通过郭盛华老师
谷歌浏览器又曝漏洞,黑客可劫持目标计算机
如果您在Windows,Mac或Linux计算机上使用Google Chrome浏览器,则需要立即将网络浏览软件更新为Google今天早些时候发布的最新版本。
谷歌今天发布了Chrome版本86.0.4240.111,以修复多个安全高严重性问题,其中包括一个零日漏洞,黑客攻击者利用该漏洞在野外劫持了目标计算机。
被跟踪为CVE-2020-15999的主动利用漏洞是一种内存损坏漏洞,在Freetype中称为堆缓冲区溢出,Freetype是一种流行的开源软件开发库,用于渲染Chrome随附的字体。
该漏洞是由Google Project Zero的安全研究员Sergei Glazunov于10月19日发现并报告的,由于该漏洞正在被积极利用,因此该漏洞的公开披露期限为7天。
Glazunov还立即向FreeType开发人员报告了零日漏洞,他们随后于10月20日发布了FreeType 2.10.4,开发了一个紧急补丁来解决该问题。
谷歌项目零本霍克斯项目的技术负责人在Twitter上警告说,虽然该团队仅发现了针对Chrome用户的漏洞,但其他使用FreeType的项目也可能会受到攻击,建议部署该漏洞。 FreeType版本2.10.4中包含的修复程序。
chrome零日漏洞
根据Glazunov共享的详细信息,该漏洞存在于FreeType的函数“ Load_SBit_Png”中,该函数处理嵌入字体中的PNG图像。攻击者可以利用仅嵌入了PNG图像的特制字体来利用它执行任意代码。
问题在于libpng使用原始的32位值,这些值保存在png_struct
中。因此,如果原始宽度和/或高度大于65535,则分配的缓冲区将无法适合位图。
谷歌还发布了带有概念验证漏洞的字体文件,同时,Google发布了Chrome 86.0.4240.111作为Chrome的“稳定”版本,该版本不仅可供选择的早期采用者使用,而且还适用于所有用户,并表示该公司知道“在CVE-2020-15999中存在对CVE-2020-15999的利用”,但没有透露主动攻击的更多细节。
除了FreeType零日漏洞外,Google还修补了Chrome最新更新中的其他四个漏洞,其中三个是高风险漏洞-Blink中的不当实施错误,Chrome媒体中的先后使用错误以及先后使用错误在PDFium中使用-以及免费发行浏览器的打印功能后会有中度危险。
尽管Chrome网络浏览器会自动向用户通知最新的可用版本,但建议用户通过从菜单转到“帮助→关于Google Chrome”来手动触发更新过程。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
巴基斯坦黑客组织有多牛?连苹果手机也中招
据信由巴基斯坦黑客组织设计的一种基于Windows的远程访问木马,已经渗透了两年,并针对Android和macOS设备进行了重新设计,从而渗透到计算机并窃取用户的数据。
据网络安全公司Kaspersky称,这种被称为“ GravityRAT ”的恶意软件现在伪装成合法的Android和macOS应用程序,以捕获设备数据,联系人列表,电子邮件地址以及呼叫和文本日志,并将其传输到攻击者控制的服务器。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
什么叫全栈开发?郭盛华告诉你
软件开发领域,您一定会听到很多术语是全栈开发。招聘人员一直在为全职开发人员发布职位空缺,这个需求旺盛的行业引起了轩然大波。
但是全栈实际上是什么意思?郭盛华告诉你
简而言之,它是软件的客户端(前端)和服务器端(后端)的开发。全栈开发人员在与客户端交互的软件的设计方面以及服务器端的编码和结构化工作中,是万事通。
