Aggregator

苹果A17 Pro芯片存在严重硬件缺陷：安全 enclave与触控屏共享I²C4总线导致系统级联故障。此设计缺陷可能引发设备功能失效及关键数据丢失问题。

The U.S. District Court for the Eastern District of New York has unsealed a superseding indictment against a Ukrainian national, charging him with his alleged role as an administrator in the LockerGoga, MegaCortex, and Nefilim ransomware operations. The schemes reportedly extorted over 250 companies in the United States and hundreds more across the globe, causing […]

The post Authorities Arrested Admins Of “LockerGoga,” “MegaCortex,” And “Nefilim” Ransomware Gangs appeared first on Cyber Security News.

微软宣布个人开发者通过 Microsoft Store 发布应用将免费注册及签名，并可使用自定义应用内购买系统保留全部收入。微软还将提供自动更新功能以提升用户体验。企业开发者和游戏类应用仍按原政策执行。

这篇文章描述了错误代码521的情况及其影响。

HackerNews 编译，转载请注明出处： 谷歌将 C2PA 内容凭证集成到 Pixel 10 相机和谷歌照片中，以帮助用户区分真实未被篡改的图像和通过人工智能技术生成或编辑的图像。 这家美国公司指出，近年来，标记合成媒体的问题变得更大了，因为传统方法已不再适用，留下了被曲解和误用的空间。 在最新的 Pixel 10 手机中，每张拍摄的 JPEG 照片都会自动附加内容凭证，揭示它们是如何制作的。 “内容凭证传达了关于图像、视频或音频文件等媒体是如何制作的丰富信息，这些信息受到过去几十年来保护在线交易和移动应用安全的相同数字签名技术的保护，”谷歌解释说。 “它赋予用户识别 AI 生成（或篡改）内容的能力，有助于促进生成式 AI 的透明度和可信度。” 谷歌表示，该系统可以离线工作，在整个过程中不受外部干扰，并且在保留可验证性的同时不威胁用户的匿名性。 这家科技巨头概述了它在内容凭证系统中融入的几层安全性和完整性保证，以使其具有防篡改性和可信度，包括： – 当元数据被修改时会使数字签名失效的加密签名。 – 防篡改的密钥存储，所有加密密钥都在 Titan M2 安全芯片内的安卓强盒中生成和存储。 – 安卓密钥认证，使谷歌的 C2PA 认证机构能够验证请求凭证的硬件和应用的真实性。 – 每张图像使用一次性密钥，这意味着每张照片都用一个独特的加密密钥签名，这个密钥永远不会被重复使用，从而保护用户的隐私和匿名性。 – 由 Tensor 芯片维护的安全内部时钟支持的设备上可信时间戳，这使得 Pixel 设备即使在离线状态下也能附加可验证的时间戳。 尽管内容凭证系统目前仅在 Pixel 10 设备上可用，但谷歌暗示未来可能会将其扩展到更多的安卓设备，尽管尚未分享任何具体的时间表。 该公司敦促行业利益相关者超越简单的 AI 标签，采用内容凭证，强调打击虚假信息和深度伪造需要在整个生态系统范围内广泛采用可验证的来源。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

加码活动和业务翻倍活动、王牌A活动、月度活动等活动叠加且均计入双十一安全保卫战军衔！

文章描述了一个技术问题：由于服务器无法建立连接而导致的521错误代码出现的情况。这种情况可能导致网页无法正常加载或显示空白页面。建议检查网络连接或稍后再试，并联系相关技术支持以解决问题。

HackerNews 编译，转载请注明出处： 这是NPM生态系统历史上最大的供应链妥协事件，大约影响了10%的云环境，但攻击者几乎没有从中获利。 此次攻击发生在本周早些时候，维护者Josh Junon（qix）中了一个密码重置网络钓鱼诱饵，导致多个非常受欢迎的NPM软件包被入侵，其中包括每周下载量超过26亿次的chalk和debug-js。 在入侵Junon的账户后，攻击者推送了带有恶意模块的恶意更新，该模块通过将交易重定向到威胁行为者那里来窃取加密货币。 开源软件社区迅速发现了这次攻击，所有恶意软件包在两小时内被移除。 根据云安全公司Wiz的研究人员称，被入侵的软件包之一或多个是几乎所有JavaScript/Node项目的基石，在99%的云环境中被使用。 在它们可供下载的两小时窗口期内，大约10%的云环境下载了这些被入侵的软件包。 Wiz解释说：“在恶意版本在npm上可用的短短两小时内，恶意代码成功地进入了10%的云环境。” “这表明在像这样的供应链攻击中，恶意代码传播的速度有多快。” 10%的比例是基于Wiz对客户云环境的可见性以及公开来源得出的。虽然它可能不是一个具有代表性的比例，但它仍然表明了攻击的快速传播和覆盖范围。 攻击者获利不到1000美元 尽管这次攻击造成了显著的干扰，需要公司花费大量时间进行清理、重建和审计，但安全影响微不足道，就像威胁行为者的利润一样。 根据安全联盟的分析，注入的代码针对浏览器环境，拦截以太坊和索拉纳的签名请求，将加密货币钱包地址替换为攻击者控制的地址（加密劫持）。 这种类型的恶意负载拯救了那些下载了被入侵设备的公司，使它们免于更严重的安全事件，因为威胁行为者本可以利用他们的访问权限植入反向shell，在网络中横向移动，或者植入破坏性恶意软件。 尽管攻击规模巨大，受害者众多，但攻击者只转移了价值五美分的ETH和价值20美元的几乎无人知晓的meme币。 昨天，Socket研究人员发布了一份报告，提醒说，同样的网络钓鱼活动也影响了DuckDB维护者账户，用同样的加密货币窃取代码入侵了该项目的软件包。 根据他们的说法，追踪到攻击者钱包的利润大约是429美元的以太坊，46美元的索拉纳，以及少量的比特币、波场、比特币现金和莱特币，总计600美元。 还指出，持有任何显著金额的攻击者钱包地址已经被标记，限制了他们转换或使用他们赚到的少量钱的能力。     消息来源：bleepingcomputer； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

文章描述了一个网络威胁情报平台的实时状态及活动信息，包括值班人员Guy Bruneau、绿色威胁等级、ISC Stormcast播客更新以及即将在拉斯维加斯举办的“应用安全：保护Web应用、API和微服务”课程等信息。

9月5日，GitGuardian安全研究团队发现了一起代号为“GhostAction”的大规模供应链攻击事件，攻击者通过操纵GitHub Actions工作流程，成功窃取了数千个敏感凭证，涉及327名GitHub用户的817个代码仓库。

🔒 2025年国家网络安全宣传周丨这些网络安全知识，值得学习+收藏！ 🔒🌐 网络安全为何与我们息息相关？🔺

当前环境出现异常情况，需完成验证后才能继续访问服务。

对一次诈骗app渗透测试

· 苹果的特殊照顾：iPhone Air 韩国官网没有捏合手势动画

让世界了解中国网络安全科技

当前环境出现异常状态，需完成验证后方可继续访问。

在保证数据库拥有者权益的情况下允许接收者计算最大修改位数的数据库水印方案

微软淘汰旧组件；Windows 11引入新表情；Spotify推出无损音质；佳能、尼康、RED发布新相机；三大运营商推进eSIM业务。