- 資訊安全:
1.意大利18岁青年发现两个OS X零日漏洞 by 安全牛
就在上周,苹果刚刚打上一个本地提权漏洞的补丁。本周,一位意大利青年发现苹果OS X系统中的两个零日漏洞,均可被利用获得对计算机的远程访问权限。
利用程序使用这两个漏洞引起OS X内核中的内存错误,这个错误可被用来绕过kASLR(内核地址空间布局随机化)获得root shell。kASLR是一项用来阻止利用代码运行的防护技术。
2.BlackHat议题分析:浅析BGP劫持利用 by Freebuf
BGP用于在不同的自治系统(AS)之间交换路由信息。当两个AS需要交换路由信息时,每个AS都必须指定一个运行BGP的节点,来代表AS与其他的AS交换路由信息。这个节点可以是一个主机。但通常是路由器来执行BGP。
由于可能与不同的AS相连,在一个AS内部可能存在多个运行BGP的边界路由器。同一个自治系统(AS)中的两个或多个对等实体之间运行的BGP 被称为 IBGP(Internal/Interior BGP)。这些子网络互相连接,通过BGP协议告诉对方自己子网络里都包括哪些IP地址段,自己的AS编号(AS Number)以及一些其他的信息。
BGP劫持分为两类:
(1)prefix劫持:当受害者被正当分配IP prefix时 劫持的AS申请同样的prefix,假冒的BGP声明来自劫持的AS,消息通过路由系统散播,其他的AS就用本地的策略选择正当AS路线还是假冒的BGP路线。
(2)subprefix劫持:攻击者可以截获受害IP的全部流量,劫持的AS创建一个受害IP prefix的subprefix,所以prefix就被受害者的IP prefix覆盖了。
3.Facebook为新类型漏洞发奖金10万刀 by Freebuf
近日,Facebook给来自佐治亚理工学院的研究人员颁发了10万美金,用于奖励后者发现了一种基于浏览器可让内存崩溃的新类别漏洞,同时他们还建立了对应的检测技术。Facebook成为继微软之后又一为漏洞及防御技术支付六位数奖励的互联网巨头。
漏洞检测工具CaVeR會在编译时执行程序,同时使用一个新的执行期类型跟踪机制——即类型层次结构表——用于克服现存方法的局限性,并且有效地验证类型动态转换。
然而,如果出现误用,它可能返回一个不安全以及不正确的值,导致所谓的错误转化或者类型混淆漏洞。由于坏转化允许攻击者在浏览器中破坏内存,使之遵循恶意的逻辑而非正确的指令。尽管越来越多的坏转化漏洞层出不穷,但是坏转化检测问题仍未在安全社区中得到解决。
就在上周,苹果刚刚打上一个本地提权漏洞的补丁。本周,一位意大利青年发现苹果OS X系统中的两个零日漏洞,均可被利用获得对计算机的远程访问权限。
利用程序使用这两个漏洞引起OS X内核中的内存错误,这个错误可被用来绕过kASLR(内核地址空间布局随机化)获得root shell。kASLR是一项用来阻止利用代码运行的防护技术。
2.BlackHat议题分析:浅析BGP劫持利用 by Freebuf
BGP用于在不同的自治系统(AS)之间交换路由信息。当两个AS需要交换路由信息时,每个AS都必须指定一个运行BGP的节点,来代表AS与其他的AS交换路由信息。这个节点可以是一个主机。但通常是路由器来执行BGP。
由于可能与不同的AS相连,在一个AS内部可能存在多个运行BGP的边界路由器。同一个自治系统(AS)中的两个或多个对等实体之间运行的BGP 被称为 IBGP(Internal/Interior BGP)。这些子网络互相连接,通过BGP协议告诉对方自己子网络里都包括哪些IP地址段,自己的AS编号(AS Number)以及一些其他的信息。
BGP劫持分为两类:
(1)prefix劫持:当受害者被正当分配IP prefix时 劫持的AS申请同样的prefix,假冒的BGP声明来自劫持的AS,消息通过路由系统散播,其他的AS就用本地的策略选择正当AS路线还是假冒的BGP路线。
(2)subprefix劫持:攻击者可以截获受害IP的全部流量,劫持的AS创建一个受害IP prefix的subprefix,所以prefix就被受害者的IP prefix覆盖了。
3.Facebook为新类型漏洞发奖金10万刀 by Freebuf
近日,Facebook给来自佐治亚理工学院的研究人员颁发了10万美金,用于奖励后者发现了一种基于浏览器可让内存崩溃的新类别漏洞,同时他们还建立了对应的检测技术。Facebook成为继微软之后又一为漏洞及防御技术支付六位数奖励的互联网巨头。
漏洞检测工具CaVeR會在编译时执行程序,同时使用一个新的执行期类型跟踪机制——即类型层次结构表——用于克服现存方法的局限性,并且有效地验证类型动态转换。
然而,如果出现误用,它可能返回一个不安全以及不正确的值,导致所谓的错误转化或者类型混淆漏洞。由于坏转化允许攻击者在浏览器中破坏内存,使之遵循恶意的逻辑而非正确的指令。尽管越来越多的坏转化漏洞层出不穷,但是坏转化检测问题仍未在安全社区中得到解决。
- 自我成長:
1.為什麼天津有這麼多的氰化鈉? by 天下編輯部
據搜狐財經,近年來,隨著中國廠商對氰化鈉的投資加大,氰化鈉產能迅速擴張,成本大幅降低,品質也相應提高,不但不再需要靠進口,出口量還迅猛提升。
2001年,中國的氰化鈉出口僅有5284噸,到了2013年,中國氰化鈉出口量高達7萬7054噸,出口額2億4855萬美元。如今,中國氰化鈉生產能力已經超過澳洲和美國,成為世界第一生產大國。
儘管本次曝光的是要出口的700噸氰化鈉,但你或許不知道,氰化鈉與中國穩坐全球黃金產量第一地位息息相關。中國力行一種簡單、投資少、建設週期短,成本低的煉金術「氰化鈉堆浸提金術」。這種開採方式需要大量使用氰化物。
和訊部落格版主三百門漁夫撰文指出,幾年來,資源相對貧瘠的中國,一直是全球黃金、鉬、鉛、鋅等有色金屬的最大生產國。這是中國敢於犧牲環境、敢於犧牲人命,敢於大量開採低品位貧礦,敢於大規模採用劇毒的氰化,敢於大範圍採用污染嚴重的堆浸工藝而取得的「成就」。
2.日式管理大改革 課長消失中 by 彭子珊
在終身雇用制度下,只要年資夠久、不出大錯,員工多半可以在五十三歲前當上課長。但為了吸納這些升遷需求,日本企業紛紛增設「擔當課長」、「專門課長」、「專任課長」等職位。
這些沒有管理實權、不用帶人、不用扛業績壓力的「一人課長」,卻享有課長級的待遇,讓愈來愈多日本企業大喊吃不消。
索尼的新職位等級(job grade)制度,將捨棄年資優先的負擔,改採雙軌制──員工的薪資、頭銜全憑表現;累積一定能力、經驗後,即便無心走上管理職,也可以專心成為技術專家或專案經理。
松下同樣捨棄年資為主的職能資格制度,改以員工的貢獻作為分級、薪資計算基準。
豐田汽車十年前就開始針對日本國內的課長們開設「立志塾」。長達半年的課程裡,學員們每個月都要來一場為期兩天一夜的「人生教育」。他們不談業績、不重攻略,上的不是一般企業經營課程,而是從個性鍛鍊起,引導這批未來管理者立定志向。
3.從局來談:媒體為何沒下限? 明明人人大罵,為何不見改進? by 張國洋
比訊息控制能力及速度,電視新聞怎麼樣都比不上FB或Twitter來得快,而且網路族群又陸續從傳統媒體上遠離,所以電視台也明白,自己其實已經很難靠「即時性」還有「畫面」吸引住網路族群。但要開發新節目需要時間與錢,而且做了也未必有人看。
與其冒這風險,不如先想想有沒有更簡單又更穩定的視聽觀眾可以維持? 很直接的腦筋,當然就放在缺乏網路能力的那群人身上。既然他們沒有簡單的途徑看到這些網路趣聞,那讓他們可以簡單看到,不就是快速取悅他們的方式?