在技术要求迅速发展且公司可能无法负担整套开发人员的时代,了解前端和后端的软件开发人员至关重要。
为应对冠状病毒大流行,随着各行各业的公司将其业务迁移到虚拟世界,进行全栈开发的能力可以使工程师极具市场价值。那些借助全栈方法可以快速开发和交付软件项目的人,最好的选择是公司或客户的心愿单。
成为全栈开发人员
那么,您如何才能成为一名全职工程师,对他们的期望是什么?在大多数工作环境中,不会期望您在每种平台或语言上都有绝对的专业知识。但是,假定您已经足够了解并且可以解决软件开发两端的问题。
最常见的是,全栈开发人员熟悉HTML,CSS,JavaScript和后端语言(如Ruby,PHP或Python)。这也与新员工的期望相符,因为您会注意到,针对全职开发人员的职位空缺很多,需要专门从事多个后端程序。
全栈正在成为默认的开发方式,以至于软件工程界的一些人争辩该术语是否多余。随着前端和后端之间的界限随着技术的发展而模糊,现在期望开发人员在软件的各个方面更加频繁地工作。但是,开发人员可能会擅长一个领域,而在其他领域则表现出色,并且在某些方面是新手……这没关系。
但是,进入全栈意味着您应该专注于在要使用的特定前端和后端程序中找到自己的定位。一种实用且通用的方法是学习JavaScript,因为它涵盖了前端和后端功能。您还需要熟悉数据库,版本控制和安全性。另外,对设计进行优先级排序是很明智的,因为您将在面向客户端的方面进行工作。
因为全栈开发人员可以与开发团队的各个方面进行交流,所以他们对于节省时间和避免项目混乱是非常宝贵的。
反对全栈的一个普遍论点是,从理论上讲,能够做所有事情的开发人员可能不会在专家级别上做一件事。但是没有硬性规定可以说您不能精通编码,也不能学习前端技术,反之亦然。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
谷歌推出第一个抵押行业工具,加快贷款工作流程
谷歌 Cloud今天宣布推出Lending DocAI,这是针对抵押行业的首项专用服务。该工具现已预览,其目的是使用专门的机器学习模型自动执行常规文件审阅,以帮助抵押贷款公司加快评估借款人的收入和资产文件的过程。
其中一些听起来似乎很熟悉,因为Google Cloud已经通过Document AI提供了更通用的工具,可对复杂文档执行OCR,然后从其中提取数据。借阅DocAI本质上是第一个使用此技术的垂直专业化Google Cloud服务。
Google产品经理Sudheera Vanguri写道:“我们的目标是为您提供正确的工具,以帮助借款人和贷方拥有更好的体验,并在更短的时间内关闭抵押贷款,使所有相关方受益。” “借助Lending DocAI,您将减少抵押处理时间和成本,简化数据捕获,并支持法规和合规性要求。”
Google认为其工具将加快抵押贷款工作流程,并改善借款人的体验。如果您曾经经历过抵押流程,那么您将知道需要花费多少时间来编译所有必要的文档,并且在银行或抵押经纪人告诉您一切都井井有条之前(有的还是没有的)有多少滞后。
此外,Google Cloud还认为,该技术可通过利用可降低实施AI策略风险的技术堆栈(例如,数据访问控制和透明度,数据驻留,客户管理的加密密钥)来帮助“降低风险并增强合规性。 ”
在许多方面,此新产品都是Google Cloud在其首席执行官Thomas Kurian领导下的当前战略的一个很好的例子。在继续为各个级别的开发人员开发大量通用服务的同时,它现在还将这些服务捆绑在一起,作为完整的解决方案出售给各个行业的企业。那就是Google Cloud认为它可以为这些公司带来最大利益的地方-从而产生最多的收入。通过针对零售商,电信公司的行业解决方案,游戏公司等以及行业合作伙伴来帮助他们加速发展。Kurian和他的团队相信,他们可以提供解决方案,而竞争对手则专注于提供工具。到目前为止,该策略似乎行之有效,上一季度Google Cloud的收入增长了43%以上。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
