jQuery 修复“原型污染”安全漏洞；安全研究员 MalwareTech 认罪

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、jQuery 修复的“原型污染”安全漏洞是什么？

前两周发布的 jQuery 3.4.0 除了常规更新外，更重要的是修复了一个称为“原型污染（prototype pollution）”的罕见安全漏洞。什么是原型污染？顾名思义，原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。

JavaScript 对象就跟变量一样，但它不是存储一个值（var car =“Fiat”），而是可以包含基于预定义结构的多个值 (var car ={type:"Fiat", model:"500", color:"white"})。

prototype 定义了 JavaScript 对象的默认结构和默认值，因此在没有为对象赋值时应用程序也不会崩溃。

但如果攻击者从 JavaScript 对象的 prototype 入手，攻击者可通过将其控制的 prototype 注入对象，然后通过触发 JavaScript 异常导致拒绝服务（denial of service），或者篡改应用程序源代码以注入攻击者的代码路径。最终的结果可能就是导致应用程序崩溃或劫持应用程序。

Snyk 团队详细描述了这个新的 jQuery “原型污染”漏洞，其中包含攻击原理和规避方法。

虽然漏洞比较严重，但好在“原型污染”攻击并不能被大规模利用，因为每段攻击代码必须针对每个目标进行微调。此外，大部分网站并不使用 jQuery 进行重要的操作，主要是用于操作动画中的菜单或创建弹窗等。

最后，如果担心安全问题，建议升级至最新版本 jQuery 3.4.0，毕竟目前大多数网站仍在使用 jQuery 的 1.x 和 2.x 分支，这意味着绝大多数基于 jQuery 的应用程序和网站仍有可能遭受攻击。

1、Google Chrome 正在测试新的扩展菜单

为方便用户更好地访问扩展程序，Chrome 正在测试可从工具栏访问的新扩展菜单。此菜单将包含所有已安装扩展的下拉列表，可通过选择图标来使用。在启用这个新扩展菜单后，工具栏将显示一个新的拼图图标，选中即可展开已安装扩展的菜单。

这个新的扩展菜单还允许通过单击指定扩展名右侧的 3 点菜单，轻松管理扩展。当您单击此菜单时，它将打开一个上下文菜单，允许用户管理指定扩展。

目前，该功能可以通过安装 Chrome Canary 版本，在 chrome：// flags 页面启用名为 Extensions Toolbar Menu 的标签来启用。

虽然谷歌没有说明何时可以添加此功能，但因为这个测试是 Chrome 76 Canary 版本的一部分，我们可以期望在下个正式版本中看到它。

2、谋智基金会邀请你参与开源语音数据库项目贡献自己的声音

谋智基金会(Mozilla)目前已经推出 Common Voice 项目，旨在让语音识别技术变得更好也能免费使用。项目依靠全球用户捐赠的语音数据库可以让任何人或开发者快速轻松地训练出能够识别任何语音的应用程序。此外作为配套设施谋智基金会还在构建名为 Deep Speech 的开源语音识别引擎且同样是为所有人免费使用。

为什么项目如此重要：

对于人类来说说话依然还是我们相互沟通最自然的方式，而语音技术将这种方便感带到计算机和移动设备上。

谋智基金会希望开发者能够打造效果极好的语音识别程序，比如实时翻译器和语音数字助理类应用程序等等。

但此时大多数打造这类应用所必须的语音数据都是私有且昂贵的，我们希望收集的数据能够满足开发者需求。

贡献语音：

https://voice.mozilla.org/zh-CN/speak 

判断语音：

https://voice.mozilla.org/zh-CN/listen

【业界资讯】

0、安全研究员 MalwareTech 认罪

英国安全研究员 Marcus Hutchins，aka MalwareTech，2017 年因发现 WannaCry 的关闭开关阻止了该勒索软件的进一步传播而被视为一位安全领域的英雄，但他在当年前往美国参加安全会议 Black Hat 和 DEF CON 后准备在机场离境时遭到 FBI 逮捕，被控开发、传播和维护了银行木马 Kronos。

本周 Hutchins 承认他开发了银行木马， 他对此表示遗憾，并愿意为错误承担责任，表示正将几年前误用的技能用于建设性目的。根据认罪协议，Hutchins 承认了两项指控，检方放弃了另外八项指控，每一项指控的最大刑期是五年，最高罚款 25 万美元。他承认开发了银行木马 Kronos 和 UPAS-Kit，承认与同谋 Vinny、VinnyK 和 Aurora123 在网上宣传和销售这两种木马，时间发生在 2012 年 7 月到 2015 年 9 月之间，之后他改变了职业轨道成为了安全研究员。

1、超过 2300 万人使用密码 123456

英国网络安全中心对泄漏账号的分析显示，超过 2300 万人使用密码 123456。这并非是人们不喜欢用复杂的密码，而更可能的原因是这些账号是可抛弃的，它们并不重要的需要使用复杂密码。

123456 之后使用频率最高的密码是 123456789、qwerty、password、111111、12345678、abc123、1234567、password1 和 12345。如果你是足球迷，那么“利物浦”或“切尔西”的使用频率都非常高。如果是音乐迷，那么根据使用频率 50 分乐队打败了金属乐队。最常见的虚构角色密码是“超人”（superman，333,139 人）、“火影忍者”（naruto，242,749）、“跳跳虎”（tigger，237,290）、“口袋妖怪”（pokemon，226,947）和“蝙蝠侠”（batman，203,116）。

2、Mozilla Firefox 将默认启用点击跟踪

上周，Chrome、Safari、Opera 和 Microsoft Edge 的新版本被发现不再允许用户关闭“链接审计（ hyperlink auditing）”的功能。链接审计是一项 HTML 标准，被用于跟踪网站链接的点击。它通过创建特定网页的 POST 请求，用户检查请求头文件就可以了解点击的源地址。

目前只有 Brave 和 Firefox 这两个浏览器默认禁用链接审计。但本周 Mozilla 表示 Firefox 将默认启用点击跟踪。虽然部分用户认为这项功能对隐私构成的风险，但浏览器开发商认为它有助于改进性能。Mozilla 称它之所以没有启用链接审计是因为它的实现还没有完成。它认为禁用链接审计无助于改进隐私。Brave 则表示它会继续禁用链接审计。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

喜欢就点一下「在看」呗~