(给技术最前线加星标,每天看技术热点)
转自:开源中国、solidot、cnBeta、腾讯科技、快科技等
【技术资讯】
0、研究人员发现 macOS 可获取用户密码的 0day 漏洞
德国安全研究人员 Linus Henze 发现了苹果 macOS 中一个被称作“KeySteal”的 0day 漏洞,并在 YouTube 上公布了一段视频演示。
对于别有用心的攻击者来说,可借助恶意手段从 Mac 上的 Keychain 应用程序来收集全部的敏感信息,而无需管理员访问权限(或管理员密码)。
Keychain 会暴露密码和其它信息,以及其它 macOS 用户的密码详情。
鉴于苹果没有针对 macOS 的漏洞赏金计划,Henze 尚未选择向苹果分享漏洞详情,但表示不会轻易将细节公布。其在描述中写到 ——“全都怪苹果!”(So blame them.)
Linus Henze 说他不会发布这个漏洞,因为苹果并没有推出 macOS 的漏洞赏金计划。他在给《福布斯》的一份声明中澄清了自己的立场:“发现这样的漏洞需要时间,我只是认为付钱给研究人员是一件天经地义的事情,因为我们正在帮助苹果让他们的产品更安全。”
据悉,苹果有一个针对 iOS 移动平台的奖励计划,为发现 bug 的人们提供赏金。遗憾的是,对于桌面平台的 macOS 系统,苹果并没有类似的除虫奖励。据了解,苹果的安全团队已经联系了 Henze,但是他仍然拒绝提供更多的细节,除非他们为 macOS 推出漏洞赏金计划。据 Linus Henze 表示说:“即使看起来我这么做只是为了钱,但这根本不是我的动机。我的动机是让苹果公司创建一个漏洞赏金计划。我认为这对苹果和研究人员都是最好的。”
德国 Heise Online 称,该漏洞允许访问 Mac 上 Keychain 的内容,但不能访问存储在 iCloud 中的信息。
Keychain 也需要被解锁,当用户在 Mac 上登录他们的帐户时,即会在默认情况下会发生。如需为 Keychain 应用加锁,可以通过管理员密码来打开该 App,然后执行相关操作。
另外,KeySteal 并不是研究人员在 macOS 中发现的第一个与钥匙串访问相关的漏洞。安全研究员 Patrick Wardle 在 2017 年展示了一个类似的漏洞,不过该漏洞已经被修复。
1、谷歌开源 ClusterFuzz,自动化查找并修复 bug
近日,谷歌开源了一个模糊测试基础设施——ClusterFuzz,可以非常简单地自动化查找并修复程序中的 bug。
模糊测试是一种用于自动化检测软件中存在的问题的方法,其通过向目标程序提供意外输入来实现。它能有效地发现可以带来严重安全隐患的内存损坏错误。手动查找这些问题既困难又耗时,尽管有严格的代码审查实践,但难免会漏掉一些问题。对于使用诸如 C/C++ 这类不安全的语言编写的软件项目,模糊测试是确保其安全性和稳定性的关键环节。
项目团队表示,为了使模糊测试行之有效,它必须是连续的、大规模执行,并且集成到软件项目的开发过程中,而为了在 Chrome 上提供这些功能,他们编写了 ClusterFuzz,这是一个运行在 25000 多个核心上的模糊测试基础设施。两年前,团队开始将 ClusterFuzz 作为一项免费服务通过 OSS-Fuzz 向开源项目提供。如今 ClusterFuzz 已开源,任何人都可以使用。
ClusterFuzz 研发到现在已经过 8 年时间,其旨在无缝地融入开发人员工作流程,并使得查找 bug 并修复它们变得非常简单。ClusterFuzz 提供端到端的自动化,从 bug 检测到分类,到错误报告,最后到错误报告的自动闭合,特性包括:
高度可扩展,谷歌的内部实例运行在超过 25000 台机器上
准确的去副本化(Accurate deduplication)
问题跟踪器的全自动错误归档和关闭
最小化测试用例
通过二分法回归查找
提供分析 fuzzer 性能和崩溃率的统计信息
易于使用的 Web 界面,用于管理和查看崩溃
支持引导模糊(例如 libFuzzer 和 AFL)和黑盒模糊测试
ClusterFuzz 已经在 Chrome 中发现了超过 16000 个 bug,在与 OSS-Fuzz 集成的 160 多个开源项目中发现了超过 11000 个 bug。它是 Chrome 和许多其它开源项目开发过程中不可或缺的一部分。ClusterFuzz 通常能够在引入后几小时检测到问题,并在一天内验证修复。
项目地址:
https://github.com/google/clusterfuzz
2、学院软件基金会迎来第二个开源项目
据 variety 的报导,Sony Pictures Imageworks 将其用于制作电影的工具 OpenColorIO 捐赠给了学院软件基金会。