美国指控6名俄黑客入侵奥运会
近日,美国司法部宣布对6名俄罗斯军事情报官员的指控,指控他们针对格鲁吉亚,法国,英国,禁化武组织,乌克兰和2018年冬季奥运会进行了网络黑客攻击。
美国司法部周一宣布,宾夕法尼亚州的一个大陪审团起诉这6人“共谋,计算机黑客,电汇欺诈,严重的身份盗窃和虚假域名注册”,并将其描述为俄主要情报部门74455的官员。首长级机构或GRU。
根据指控,他们使用诸如KillDisk,Industroyer,NotPetya和Olympic Destroyer之类的恶意软件攻击了从乌克兰和乔治亚州的网络到两年前在韩国平昌举行的奥林匹克运动会的所有内容。
来源:郭盛华博客,转载请注明出处
通过郭盛华老师
Nvidia将为欧洲最快的AI超级计算机提供动力
Nvidia将为全球最快的AI超级计算机提供动力,这是一个由意大利多大学联合体CINECA构建的名为“ Leonardo”的新系统,全球超级计算领导者。莱昂纳多系统将提供多达10 exaflops的FP16 AI性能,并在完成后由超过14,000个基于Nvidia Ampere的GPU组成。
莱昂纳多(Leonardo)将成为四款新的超级计算机之一,这是跨欧洲努力提高该地区高性能计算能力的支持,最终将为处理科学和工业领域的应用程序提供先进的AI功能。英伟达还将向该项目提供其Mellanox HDR InfiniBand网络,以通过低延迟宽带连接在整个集群中实现性能。
集群中的其他计算机包括卢森堡的MeluXina和斯洛文尼亚的Vega,以及捷克共和国上线的新的过冷装置。泛欧财团还计划为保加利亚,芬兰,葡萄牙和西班牙再增加四台超级计算机。不过,这些内容将在稍后发布,并且尚无法提供有关其效果和位置的详细信息。
CINECA和其他超级计算机将用于一些应用程序,包括分析基因组和发现新的处理途径;处理来自多个不同来源的数据,以进行太空探索和地球外行星研究;和模拟天气模式,包括极端天气事件。
来源:郭盛华
通过郭盛华老师
索尼推出5000美元的3D显示器,性能秒杀苹果
索尼刚刚宣布了5,000美元的3D显示器,传闻在性能方面可以秒杀苹果。该公司主要以其消费品而闻名,该公司以Spatial Reality Display(空间现实显示)为创意专业人士服务,更具体地说,是从事计算机图形和电影视觉效果等领域的工作。基本上,这是艺术家无需佩戴VR耳机即可查看其3D作品的一种方式。
图片来源:索尼
该公司并不是第一个为相当细分的受众群体提供这种技术的公司。到目前为止,Looking Glass显示屏可能是该领域中最知名的产品。但是,与那种庞大的8K屏幕不同,索尼的产品实际上是为单个用户设计的,特别是作为其台式PC的屏幕。另外,它看起来像是Amazon Echo Show。
产品与现有设备之间的最大区别在于,它包含一个传感器,该传感器确定用户的观看位置(包括垂直和水平方向)以及距离,并将图像调整到特定角度,并在毫秒内调整。
图片来源:索尼
索尼表示,这是一个“高度逼真的虚拟环境”。它在今年的CES上展示了该技术的较早版本,使用了即将出版的Ghostbusters续集中的Ecto-1渲染图,并计划向媒体提供屏幕最终版本的演示。
该公司向其Sony Pictures机翼咨询,该机翼使用了该技术来开发上述《捉鬼敢死队》电影的CG效果。自该项目的早期阶段以来,大众汽车公司就一直参与其中,以期该技术在构思和设计过程中的潜在用途。该显示器将在下个月通过索尼发售。
来源:百家号/郭盛华
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。
通过郭盛华老师
