每日安全資訊:Mozilla 為 Firefox 上周的 bug 致歉
由於 Mozilla 方面的一個失誤,導致許多 Firefox 用戶在上周末遇到了附加組件無法使用的 bug 。後來該公司發布了更新,才讓瀏覽器恢復正常。對於此事,這家機構現已發表正式道歉,詳細解釋發生了怎樣的事情,且承諾會刪除期間為了推出修復程序而收集的私人數據。據悉,為了修復 bug,Firefox 初期希望用戶啟用遙測選項。因為在默認的情況下,其出於隱私考量而禁用了此類數據收集選項。
現在,我們已經知道附加組件遇到的故障,源自安全證書方面的 bug 。在 Mozilla Hacks 的一篇博客文章中,首席技術官 Eric Rescorla 已經給出了詳細的解釋。
Joe Hidebrand 在另一篇文章中寫到:
我們在努力為 Firefox 帶來極棒的體驗,但可惜上周遭遇了失敗,對此我們深表歉意。
過去幾年,我們花費了很多時間,來思考如何將附加組件(Add-ons)變得更加安全。然而鑒於附加組件的功能是如此的強大,我們也必須努力構建和部署一套系統,以免用戶遭受惡意附加組件的侵擾。
至於上周的問題,其實源自防護系統中的一項錯誤部署—— 保險模式導致附加組件被禁用了。
儘管我們認為這套機制的基本設計原則是合理的,但仍會努力改進該系統,以防將來再次發生類似的問題。
此外,Hildebrand 還向關注 Firefox 最初「緊急修復」時段收集私人數據一事的網友們保證:
為儘快解決這個問題,我們曾呼籲用戶開啟遙測選項,以獲取附加信息。
不過在 5 月 8 日 23:28 分的 Firefox 附加組件博客上,我們宣布已經不再需要開啟遙測選項,所以請大家根據自己的真實意願來選擇是否退出。
為儘可能地尊重用戶,Mozilla 決定刪除 5 月 4 日 11:00 到 5 月 11 日 11:00 期間手機的所有用戶的遙測與研究數據。
最後,Mozilla 表示將會披露與本次事件有關的更多細節,感興趣的朋友可以留意後續發布的報告。
更多資訊
涉及 2.75 億條印度公民信息的 MongoDB 資料庫被曝光和公開索引
援引外媒Security Discovery報道,他們於5月1日發現了一個未經保護和公開索引的MongoDB資料庫,其中包括了涉及印度公民的個人身份信息的275,265,298條記錄。這些信息中包括姓名、電子郵件地址、性別、教育水平和專業領域、專業技能和職稱、手機號碼、就業經歷和當前僱主、出生日期以及當前的薪資水平。
來源: cnBeta.COM
詳情: http://www.dbsec.cn/zx/20190511-5.html
研究人員披露黑客入侵了三家美國殺毒軟體公司
Advanced Intelligence (AdvIntel) 公司的研究人員透露,名叫 Fxmsp 的組織正在積極銷售三家美國殺毒軟體公司的源代碼和網路訪問。它提供了樣本作為證據證明其聲明是有效的。AdvIntel 的研究總監 Yelisey Boguslavskiy 稱他們已經通知了相關公司和美國執法機構。在安全社區 Fxmsp 已經是名聲在外,該組織在今年三月透露它能提供美國三家頂級殺毒軟體公司的獨有信息。它在地下黑客市場銷售這些公司軟體開發的源代碼和網路訪問,開價超過 30 萬美元。
來源: solidot.org
詳情: http://www.dbsec.cn/zx/20190511-3.html
惡意差評案件多發 侵蝕網路營商環境亟待立法規制
傳統的網路評價機制亟待改進,以優化網路營商環境。近日在杭州互聯網法院落槌的一起民事案件,將這一問題再次提上議事日程。在這起案件中,7 名 90 後組成的差評師團伙被判決賠償阿里經濟損失 8 萬餘元、合理支出 4 萬餘元。而這已經是他們因同一件事情所受到的第二次懲罰。
此前,深圳市龍華區法院以敲詐勒索罪對他們分別判處 7 個月至 2 年不等的刑期。這意味著因為惡意差評,這一團伙遭到刑事民事的「雙殺」。
來源: 法制日報
詳情: http://www.dbsec.cn/zx/20190511-2.html
美國巴爾的摩市政網路遭勒索軟體攻擊
美國巴爾的摩市政網路 5 月 7 日遭勒索軟體攻擊後下線。攻擊沒有影響警察、消防和緊急反應系統,但市政府的其它部門都在某種程度上受到衝擊。市政府的首席信息官 Frank Johnson 在新聞發布會上證實,攻擊他們的勒索軟體是 RobbinHood。
逆向工程 RobbinHood 樣本的安全研究人員 Vitali Kremez 稱,惡意程序在一個系統只針對文件,不會通過網路共享傳播。這意味著惡意程序是逐個的部署到機器上的,攻擊者需要在部署前已經獲得了網路的管理級別的訪問許可權。
市長 Bernard 「Jack」 Young 表示, IT 部門有備份,但無法簡單的替換備份。他說他不希望人們認為他們沒有備份。
來源:solidot.org
詳情: http://www.dbsec.cn/zx/20190511-1.html
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive