Hackers can steal 2FA codes and private messages from Android phones7 months agohttps://arstechnica.com/security/2025/10/no-fix-yet-for-attack-that-lets-hackers...Android设备面临名为‘像素劫持’的新型攻击威胁该攻击可在30秒内窃取双重验证码、位置时间线等隐私数据攻击只需安装恶意应用,且无需任何系统权限恶意应用通过读取其他应用在屏幕上显示的数据实施窃取已在Google Pixel和三星Galaxy S25上验证,但可适配其他机型谷歌虽发布缓解方案,但攻击的变种版本仍可绕过防护像素劫持利用旁路信道将屏幕像素映射为字母/数字等敏感信息仅可视化内容(如聊天消息、验证码)受影响,隐藏数据仍安全
The .NET Security Group7 months agohttps://devblogs.microsoft.com/dotnet/announcing-dotnet-security-group/微软负责.NET项目的运营,遵循安全报告和披露规范,补丁通常于每月补丁星期二发布.NET安全小组是由多个组织组成的协作体,致力于与微软同步为广泛的.NET用户提供安全修复成员可在公开披露前获得源码补丁,确保各发行版能及时更新该小组最初为私有邀请制,成员包括Canonical、IBM、红帽和微软该项目正扩大规模,吸纳更多自行发布.NET发行版的组织以提升生态系统安全性安全性是.NET的核心价值,对金融、医疗和政府等关键行业尤为重要构建和分发.NET的机构包括Linux发行版供应商和独立软件开发商等多元主体新成员需填写申请表、接受资质审核并签署协议,必要时还需签订保密协议核准成员每月可获得比公开披露提前约一周的CVE漏洞信息项目目标是通过确保安全更新的及时广泛分发来强化.NET生态系统
NATO boss mocks Russian Navy, which is on the hunt for "the nearest mechanic"7 months agohttps://arstechnica.com/security/2025/10/nato-boss-mocks-russian-navy-which-is-o...俄罗斯否认其基洛级潜艇在法国附近海域上浮存在问题,声称完全遵守海上规则。与俄安全部门相关的社交媒体暗示存在严重问题,包括燃料泄漏和维修能力不足。该潜艇'新罗西斯克号'在国际水域航行时,遭到法国、英国和荷兰部队的跟踪监视。荷兰海军强调需保持警惕,防止俄方船只破坏潜艇基础设施。尽管柴电潜艇比核潜艇风险更低,但船员安全问题仍引发担忧。过往事件显示普京对异议的强硬态度,包括曾在公开活动中压制一名水兵母亲的发声。
Pwning the Entire Nix Ecosystem7 months agohttps://ptrpa.ws/nixpkgs-actions-abuse在nixpkgs中发现了一个漏洞,可能通过注入恶意代码危害整个Nix生态系统。该漏洞存在于使用`pull_request_target`触发器的GitHub Actions工作流中,该触发器默认具有读写和密钥访问权限。发现了两处具体漏洞:一处是使用`xargs`的EditorConfig工作流(命令注入漏洞),另一处是CODEOWNERS工作流(本地文件包含导致凭证泄露)。Nixpkgs维护团队迅速报告并修复了这些漏洞,包括禁用易受攻击的工作流,以及将不受信任的数据与特权操作分离。关键经验包括:避免将不受信任的数据与密钥混用、最小化权限分配,以及仔细阅读有关权限的文档说明。文末提供了延伸学习资源和原始闪电演讲的获取方式。
Recovery Contacts: Sign in with a little help from your friends and family7 months agohttps://blog.google/technology/safety-security/recovery-contacts-verify-google-a...谷歌推出'恢复联系人'功能,帮助用户在账户被锁定时重新获取访问权限用户可通过g.co/recovery-contacts指定可信赖的朋友或家人作为恢复联系人恢复联系人通过共享代码验证身份,无需访问个人账户信息该功能是对现有恢复选项(如通行密钥和短信验证码)的补充恢复联系人旨在提升账户安全性和可访问性,同时保持隐私标准该功能目前正逐步向符合条件的谷歌账户开放
Ld_preload, the Invisible Key Theft7 months agohttps://bomfather.dev/blog/ld-preload-the-invisible-key-theft/LD_PRELOAD是一个环境变量,允许在程序启动前加载共享库,从而拦截文件操作。该漏洞影响所有从文件加载凭证的应用程序(不仅限于Solana),存在内部威胁风险。攻击者可通过挂钩close()等文件操作函数,在无感知情况下复制敏感文件(如Solana密钥对)。两种攻击方式:LD_PRELOAD(无需root权限)和/etc/ld.so.preload(需root但影响所有进程)。容器环境同样脆弱,因攻击在容器命名空间内进行,绕过了隔离机制。攻击手法简单,利用/proc/self/fd/{fd}等合法功能实现静默数据窃取。EDR解决方案可能漏检,因为验证器的文件访问行为看起来是正常的。
A Surprising Amount of Satellite Traffic Is Unencrypted – Schneier on Security7 months agohttps://www.schneier.com/blog/archives/2025/10/a-surprising-amount-of-satellite-...一项使用商用卫星天线的研究揭示了地球静止卫星传输的大量未加密流量。未加密数据包含关键基础设施、企业和政府通信、私人通话、短信以及消费者互联网流量。这些敏感数据可通过廉价的民用级硬件设备被截获。全球存在数千个地球静止卫星转发器,单个转发器的数据覆盖范围可能超过地球表面积的40%。供应商缺乏评估自身卫星回传链路安全性的审计工具。SATCOM安全公司可协助判断网络流量是否已遭暴露。
Thieves steal crown jewels in 4 minutes from Louvre Museum7 months agohttps://apnews.com/article/france-louvre-museum-robbery-a3687f330a43e0aaff68c732...窃贼在光天化日下仅用四分钟就从卢浮宫盗走了价值连城的拿破仑时期珠宝盗贼使用升降篮进入博物馆,破窗后砸碎展示柜,最终骑摩托车逃离现场失窃物品包括王冠、配套项链耳饰的全套首饰及胸针,其中一顶王冠事后在馆外被发现已损毁案发地点邻近《蒙娜丽莎》展区,暴露出施工区域的安全漏洞卢浮宫长期因游客超载和人员不足遭诟病,工会称这削弱了安保效能此次盗窃使卢浮宫再添重大劫案记录,包括191年《蒙娜丽莎》失窃案事件引发政治风波,极右翼政党领袖谴责政府安保失职鉴证团队正在调查,但专家认为珠宝可能被重新切割导致难以完璧归赵当局正核查监控录像并询问员工,以确认是否存在内应
Could the XZ backdoor been detected with better Git/Deb packaging practices?7 months agohttps://optimizedbyotto.com/post/xz-backdoor-debian-git-detection/2024年XZ Utils后门事件的发现引发了对软件供应链安全的担忧。该后门因SSH性能下降而被发现,促使各大Linux发行版迅速移除问题版本。关键问题聚焦于:为何打包者未察觉XZ 5.6.0/5.6.1版本的异常,以及Linux发行版软件供应链的可审计性。本文提供了一套审计Debian软件包的方法论,强调源代码验证而非二进制文件检查。推荐使用debsnap、diffoscope和git-buildpackage等工具进行软件包版本下载与比对。详细说明了如何通过OpenPGP签名和校验和验证上游源码与Debian源码的一致性。文章指出审计重新打包的上游源码存在挑战,并强调git历史记录对审查变更的重要性。XZ后门通过测试文件和Autotools脚本隐藏,其复杂性使其近乎无法被检测。Debian现行策略可能不足以识别同类后门,建议改进工具链并建立共享工作流程。文章结论指出:尽管存在挑战,开源软件因其可审计性仍比闭源软件更值得信赖。
Any decent error message is a kind of oracle7 months agohttps://digitalseams.com/blog/any-decent-error-message-is-a-kind-of-oracle错误信息应当实用、信息丰富且可操作,而非卖萌或道歉式表达。糟糕的错误信息往往源于设计中的权衡,例如为防止账户枚举攻击等安全考量作出的妥协。错误信息可能成为攻击者的信息源(即预言机),正如填充预言机攻击所示,这些信息可能被恶意利用。预言机机制在机器学习等领域用于数据分类与生成,这凸显了微量信息可能蕴含的巨大价值。AI解决某项任务的训练难度与该任务的可验证性成正比,这强调了明确定义和量化成功标准的重要性。在错误信息中平衡安全性与可用性需要权衡取舍,例如通过添加干扰信息提高攻击难度,同时确保真实用户仍能正常访问账户。
Why UUIDs won't protect your secrets7 months agohttps://alexsci.com/blog/uuids-and-idor/IDOR(不安全的直接对象引用)发生在资源可以通过其ID直接访问而未经适当授权时。使用UUID而非自增ID可以缓解IDOR问题,但并不能完全解决,因为URL仍可能被泄露。UUID应被视为敏感资产;如果在日志或URL中泄露,可能会危及安全性。正确修复IDOR需要确保对敏感数据的每个请求都经过授权,例如通过Web应用程序路由文件访问,或在AWS S3中使用预签名URL。YouTube的未公开内容功能是IDOR作为有意安全设计的例子,但如果URL被公开分享则存在风险。UUIDv7包含时间戳,相比UUIDv4更容易被猜测,特别是当时间戳可以被推断时。UUIDv7的实现各不相同;有些可能使用计数器,这会降低随机性,使其安全性降低。Postgres的UUIDv7实现使用纳秒级精度,比其他一些实现提供更高的随机性。速率限制和监控对于防止基于UUID的URL遭受暴力攻击至关重要。替代方法如UUIDv47或使用单独的外部和内部ID可以增强安全性。
Where are we on XChat security?7 months agohttps://mjg59.dreamwidth.org/73625.htmlAWS故障导致Signal服务中断,引发对AWS依赖性的担忧。埃隆·马斯克推荐X Chat,声称其安全且不依赖AWS。X Chat采用端到端加密,密钥通过Juicebox协议存储,并在后端间分片存储(部分由HSM支持)。公钥缺乏验证且HSM启用仪式未公开,引发安全性质疑。X Chat的GetPublicKeysResult接口可能被篡改返回虚假密钥,导致未授权方解密消息。X Chat缺少远程认证机制,而这是Signal等服务的核心安全特性。埃隆·马斯克关于X Chat安全性的说法遭质疑,被指信息不实或存在误导。
OpenBSD 7.87 months agohttps://www.openbsd.org/78.htmlOpenBSD 7.8 于2025年10月22日发布。移除了基于SIGILL的CPU能力检测机制,改为在库加载时使用基于构造函数的检测方式。新增了ssh_config中的WarnWeakCrypto选项,默认启用弱加密算法警告功能。在ssh_config(5)和sshd_config(5)配置文件中引入了IPQoS关键字。提供多种安装方式(根据硬件支持):光盘、USB、网络(PXE)和SD卡安装。特定INSTALL文档中提供了与其他操作系统双启动的指导说明。可下载源代码归档文件(src.tar.gz, sys.tar.gz)和ports树(ports.tar.gz)。支持通过AnonCVS命令更新Ports以跟踪-stable分支。鼓励用户加入ports@openbsd.org邮件列表参与贡献或咨询Ports相关问题。
Passwords and Power Drills7 months agohttps://google.github.io/building-secure-and-reliable-systems/raw/ch01.html#on_p...谷歌内部一则关于WiFi密码变更的全公司公告,因流量激增超出预期,导致内部密码管理器发生级联故障。恢复过程因安全措施变得复杂,包括需要使用存放在保险柜中的硬件安全模块(HSM)智能卡——该保险柜最初无法打开。工程师最终通过电钻暴力破解保险柜,并发现智能卡插反才得以恢复系统。该事件凸显了可靠性(负载均衡)与安全性(HSM要求)的相互影响,展示了一方的设计考量如何牵动另一方。可靠性和安全同样关键但需不同设计思路:前者假设非恶意故障,后者需防范主动攻击者。航空业和数据存储领域的案例表明,可靠性问题(如硬件缺陷)可能引发安全问题(如机密数据泄露)。拒绝服务(DoS)攻击模糊了可靠性与安全的界限,因其可能源于恶意攻击或合法流量峰值。系统复杂性与微小变更可能引发重大故障,如Debian的OpenSSL漏洞和YouTube因日志库更新导致的宕机。深度防御、最小权限和多因素授权是降低可靠性与安全风险的共同策略。谷歌IMAG计划等事件响应方案对危机管理至关重要,需通过定期测试(如DiRT演练)做好应急准备。安全漏洞修复往往面临快速响应与可靠补丁之间的权衡。本书强调在系统设计早期统筹安全与可靠性的重要性,以避免后期高昂的修复成本。
MinIO (apparently) becomes source-only7 months agohttps://github.com/minio/minio/issues/21647用户报告在quay.io和DockerHub上缺少安全版本Security/CVE RELEASE.2025-10-15T17-29-55Z的新镜像。用户询问缺失镜像是否属于预期情况,或是否能为该安装方式推送新版本。该帖子已获得6.2k次分叉的互动量,并提及多位用户包括Weetile、dpieski、expilu、justsomescripts、StrangePeanut等16人。
Knocker, a knock based access control system for your homelab7 months agohttps://github.com/FarisZR/knockerKnocker是一个自托管的基于HTTP的单包授权(SPA)网关,专为家庭实验室设计。它提供Web、CLI和Android客户端用于敲门(IP白名单)功能。可与Caddy等反向代理及通过FirewallD的防火墙集成。保持服务私有化,仅按需为授权IP开放访问权限。支持API密钥认证、可配置的TTL(生存时间)和远程白名单管理。包含静态IP/CIDR白名单和基于路径的排除规则。全面支持IPv6和IPv4,可选Firewalld集成以实现高级规则。可通过Docker容器部署,支持AMD64、ARMv8和ARMv7架构。包含Knocker-Web(渐进式Web应用)、Knocker-CLI(Go语言编写)和Knocker-EXPO(安卓应用)三大组件。提供与Caddy和FirewallD集成的详细配置说明。
Linux Capabilities Revisited7 months agohttps://dfir.ch/posts/linux_capabilities/Linux能力机制将root权限划分为不同的单元,以实现更精细的访问控制。可通过`capsh --print`和`cat /proc/sys/kernel/cap_last_cap`等命令查询能力集。`setcap`命令用于为可执行文件设置能力,例如为Python设置`cap_setuid+ep`权限。能力机制可被利用来提权,而无需依赖SUID/SGID位。`getcap -r`和LinPEAS等工具可用于扫描系统中设置了特殊能力的文件。Elastic提供检测规则来监控通过`setcap`设置能力的行为。扩展权限(如能力)存储在文件inode中,可通过`getfattr`命令查看。监控能力设置是全面安全审计的关键环节。
Cryptographic Issues in Cloudflare's Circl FourQ Implementation (CVE-2025-8556)7 months agohttps://www.botanica.software/blog/cryptographic-issues-in-cloudflares-circl-fou...2025年初发现Cloudflare的CIRCL密码学库中FourQ椭圆曲线实现存在加密漏洞通过Cloudflare的HackerOne漏洞赏金计划提交问题,初期响应不足,但后期获官方确认并修复CIRCL是Cloudflare的密码学库,内含FourQ曲线及Curve4Q迪菲-赫尔曼共享密钥实现方案FourQ是微软研究院提出的128位安全椭圆曲线,基于扩展域上的扭曲爱德华曲线方程定义无效曲线/点攻击利用验证不足的缺陷,通过强制计算无效点来提取密钥爱德华曲线因参数化加法公式可抵抗常规无效点攻击,但特定情况(如x=0点)仍存在漏洞共发现CIRCL库FourQ实现的7类问题,包括反序列化验证缺失、余因子清除缺陷和标量乘法漏洞核心修复:反序列化的严格点验证、余因子清除检查、标量乘法的预计算曲线验证
Tarmageddon Open Source Abandonware7 months agohttps://edera.dev/stories/tarmageddon漏洞影响uv、testcontainers和wasmCloud等主流项目,因tokio-tar被广泛使用所致活跃分支已修复漏洞,但主分支tokio-tar仍未修补,构成系统性风险建议升级至修复版本或迁移至astral-tokio-tar等活跃维护的分支该漏洞属于异步流缺陷,允许攻击者在TAR解压时注入额外归档条目攻击场景包括Python构建后端劫持、容器镜像投毒和绕过物料清单/清单文件补丁优先采用PAX头确定文件大小,并验证PAX与ustar记录间的头一致性临时解决方案包括使用标准tar库或实施运行时缓解措施(如解压后目录扫描)事件披露凸显废弃开源依赖项的治理难题,强调纵深防御策略的必要性时间线详细记录了60天保密期内漏洞发现、修补和协调披露的全过程
Element: setHTML() method7 months agohttps://developer.mozilla.org/en-US/docs/Web/API/Element/setHTML`Element`接口的`setHTML()`方法提供了一种XSS安全的方式,可在将HTML字符串插入DOM前将其解析并净化到`DocumentFragment`中。该方法需要接收一个HTML格式的`input`字符串,以及可选的`options`对象(可指定`Sanitizer`或`SanitizerConfig`来控制允许/移除的元素)。即使某些元素被净化器配置允许,该方法仍会自动移除XSS不安全的元素和属性。当需要插入不可信的HTML时,应优先使用`setHTML()`而非`innerHTML`或`setHTMLUnsafe()`来预防XSS攻击。示例展示了使用默认和自定义净化器的情况,证明无论净化器如何设置,类似`<script>`的不安全元素始终会被移除。该特性目前处于实验阶段且浏览器支持有限,生产环境使用前需检查兼容性。