OpenColorIO(OCIO)是一种用于生产过程中颜色管理的工具,是一个面向电影制作、视觉特效和电脑动画的完整色彩空间管理解决方案。OCIO 提供了简单、具有一致用户体验的跨应用支持,同时支持先进的后端配置选项与高端的生产。它参与制作过的电影包括耳熟能详的《蜘蛛侠:平行宇宙》、《爱丽丝梦游仙境》、《精灵旅社3:疯狂假期》与《天降美食》等。
Sony Pictures Imageworks 的捐赠,也使 OpenColorIO 成为了学院软件基金会的第二个软件项目(第一个是视觉特效软件 OpenVDB),该基金会是由 Linux 基金会牵头的行业范围的开源协会。根据修改后的 BSD 许可,行业可以免费和开放地访问 OpenColorIO。通过向学院软件基金会提供该工具,Sony Pictures Imageworks 希望鼓励社区负责该工具的未来。
“我们希望将 OpenColorIO 贡献给社区”,工作室副总裁兼软件开发主管 Michael Ford 表示:“每天使用它的开发人员和公司将指导项目路线图,从新版本 2.0 的功能和发布节奏开始。”
关于学院软件基金会(Academy Software Foundation,ASWF),我们之前有报导过,它成立于 2018 年 8 月,面向电影与媒体领域的开发者,旨在为电影和媒体行业提供中立论坛,协调跨项目工作,提供一个共同的构建和测试基础设施,帮助个人和组织参与开源生态系统。其创始成员包括 Autodesk、思科、梦工厂、Epic Games、Foundry、谷歌云、Intel 与沃尔特迪斯尼工作室等。去年,Sony Pictures Entertainment/Sony Pictures Imageworks、华纳兄弟、Blender 基金会和视觉效果协会(VES)加入了该组织。
【业界资讯】
0、Fedora logo 改版最新进展:已有三个候选方案
设计师 Máirín 近日在博客发文公布 Fedora logo 重新设计的最新进展,Máirín 表示已根据收到的反馈缩小了新设计的选择范围,不过她也提到这次的目标不是完全推倒重来式的重新设计,而是对 logo 进行一次更新。
最新的候选方案如下:
新的设计没有太大的改动,但它们也不完全一样。根据用户反馈,设计团队做的第一件事就是将上个版本的候选方案2砍掉。Máirín 的博客文章很好地概述了 logo 重新设计的迭代过程及其背后的原因。主要还是根据用户的反馈意见进行修改:
字母 f 是否应该包含“无限”的含义?
字母 f 看起来像 p,而不像 f
logo 中字母之间的间距不够大,影响阅读
logo 看起来像 cf 或者 df
……
设计师特别介绍了 f, e, a 这三个字母的重新设计思路和遇到的问题。除了技术问题外,还需考虑是否已准确表达出了字母原本的含义,以及能否给用户带来有可能的想象空间。
最后,设计师 Máirín 表示这不是号召大家进行投票,而是希望大家能提供有建设性的反馈意见。
1、QQ 已诞生 20 年
时间回到1999年2月10日,腊月廿五。OICQ的第一个版本——OICQ Beta1 正式发布,那一天,距离腾讯公司创建3个月。
在所有创始人的印象中,这一天并没有进行任何的仪式。
第一个QQ版本大约几百K,一张图片大小。
那时,国内还没有综合业务数字网(ISDN),上网是用拨号的,普遍的上网带宽是14K、28K,54K就是很快的了,下载一个3MB到5M的软件要几十分钟。
腾讯创始人之一张志东说:刚刚开发完第一个内部版本的时候,全部完成只有220KB。
“我拿给马化腾看,他不太相信,以为肯定是没包括动态库打包的部分,实际上这已经是完整的独立可运行版本了。”
在产品上线之后,马化腾和张志东还时不时跑到二楼的那间网吧,现场观察用户的使用状况。
马化腾说:那时,当‘嘀嘀’声从不知哪个黑暗的角落传出的时候,我们的心尖都会跟着抖一下,那种体验从未有过,太美妙了。
2、武汉首例比特币盗窃案判决正式生效
据武汉晚报消息,2月10日,武汉首例比特币盗窃案判决正式生效。2016年从事pos机推销工作的黄某盗取受害人刘某比特币钱包中的0.22个比特币,转手获利2.4万元。该案经汉阳法院审理,黄某因盗窃罪被判处有期徒刑一年三个月,并处罚金人民币3000元,所得赃款也被判继续追缴并发还被害人刘某。据承办法官介绍,黄某并未采取侵入或其他技术手段获取账号密码,而是通过其帮被害人申请账户的便利条件从而掌握了账号密码,并进而秘密窃取了被害人拥有的比特币,其行为符合盗窃罪的构成要件,故以盗窃罪定罪处罚。(武汉晚报)
觉得这些资讯有帮助?请转发给更多人
关注 技术最前线 加星标,看 IT 要闻
喜欢就点一下「好看」呗~