- 資訊安全:
1.word类型混淆漏洞(CVE-2015-1641)分析 by Freebuf
今年4月份微软修补了一个名为CVE-2015-1641的word类型混淆漏洞,攻击者可以构造嵌入了docx的rtf文档进行攻击。word在解析docx文档处理displacedByCustomXML属性时未对customXML对象进行验证,可以传入其他标签对象进行处理,造成类型混淆,导致任意内存写入,最终经过精心构造的标签以及对应的属性值可以造成远程任意代码执行。
CVE-2015-1641这个漏洞的触发非常稳定,几乎影响微软目前所支持的所有office版本(最新推出的Office 2016除外),影响范围十分广泛。目前无论是在VirusTotal还是在野外抓到的样本,利用这个漏洞的攻击样本已经开始逐渐增加。根据以上原因可以推断,在今后很长的一段时间内都会存在该漏洞的攻击,并且有替代CVE-2012-0158的趋势。
2.NSA能够破解加密WEB和VPN连接 by 360安全播报
近些年来,隐私倡导者们一直都在努力去要求网站开发者,虚拟专用网络app,以及其他的一些加密软件在产品开发的过程中采用Diffie-Hellman加密密钥交换技术,并通过这一密钥交换协议来防止美国国家安全机构以及其他的国家间谍窥探公民的隐私。
现在,安全研究人员再一次地提醒大家,在各个产品中所采用的密钥交换协议里存在有一个严重的安全漏洞,这一安全漏洞将允许美国国家安全局破解并监听上万亿加密链接中的数据。
Diffie-Hellman密钥交换协议是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。
虽然Diffie-Hellman密钥交换本身是一个匿名 (无认证)的密钥交换协议,但它却是很多认证协议的基础,并且被用来提供传输层安全协议的短暂模式中的完备的前向安全性。
安全研究专家Alex Halderman和Nadia Heninger在周三时发表了一篇文章,曝光了NSA监听加密通信数据的秘密,而且还揭露了有关HTTPS网站的攻击,电子邮件服务器,以及其他目前正在广泛使用的互联网服务正在受到窃听的事实。
这种攻击被称为“Logjam”,该攻击所带来的影响是非常严重的,因为它只需要两周左右的时间来生成攻击所需的相应数据,即两种最常用的512位素数,Diffie-Hellman协议将会使用这一关键数据来进行协议对话。
为了破解通信链接,攻击者需要使用数域筛选算法来预先计算出所需数据。当攻击者完成这一操作之后,他们就可以对通信连接执行实时的中间人攻击了。
3.澳大利亚政府将监控国民的所有短信、电话及邮件 by 360安全播报
澳大利亚政府的新数据保留法律生效,因此澳大利亚电信公司将保留大量的电信两年的元数据。法律称这是为了保护国家防止有组织的恐怖分子和罪犯犯罪,就像每一个政府机构包括美国情报机构的国家安全局和英国情报局GCHQ。
今年4月份微软修补了一个名为CVE-2015-1641的word类型混淆漏洞,攻击者可以构造嵌入了docx的rtf文档进行攻击。word在解析docx文档处理displacedByCustomXML属性时未对customXML对象进行验证,可以传入其他标签对象进行处理,造成类型混淆,导致任意内存写入,最终经过精心构造的标签以及对应的属性值可以造成远程任意代码执行。
CVE-2015-1641这个漏洞的触发非常稳定,几乎影响微软目前所支持的所有office版本(最新推出的Office 2016除外),影响范围十分广泛。目前无论是在VirusTotal还是在野外抓到的样本,利用这个漏洞的攻击样本已经开始逐渐增加。根据以上原因可以推断,在今后很长的一段时间内都会存在该漏洞的攻击,并且有替代CVE-2012-0158的趋势。