谷歌警告基于Linux的设备中的蓝牙漏洞
Google安全研究人员警告说,Linux蓝牙软件堆栈中出现了一组新的零点击漏洞,这些漏洞可能允许附近的未经身份验证的远程攻击者在易受攻击的设备上以内核特权执行任意代码。
据安全工程师Andy Nguyen称,这三个缺陷(统称为BleedingTooth)存在于开源BlueZ协议栈中,该协议栈为基于Linux的系统(如笔记本电脑和IoT设备)提供了许多核心蓝牙层和协议的支持。
最严重的是基于堆的类型混淆(CVE-2020-12351,CVSS分数8.3),影响Linux内核4.8及更高版本,并且存在于蓝牙标准的逻辑链路控制和适配协议(L2CAP)中,提供不同高层协议之间的数据多路复用。
谷歌在其通报中指出:“一个短距离的远程攻击者知道受害者的[蓝牙设备]地址可以发送恶意的l2cap数据包,并导致拒绝服务或带有内核特权的任意代码执行。” “恶意蓝牙芯片也可以触发该漏洞。”
该漏洞尚未解决,似乎已在2016年对“ l2cap_core.c”模块进行的更改中引入。
英特尔已对BlueZ项目进行了重大投资,并已发布警报,将CVE-2020-12351表征为特权升级漏洞。
第二个未修补的漏洞(CVE-2020-12352)与影响Linux内核3.6及更高版本的基于堆栈的信息泄露漏洞有关。
2012年对核心备用MAC-PHY管理器协议(A2MP)进行了更改的结果,该协议是蓝牙HS(高速)中使用的高速传输链路,用于传输大量数据,该问题使远程攻击者可以使用在短距离内检索内核堆栈信息,使用它来预测内存布局并破坏地址空间布局随机化(KASLR)
最后,在HCI(主机控制器接口)中发现的第三个缺陷(CVE-2020-24490)是一种基于堆的缓冲区溢出,影响了Linux内核4.19和Linux ,HCI是用于发送命令,接收事件和传输数据的标准化蓝牙接口。更高的级别,导致附近的远程攻击者“如果受害机器配备了Bluetooth 5芯片并且处于扫描模式,则在受害机器上导致拒绝服务或可能执行具有内核特权的任意代码”。
该漏洞,这已接近自2018,已修补的版本4.19.137和5.7.13。
就英特尔而言,它建议安装内核修复程序,以减轻与这些问题相关的风险。
英特尔谈到这些缺陷时说:“ BlueZ中潜在的安全漏洞可能会导致特权提升或信息泄露。” “ BlueZ正在发布Linux内核修复程序,以解决这些潜在的漏洞。”
来源:郭盛华老师
通过郭盛华老师
希腊电信巨头遭黑客攻击,大量用户个人信息被泄露
中新网10月17日电 据希腊《中希时报》16日报道,日前,希腊最大的电信网络公司Cosmote发生了一起重大数据泄露事件。大量希腊人的个人信息遭泄露,可能会对“国家安全问题”产生重大影响。
据报道,此次信息泄露是不明身份“黑客”攻击网络造成的,他们窃取了2020年9月1日至5日期间的电话等数据。Cosmote的高管们认为,此次“突袭者”来自国外,并表示,希望这只是一次商业炒作。
Cosmote公司还表示,被窃取的文件不包含通话(聊天)或短信内容、用户姓名或地址、信用卡或银行帐户信息,用户无需采取任何行动。该公司指出,全球范围内的网络攻击现象时有发生,不需要过分担心。
目前,该事件的调查正在进行中,还没有任何迹象表明遭窃取的信息已经被公开,或以其他方式被使用。(张维)
来源:中国新闻网
声明:转载此文是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。
通过郭盛华老师
加入会员能够学到什么程度?
首先说明一下,不管学什么东西都是从基础开始的,就像建房子一样,没有地基就想建十层,是不可能的。 学习也是一样,打好基础。学什么都快,学习是双方的事, 只要你认真学加上我们讲师的仔细辅导,效率一定很高,东方联盟通俗易懂的视频教程+内部交流群,这个就是会员的好处。