至於能上網的族群,也未必人人都看過別人行車紀錄器的事情、未必會知道所有的誇張趣聞。 只要新聞內容夠聳動,你會吃驚而想整篇看完。這份「吃驚感」,就足夠讓你能多看幾則廣告或多看幾則置入性的新聞。換句話,留你的目光,目的也就達到了。你看完相信也好,要罵也好,反正也不會改變你看了的事實。
據搜狐財經,近年來,隨著中國廠商對氰化鈉的投資加大,氰化鈉產能迅速擴張,成本大幅降低,品質也相應提高,不但不再需要靠進口,出口量還迅猛提升。
2001年,中國的氰化鈉出口僅有5284噸,到了2013年,中國氰化鈉出口量高達7萬7054噸,出口額2億4855萬美元。如今,中國氰化鈉生產能力已經超過澳洲和美國,成為世界第一生產大國。
儘管本次曝光的是要出口的700噸氰化鈉,但你或許不知道,氰化鈉與中國穩坐全球黃金產量第一地位息息相關。中國力行一種簡單、投資少、建設週期短,成本低的煉金術「氰化鈉堆浸提金術」。這種開採方式需要大量使用氰化物。
和訊部落格版主三百門漁夫撰文指出,幾年來,資源相對貧瘠的中國,一直是全球黃金、鉬、鉛、鋅等有色金屬的最大生產國。這是中國敢於犧牲環境、敢於犧牲人命,敢於大量開採低品位貧礦,敢於大規模採用劇毒的氰化,敢於大範圍採用污染嚴重的堆浸工藝而取得的「成就」。
2.日式管理大改革 課長消失中 by 彭子珊
在終身雇用制度下,只要年資夠久、不出大錯,員工多半可以在五十三歲前當上課長。但為了吸納這些升遷需求,日本企業紛紛增設「擔當課長」、「專門課長」、「專任課長」等職位。
這些沒有管理實權、不用帶人、不用扛業績壓力的「一人課長」,卻享有課長級的待遇,讓愈來愈多日本企業大喊吃不消。
索尼的新職位等級(job grade)制度,將捨棄年資優先的負擔,改採雙軌制──員工的薪資、頭銜全憑表現;累積一定能力、經驗後,即便無心走上管理職,也可以專心成為技術專家或專案經理。
松下同樣捨棄年資為主的職能資格制度,改以員工的貢獻作為分級、薪資計算基準。
豐田汽車十年前就開始針對日本國內的課長們開設「立志塾」。長達半年的課程裡,學員們每個月都要來一場為期兩天一夜的「人生教育」。他們不談業績、不重攻略,上的不是一般企業經營課程,而是從個性鍛鍊起,引導這批未來管理者立定志向。
3.從局來談:媒體為何沒下限? 明明人人大罵,為何不見改進? by 張國洋
比訊息控制能力及速度,電視新聞怎麼樣都比不上FB或Twitter來得快,而且網路族群又陸續從傳統媒體上遠離,所以電視台也明白,自己其實已經很難靠「即時性」還有「畫面」吸引住網路族群。但要開發新節目需要時間與錢,而且做了也未必有人看。
與其冒這風險,不如先想想有沒有更簡單又更穩定的視聽觀眾可以維持? 很直接的腦筋,當然就放在缺乏網路能力的那群人身上。既然他們沒有簡單的途徑看到這些網路趣聞,那讓他們可以簡單看到,不就是快速取悅他們的方式?
至於能上網的族群,也未必人人都看過別人行車紀錄器的事情、未必會知道所有的誇張趣聞。 只要新聞內容夠聳動,你會吃驚而想整篇看完。這份「吃驚感」,就足夠讓你能多看幾則廣告或多看幾則置入性的新聞。換句話,留你的目光,目的也就達到了。你看完相信也好,要罵也好,反正也不會改變你看了的事實。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言