Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞

Clash for Windows 存在一个利用恶意订阅触发的远程代码执行漏洞 Clash for Windows 的开发者确认了一个的远程代码执行漏洞，包括最新的CFW版本和所有支持 rule-providers path 的第三方客户端受影响。 GitHub 用户 LDAx2012 说，当受攻击者订阅了一个恶意链接，订阅文件中 rule-providers 的 path 的不安全处理导致 cfw-setting.yaml 会被覆盖，cfw-setting.yaml 中 parsers 的 js代码将会被执行。 该漏洞还在修复中，普通用户应该避免使用不可靠来源的订阅。

LastPass 披露开发环境遭入侵，黑客窃取了部分源代码和专有技术信息

LastPass 披露开发环境遭入侵，黑客窃取了部分源代码和专有技术信息 LastPass 发布的近期安全事件通知说： 两周前，我们在LastPass的部分开发环境中发现了一些异常活动。在立即启动调查后，我们没有看到任何证据表明这一事件涉及对客户数据或加密密码库的访问。 我们已经确定，一个未经授权的一方通过一个被破坏的开发者账户获得了对LastPass开发环境部分的访问权，并拿走了部分源代码和一些LastPass专有技术信息。我们的产品和服务正在正常运行。 LastPass 否认用户密码泄露。

APEX或EAC反作弊系统被质疑存在远程代码执行漏洞 比赛途中被黑客入侵

APEX或EAC反作弊系统被质疑存在远程代码执行漏洞 比赛途中被黑客入侵 被部署的这个外挂工具名为 TSM HALAL HOOK，在比赛途中屏幕突然出现外挂工具的界面并且显示各种外挂设置参数，这不仅让大量观众一脸懵逼，连游戏选手自己也一脸懵逼。由于突发情况这名游戏选手不得不立即退出比赛以维护游戏的公平性，但 EA 此时尚未叫停游戏，直到进行第四场比赛时黑客再次发动攻击。此次黑客部署的是一个瞄准机器人 (俗称自瞄或者锁头挂之类)，最终 EA 决定终止比赛，而发起攻击的黑客代号名为 Destroyer2009 和 R4ndom，随后 EA 也宣布北美赛事暂停。疑似 Easy Anti-Cheat 反作弊系统进行入侵：事后一名自称是 Destroyer2009 的人告诉 X/Twitter 上一名专门报道反作弊系统的用户称他们通过远程代码执行漏洞入侵了游戏选手的客户端。尽管黑客并未表明是 APEX 漏洞还是 EAC 反作弊系统漏洞，但将这个消息透露给专门报道反作弊系统的用户似乎是在暗示，于是这引起了不少玩家恐慌，因为大家也担心 APEX 或者包含 EAC 反作弊系统的游戏存在漏洞可能会危害他们的系统安全。EAC 称目前并未发现漏洞：目前 Easy Anti-Cheat 开发商也在 X/Twitter 上发布消息称他们已经进行了调查，初步调查显示 EAC 反作弊系统中不存在被利用的 RCE 漏洞，该公司将继续与合作伙伴密切合作以提供任何后续支持。所以现在搞不清楚黑客通过何种方式入侵游戏选手的电脑的，或许 EA 应该出动安全团队的力量对选手电脑进行完整分析 (如果选手愿意的话) 看看到底问题在哪里。 ... PC版： 手机版：

开发者发现苹果 CSAM 系统漏洞，容易发生哈希碰撞

开发者发现苹果 CSAM 系统漏洞，容易发生哈希碰撞 开发者Asuhariet Yvgar 在Reddit上表示，他发现了 iOS 14.3中CSAM检测使用的苹果NeuralHash算法的一个版本，容易发生哈希碰撞，导致原像攻击。 同日，苹果 回应媒体Motherboard称，在 iOS 14.3 中发现的 NeuralHash 版本并不是与 iOS 15 一起发布的最终版本。苹果还表示，它已将该算法公开以供安全研究人员验证，但还有第二个非公开算法将在用户超30张匹配阈值后开启检查以及人工验证。 据了解，该算法是在隐藏的API中发现的，NeuralHash的容器被称为MobileNetV3。Asuhariet Yvgar对代码进行了逆向工程，并在Python中重建了一个工作模型，可以上传图像测试。目前，该代码和脚本已上传至GitHub供大家查证。 目前还没有人发现iOS 15测试版中存在CSAM数据库或匹配算法。苹果也还没有提供CSAM检测功能的确切发布时间表。（）