2.NSA能够破解加密WEB和VPN连接 by 360安全播报
近些年来,隐私倡导者们一直都在努力去要求网站开发者,虚拟专用网络app,以及其他的一些加密软件在产品开发的过程中采用Diffie-Hellman加密密钥交换技术,并通过这一密钥交换协议来防止美国国家安全机构以及其他的国家间谍窥探公民的隐私。
现在,安全研究人员再一次地提醒大家,在各个产品中所采用的密钥交换协议里存在有一个严重的安全漏洞,这一安全漏洞将允许美国国家安全局破解并监听上万亿加密链接中的数据。
Diffie-Hellman密钥交换协议是一种安全协议。它可以让双方在完全没有对方任何预先信息的条件下通过不安全信道建立起一个密钥。这个密钥可以在后续的通讯中作为对称密钥来加密通讯内容。
虽然Diffie-Hellman密钥交换本身是一个匿名 (无认证)的密钥交换协议,但它却是很多认证协议的基础,并且被用来提供传输层安全协议的短暂模式中的完备的前向安全性。
安全研究专家Alex Halderman和Nadia Heninger在周三时发表了一篇文章,曝光了NSA监听加密通信数据的秘密,而且还揭露了有关HTTPS网站的攻击,电子邮件服务器,以及其他目前正在广泛使用的互联网服务正在受到窃听的事实。
这种攻击被称为“Logjam”,该攻击所带来的影响是非常严重的,因为它只需要两周左右的时间来生成攻击所需的相应数据,即两种最常用的512位素数,Diffie-Hellman协议将会使用这一关键数据来进行协议对话。
为了破解通信链接,攻击者需要使用数域筛选算法来预先计算出所需数据。当攻击者完成这一操作之后,他们就可以对通信连接执行实时的中间人攻击了。
3.澳大利亚政府将监控国民的所有短信、电话及邮件 by 360安全播报
澳大利亚政府的新数据保留法律生效,因此澳大利亚电信公司将保留大量的电信两年的元数据。法律称这是为了保护国家防止有组织的恐怖分子和罪犯犯罪,就像每一个政府机构包括美国情报机构的国家安全局和英国情报局GCHQ。
- 自我成長:
1.30歲前實現跨國事業夢想--從「說」開始 by 立馬度
每個平凡的日子裡,我們總是不時冒出幾些好點子或是目標,冒出好多燈泡。有時候是重複的一顆燈泡一直出現,但亮完幾秒我們又被身邊的事情轉移了注意力,於是它又暗淡了下來;然後它就不見了,等待下一次被啟動。
其實燈泡亮了又暗,暗了又亮,不是因為我們不在意,而是我們仔細思考之後,思考地「太仔細」了,所以總是難有一個「終於要開始了」的契機;或總是怕「分享給別人聽的時候被挑戰或否決」,因此總是覺得「似乎可以再想想、想清楚些」;又或是覺得「容不得一個失敗,但又還想不到它如何能百分之百成功」,所以躊躇不前、難以開始。
我們不要以為一切都是這麼簡單的,但也不要以為一切都很難。一切都是簡單但又需要一些把握:其實就從「說」開始。
一直待在「舒適圈」不好,但一直處在「艱困圈」也有礙身體健康。或許,我們每天做個三五件在「舒困圈」裡的事情:也就是努力地把點子「說」給別人聽!如此一來,給樂透一個千載難逢的機會,也將自己的好點子往前推進一步。明天,或許就不一樣了。
2.「優良」公寓大廈的有形與無形 by 李永展
如何透過都市設計審議及建築管理機制來規定社區開放空間的開放性是一個技術性問題,但更積極的做法則是應透過社區營造及環境教育的方式,讓社區居民及社會大眾對開放空間有正確的認識及合理要求,才能真正解決開放空間不開放的窘境。
而在有形的、可見的建築與空間之外,公寓大廈維護管理的核心終究還是人在其中的活動,以及人與人之間的交流。例如善用黃金人口及中年退休人口,形成社區志工網絡、投入社會服務,即是公寓大廈軟體經營未來可著力之處。特別是在已然成形的「高齡社會」中,日常生活的聯繫與陪伴將是最有力的社會防護。
