[图]微软强调Edge网址拼写错误保护是实用安全功能

[图]微软强调Edge网址拼写错误保护是实用安全功能在我们日常上网过程中，我们多少都会遇到网址拼写错误的情况，而网络犯罪分子则可能通过这种拼写错误来欺骗用户。通过和正规网址类似的URL，黑客可以执行网络钓鱼、恶意软件传播等其他诈骗方式，因此微软在Edge浏览器中引入了拼写错误保护，当用户浏览某些有记录的伪装网站的时候就会发出提醒。PC版：https://www.cnbeta.com/articles/soft/1328223.htm手机版：https://m.cnbeta.com/view/1328223.htm

iOS 和 Android 上的 Chrome 现在可以检测 URL 拼写错误

iOS和Android上的Chrome现在可以检测URL拼写错误谷歌在周二的博客文章中，iOS和Android设备上的谷歌Chrome浏览器将查找URL中可能存在的拼写错误，并为你提供更正建议。今年早些时候，谷歌在电脑版Chrome上发布了同样的功能，现在承诺为移动版Chrome提供这一新的辅助功能。谷歌表示，URL拼写错误检测器将帮助有阅读障碍、语言学习障碍或任何打错字的人。除了URL拼写错误助手之外，Google还在Google地图中发布了其他几个以无障碍为中心的功能。例如，适合轮椅通行的交通导航，除此之外你可以在iOS和Android上找到设有无障碍入口、无障碍卫生间、停车场和座位的商家。还可以轻松查找并支持残疾人自营企业。——

PyPI（Python 软件包索引）收到美国司法部传票

PyPI（Python软件包索引）收到美国司法部传票Python软件基金会（PSF）的基础设施总监EeDurbin在PyPI官方博客中透露：2023年3月和4月，PSF共收到了三份PyPI用户数据传票（由美国司法部发出），请求了与五个PyPI用户相关的数据。PSF在咨询律师后按要求提供了相关数据。*推测该事件与此前不无关系。投稿：@ZaiHuaBot频道：@TestFlightCN

印度学生因拼写错误 遭教师打死

印度学生因拼写错误遭教师打死（早报讯）印度一名低种姓15岁少年尼基尔·多尔（NikhilDohre），因拼写错误被老师殴打致死。印度警官辛格星期二（9月27日）说，当地警方正在寻找这名在逃教师。这起事故日前发生在印度北方邦奥赖亚县（Auraiya）一所私立学校，多尔在一次考试中，拼错“社会”一词，被高中老师用棍棒打至昏迷，送院救治后于星期一（26日）不治身亡。多尔的家人已向警方报案，法医正在验尸。酿成悲剧的教师已逃跑，目前下落不明。多尔的叔叔说：“一开始，我的侄子被老师粗暴地殴打，之后又因为我们是达利特人而受到虐待……那个老师来自种姓制度的上层阶级，他打死了尼基尔，当我们要求金钱赔偿时，他还以恶言辱骂下层种姓。”多尔死亡的消息传开后，数百名抗议者走上街头，要求当局在多尔火化前，逮捕涉事教师。抗议活动演变成暴力冲突，示威者向警方投掷石头，烧毁一辆警车。当局最终武力镇压并逮捕了10多名抗议者。多尔是达利特（Dalit）人，是印度种姓制度中的最低层，被视为秽不可触的贱民，几个世纪以来一直受到歧视。发布：2022年9月27日5:06PM

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时PyPI中出现恶意软件已经是个超级平常的事情，这些恶意软件一方面针对开发者进行供应链攻击，另一方面也会窃取敏感信息包括加密钱包的数据等。尽管PyPI官方并未透露为什么暂停注册和提交软件，不过事后安全公司Checkmarx称，在关闭注册前几个小时，PyPI遭到了黑客攻击。黑客当然不是DDoS，而是利用一种被称为拼写错误的技术批量提交大量恶意软件，有些开发者安装软件时可能会拼错单词，黑客只要批量提交足够多的恶意软件包，那肯定会有些命中开发者。研究人员分析后发现，黑客提交的恶意软件包具有以下目的：窃取加密钱包、浏览器中的敏感数据，包括Cookie、扩展数据等和各种凭证等，这只是第一阶段攻击，黑客还是用有效的恶意负载在重启系统后依然实现持久化。这些恶意软件可能都是自动化创建的，它们模仿流行的软件名称，PyPI官方如果靠手动封禁账号那可能是个巨大的工程，迫于无奈只能直接暂停新用户注册以缓解问题。此次PyPI暂停新用户注册超过10个小时，之后恢复了正常，不过接下来黑客还会继续提交更多恶意软件，所以开发者们下载安装软件时一定要谨慎。...PC版：https://www.cnbeta.com.tw/articles/soft/1425765.htm手机版：https://m.cnbeta.com.tw/view/1425765.htm

