资金。在周三之前，Polygon还没有公开讨论过硬分叉的原因。事实上，根据Discord日志，突然的硬分叉对网络产生了溢出效应，因为没有为转变做好准备的验证者被下线。

【ParaSpace：用户资产安全且没有NFT受损，目前正着手修补漏洞】

【ParaSpace：用户资产安全且没有NFT受损，目前正着手修补漏洞】2023年03月17日07点06分老不正经报道，ParaSpace在社交媒体上公告表示，团队已经与BlockSecTeam一起确定了ParaSpace协议早前发生的漏洞利用的原因，目前ParaSpace上的所有用户资金和资产都是安全的，没有NFT受到损害，协议的经济损失也很小。由于BlockSecTeam团队采取的迅速行动，及时挽救利用者试图从协议中提取的2909枚ETH。协议的总损失大约是50-150枚ETH损失，这是由于在利用过程中利用者在Token之间交换造成的滑点。ParaSpace将把这些资金偿还到协议中，确保没有资产丢失。

安局计算机科学家说：“修补漏洞只是一种虚假的安全感” ——

国安局计算机科学家说：“修补漏洞只是一种虚假的安全感”——46岁的戴夫·艾特尔（DaveAitel）是美国国家安全局的前计算机科学家，多年来经营着自己的安全商店Immunity，他说，这些年来，安全供应商和大型技术公司提出的补救措施使人们陷入了一种错误的安全感，而事实上所有的老问题仍然存在。Aitel的对手PhillipWylie，一位著名的进攻性安全专家和CyCognito的技术布道者，则认为打补丁并非完全无用，而是防御者武器库中的众多工具之一。该会议由Point3Security公司于4月8日和9日组织召开。Aitel于4月18日在Twitter上发布了这场辩论的。Aitel指出，如果网络上有易受攻击的设备，那么它们应该被移除，用其他设备代替，而不是不断打补丁。在他为Immunity工作期间（他在2019年将Immunity卖给了CyxteraTechnologies）——Aitel说，他的许多客户都是大型金融公司，他曾建议他们与软件供应商签订的任何合同也包含一个条款：如果任何软件被证明有过度的漏洞，他们可以退出合同。Aitel将补丁比作橙汁（美国人早餐中的必备），他说，多年来人们一直认为它是一个人早餐中最有用的部分；而最后，人们发现橙汁含有过多的糖分，只会使人发胖。他在提到微软和其他大的软件供应商时措辞很严厉，他说他们在实际减轻劣质软件所带来的问题方面做得很少。他还批评了PHP的许多安全性问题。Aitel对Linux的批评同样严厉，他指出“内核的最大贡献者是中国电信厂商华为”，他称该公司已被美国起诉，并问道：如果这么多补丁来自这样的公司，人们怎么能放心？Aitel呼吁进行漏洞管理，主张“政府是处理这一问题的最佳实体”。他的论点是，没有其他实体有足够的力量来反击大型软件供应商和安全行业的游说。不过，最终决定辩论胜负的观众投票站在了Wylie的一边，56%的观众支持他的立场。您可以自行判断。我们认为漏洞是政治问题，而不仅仅是技术问题。此外请记得Aitel的身份，并且，他对谷歌的吹捧有些奇怪。#security