總而言之,在都會區公寓大廈的居住型態與流動跨域的生活型態中,如何使傳統的、水平的「社區營造」,擴大到議題的、網絡的「社群營造」,將是定義「優良」公寓大廈最不可或缺的內涵。
3.打破8小時迷思 研究:部落原住民可能睡得比你少 by Sid Weng
加州大學洛杉磯分校精神病學家席格爾(Jerome Siegel)帶領研究團隊,追蹤南美洲玻利維亞「齊曼內」(Tsimane)、東非坦尚尼亞「哈茲達」(Hadza)及西南非納米比亞「山」(San)3個部落94名成年人,歷時1165天研究後發現,過著狩獵、採集生活的他們,就算沒有電力等其他現代科技影響,睡眠竟然比朝九晚五上班、飽受聲光刺激的「文明人」還要短。受試者的平均每天睡眠僅6小時25分鐘,只達工業化社會睡眠時間平均值的低標。
新墨西哥州立大學(University of New Mexico)人類學家葉提斯(Gandhi Yetish)說,研究顯示,長久以來被頌揚的睡眠8小時、傳統有關「正常睡眠」的信仰,因此備受挑戰,實際上人們不想睡那麼久。
每個平凡的日子裡,我們總是不時冒出幾些好點子或是目標,冒出好多燈泡。有時候是重複的一顆燈泡一直出現,但亮完幾秒我們又被身邊的事情轉移了注意力,於是它又暗淡了下來;然後它就不見了,等待下一次被啟動。
其實燈泡亮了又暗,暗了又亮,不是因為我們不在意,而是我們仔細思考之後,思考地「太仔細」了,所以總是難有一個「終於要開始了」的契機;或總是怕「分享給別人聽的時候被挑戰或否決」,因此總是覺得「似乎可以再想想、想清楚些」;又或是覺得「容不得一個失敗,但又還想不到它如何能百分之百成功」,所以躊躇不前、難以開始。
我們不要以為一切都是這麼簡單的,但也不要以為一切都很難。一切都是簡單但又需要一些把握:其實就從「說」開始。
一直待在「舒適圈」不好,但一直處在「艱困圈」也有礙身體健康。或許,我們每天做個三五件在「舒困圈」裡的事情:也就是努力地把點子「說」給別人聽!如此一來,給樂透一個千載難逢的機會,也將自己的好點子往前推進一步。明天,或許就不一樣了。
2.「優良」公寓大廈的有形與無形 by 李永展
如何透過都市設計審議及建築管理機制來規定社區開放空間的開放性是一個技術性問題,但更積極的做法則是應透過社區營造及環境教育的方式,讓社區居民及社會大眾對開放空間有正確的認識及合理要求,才能真正解決開放空間不開放的窘境。
而在有形的、可見的建築與空間之外,公寓大廈維護管理的核心終究還是人在其中的活動,以及人與人之間的交流。例如善用黃金人口及中年退休人口,形成社區志工網絡、投入社會服務,即是公寓大廈軟體經營未來可著力之處。特別是在已然成形的「高齡社會」中,日常生活的聯繫與陪伴將是最有力的社會防護。
總而言之,在都會區公寓大廈的居住型態與流動跨域的生活型態中,如何使傳統的、水平的「社區營造」,擴大到議題的、網絡的「社群營造」,將是定義「優良」公寓大廈最不可或缺的內涵。
3.打破8小時迷思 研究:部落原住民可能睡得比你少 by Sid Weng
加州大學洛杉磯分校精神病學家席格爾(Jerome Siegel)帶領研究團隊,追蹤南美洲玻利維亞「齊曼內」(Tsimane)、東非坦尚尼亞「哈茲達」(Hadza)及西南非納米比亞「山」(San)3個部落94名成年人,歷時1165天研究後發現,過著狩獵、採集生活的他們,就算沒有電力等其他現代科技影響,睡眠竟然比朝九晚五上班、飽受聲光刺激的「文明人」還要短。受試者的平均每天睡眠僅6小時25分鐘,只達工業化社會睡眠時間平均值的低標。
新墨西哥州立大學(University of New Mexico)人類學家葉提斯(Gandhi Yetish)說,研究顯示,長久以來被頌揚的睡眠8小時、傳統有關「正常睡眠」的信仰,因此備受挑戰,實際上人們不想睡那麼久。
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言