一名志愿者如何阻止恶意后门暴露全球Linux系统

一名志愿者如何阻止恶意后门暴露全球Linux系统正如ArsTechnica在其详尽的回顾中所指出的，罪犯一直在公开进行该项目，潜伏时间已两年有余。这个被植入Linux远程登录的漏洞只暴露了自己的一个密钥，因此可以躲过公共计算机的扫描。正如本-汤普森（BenThompson）在《战略》（Stratechery）杂志上写道："世界上绝大多数电脑都存在漏洞，却无人知晓"。XZ后门被发现的故事始于3月29日凌晨旧金山的微软开发人员安德烈斯-弗罗因德在Mastodon上发帖并向OpenWall的安全邮件列表发送了一封电子邮件，标题为"上游xz/liblzma中的后门导致ssh服务器被入侵"Freund是PostgreSQL（一种基于Linux的数据库）的"维护者"，他在过去几周的测试中发现了一些奇怪的现象。XZ压缩库的一部分liblzma的加密登录占用了大量CPU。弗罗因德在Mastodon上写道，他使用的所有性能工具都没有发现任何问题。这立刻让他产生了怀疑，他想起了几周前一位Postgres用户对Valgrind（Linux检查内存错误的程序）的"奇怪抱怨"。经过一番调查，Freund最终发现了问题所在。弗罗因德在邮件中指出："上游xz代码库和xz压缩包都被做了后门。恶意代码存在于5.6.0和5.6.1版本的xz工具和库中。"不久之后，企业级开源软件公司红帽（RedHat）向FedoraRawhide和FedoraLinux40的用户发出了紧急安全警报。最终，该公司得出结论，FedoraLinux40测试版包含两个受影响的xz库版本。FedoraRawhide版本很可能也收到了5.6.0或5.6.1版本。请立即停止在工作或个人活动中使用任何FedoraRawhide实例。FedoraRawhide将很快恢复到xz-5.4.x，一旦恢复完成，FedoraRawhide实例就可以安全地重新部署了。尽管免费Linux发行版Debian的一个测试版包含了被破解的软件包，但其安全团队还是迅速采取了行动，将其恢复了原样。"Debian的SalvatoreBonaccorso在周五晚上向用户发出的安全警报中写道："目前还没有Debian稳定版本受到影响。弗罗因德后来确认，提交恶意代码的人是两名主要xzUtils开发人员之一，即JiaT75或JiaTan。"鉴于几周来的活动，提交者要么是直接参与其中，要么是他们的系统受到了相当严重的破坏。"弗罗因德在分析中写道："不幸的是，后者看起来不太可能，因为他们在各种列表上交流了上述'修复'方法。"JiaT75是一个耳熟能详的名字：他们曾与.xz文件格式的原始开发者LasseCollin并肩工作过一段时间。程序员拉斯-考克斯（RussCox）在他的事件时间轴页面中指出，2021年10月，JiaT75开始向XZ邮件列表发送看似合法的补丁。几个月后，该计划的其他部分开始展开，另外两个身份，JigarKumar和DennisEns，开始通过电子邮件向科林抱怨漏洞和项目发展缓慢。然而，正如EvanBoehs等人在报告中指出的，"Kumar"和"Ens"从未在XZ社区之外出现过，这让调查人员相信这两个人都是假冒的，他们的存在只是为了帮助贾炭就位，以交付被破解的代码。JigarKumar"向XZUtils开发商施压，要求其放弃项目控制权的电子邮件"我对你的精神健康问题感到遗憾，但意识到自己的极限很重要。我知道这对所有贡献者来说都是一个业余项目，但社区需要更多。"恩斯在一条信息中写道，而库马尔则在另一条信息中说："在有新的维护者之前，不会有任何进展。"在这来来回回的过程中，柯林斯写道："我并没有失去兴趣，但主要由于长期的精神健康问题，也由于其他一些事情，我的照顾能力受到了相当大的限制"，并建议贾坦承担更大的角色。"他最后说："最好记住，这是一个无偿的业余项目。"来自"Kumar"和"Ens"的邮件持续不断，直到那年晚些时候，Tan被添加为维护者，能够进行修改，并尝试将backdoored软件包以更权威的方式发布到Linux发行版中。xz后门事件及其后果既体现了开放源代码的魅力，也是互联网基础设施中一个引人注目的漏洞。流行的开源媒体软件包FFmpeg的开发者在一条推文中强调了这一问题，他说："xz事件表明，对无偿志愿者的依赖会导致重大问题。价值数万亿美元的公司希望从志愿者那里获得免费的紧急支持"。他们还带来了收据，指出他们是如何处理影响MicrosoftTeams的"高优先级"漏洞的。"尽管微软依赖其软件，但该开发人员写道："在礼貌地要求微软提供长期维护的支持合同后，他们却提出一次性支付几千美元......维护和可持续发展方面的投资并不性感，可能不会给中层经理带来升职机会，但多年后会得到成千上万倍的回报"。关于"JiaT75"的幕后黑手、他们如何实施计划以及破坏程度的详细信息，正在被一大批开发人员和网络安全专业人员在社交媒体和在线论坛上挖掘出来。但是，这一切都离不开许多因使用安全软件而受益的公司和组织的直接资金支持。...PC版：https://www.cnbeta.com.tw/articles/soft/1426014.htm手机版：https://m.cnbeta.com.tw/view/1426014.htm