微软广告推广能写游戏代码的AI 引来开发者嘲讽

微软广告推广能写游戏代码的AI 引来开发者嘲讽 然后，广告展示了聊天机器人编写了一些代码，检查角色是否触地面，而演员则两眼无神地盯着屏幕。广告的信息似乎有点奇怪，暗示人工智能可以帮助人们完成不可能的事情。“他们说我永远打不开我的生意，永远拿不到我的学位。他们说我永远不会制作我的电影或建造任何东西。他们说我年纪太大无法学习新事物，年纪太小无法改变世界，但我可以说‘看着我’。”该广告导致许多开发者在社交媒体上发布不满和嘲讽的反应。动画师Jonathan Cooper在社交媒体上暗讽微软最近的大规模裁员。“也许微软应该保留他们的游戏工程师，而不是使用人工智能来‘为我的3D开放世界游戏编写代码’。”独立开发者Dynamic Voltage Games的评论更加明确，尽管他们区分了Xbox团队和“由企业股东运营的微软”。“那个微软人工智能超级碗广告令人作呕。一个家伙输入‘为3D开放世界游戏编写代码’，它就给他一个脚本。也许微软应该退出游戏行业，如果他们认为这种垃圾对行业来说是可以接受的。”“我一直觉得Xbox部门非常讨人喜欢。id@Xbox团队是圣人，他们在很多问题上都帮助了我。无论发生什么，要知道这些主意来自由企业股东运营的微软，而不是他们。”“那个微软人工智能广告破坏了创造力。它助长了懒惰。他们真的如此迟钝，以至于不知道他们有多少创意人员为他们工作，如果他们的AI应用流行起来，最终可能失业吗?”世界设计师Nathan Cheever（《Palia》《四海兄弟3》）也表示不高兴。“‘为我的3D开放世界游戏编写代码……’”“微软你来真的?你花700万美元在超级碗广告上，针对那些认为今天的人工智能可以为他们做所有游戏开发工作的傻瓜?”该广告的信息显然针对年轻的有志于游戏开发的群体，考虑到过去一年游戏行业发生的大量裁员，尤其是微软本身以及索尼、Bungie、2K Games、Epic Games、亚马逊、Frontier、Team17、People Can Fly等许多大小公司，这种广告显得尤为不合时宜。在这么多游戏开发者担心他们的就业状况的情况下，兜售一个旨在取代他们辛苦赚来的技能的机器人并不能让人觉得有任何建设性。此前，微软Xbox部门与一家生成式AI公司合作，创建了一个AI驱动游戏设计副驾驶，帮助开发人员根据提示创建“详细脚本、对话树、任务等等”。不久之后，首席财务官Tim Stuart称赞生成式AI是能够实现诸如“你当地星巴克的咖啡师有一个很棒的游戏创意，他们现在可以使用Copilot和AI来创造一个伟大的手游体验”等场景的技术。 ... PC版： 手机版：

#网友投稿过去几天，  有关 Windows 版 Telegram 中涉嫌远程代码执行漏洞的谣言在 X 和黑客论坛上流传。虽然其

#网友投稿过去几天，  有关 Windows 版 Telegram 中涉嫌远程代码执行漏洞的谣言在 X 和黑客论坛上流传。虽然其中一些帖子声称这是一个零点击缺陷，但演示所谓的安全警告绕过和 RCE 漏洞的视频清楚地显示有人点击共享媒体来启动 Windows 计算器。Telegram 很快反驳了这些说法，称他们“无法确认此类漏洞的存在”，并且该视频很可能是一个骗局。 然而，第二天，XSS 黑客论坛上分享了一个概念验证漏洞，解释说 Windows 版 Telegram 源代码中的拼写错误可能会被利用来发送 Python.pyzw文件，在单击时绕过安全警告。这导致该文件自动由 Python 执行，而不会像其他可执行文件那样发出来自 Telegram 的警告，并且如果不是拼写错误的话，应该对此文件执行此操作。 POC将 Python 文件伪装成共享视频以及缩略图，可用于诱骗用户点击假视频来观看。在给 BleepingComputer 的一份声明中，Telegram 正确地质疑该错误是零点击缺陷，但确认他们修复了 Windows 版 Telegram 中的“问题”，以防止 Python 脚本在点击时自动启动。BleepingComputer 询问 Telegram 他们如何知道用户的 Windows 设备上安装了哪些软件，因为他们的隐私政策中没有提及此类数据。 Telegram Desktop 客户端会跟踪  与风险文件（例如可执行文件）相关的 文件扩展名列表。当有人在 Telegram 中发送其中一种文件类型，并且用户单击该文件时，Telegram 首先会显示以下安全警告，而不是在 Windows 中的关联程序中自动启动。Telegram 警告中写道：“此文件的扩展名为 .exe。它可能会损害您的计算机。您确定要运行它吗？安装 Windows 版 Python 后，它会将.pyzw文件扩展名与 Python 可执行文件关联起来，从而使 Python 在双击文件时自动执行脚本 .pyzw 扩展名适用于 Python zipapps，它们是 ZIP 存档中包含的独立 Python 程序。Telegram 开发人员意识到这些类型的可执行文件应被视为有风险，并将其添加到可执行文件扩展名列表中。不幸的是，当他们添加扩展名时，他们犯了一个拼写错误，将扩展名输入为“ pywz”，而不是正确拼写的“ pyzw”。因此，当这些文件通过 Telegram 发送并点击时，如果 Python 安装在 Windows 中，它们会自动由 Python 启动。 如果攻击者能够诱骗目标打开文件，这将有效地允许攻击者绕过安全警告并在目标的 Windows 设备上远程执行代码。为了伪装该文件，研究人员设计了使用 Telegram 机器人来发送具有“video/mp4”mime 类型的文件，从而使 Telegram 将文件显示为共享视频。如果用户单击视频来观看，脚本将自动通过 Windows 版 Python 启动。 该错误于 4 月 10 日向 Telegram 报告，他们通过更正“data_document_resolver.cpp”源代码文件中的扩展名拼写来修复该错误。但是，此修复似乎尚未生效，因为当您单击文件启动它时不会出现警告。 相反，Telegram 利用了服务器端修复程序，将 .untrusted 扩展名附加到 pyzw 文件，单击该扩展名后，Windows 将询问您希望使用什么程序来打开它们，而不是在 Python 中自动启动。Telegram 桌面应用程序的未来版本应包含安全警告消息，而不是附加“.untrusted”扩展名，从而为流程添加更多安全性。win系统飞机请使用最新版 广告赞助 中菲速递  菲律宾 信誉之最物流 中菲海运空运 布偶猫舍 种猫均为赛级布偶，纯散养家庭在菲猫舍   免费投稿/曝光/澄清  @FChengph 今日新闻频道 @cctvPH