#PSA: Windows 远程桌面授权服务存在无需交互的 RCE;请尽快更新。
波及 Windows Server 2008-2022。无法更新的用户可考虑禁用 Remote Desktop Licensing Service 服务。
msrc.microsoft.com/~
CVE: CVE-2024-38077
CVSS: 9.8 (Microsoft)
#CVE #WindowsServer
波及 Windows Server 2008-2022。无法更新的用户可考虑禁用 Remote Desktop Licensing Service 服务。
msrc.microsoft.com/~
CVE: CVE-2024-38077
CVSS: 9.8 (Microsoft)
#CVE #WindowsServer
#PSA: Windows TCP/IP IPv6 相关 RCE 漏洞;请尽快更新。
波及 Windows 10/11 及 Windows Server 2008-2022。收到特定的 IPv6 包组合可使 Windows 系统执行任意代码。如果无法安装修复程序,可以考虑禁用 IPv6。
msrc.microsoft.com/~
CVE: CVE-2024-38063
CVSS: 9.8 (2024)
#CVE #Windows
波及 Windows 10/11 及 Windows Server 2008-2022。收到特定的 IPv6 包组合可使 Windows 系统执行任意代码。如果无法安装修复程序,可以考虑禁用 IPv6。
msrc.microsoft.com/~
CVE: CVE-2024-38063
CVSS: 9.8 (2024)
#CVE #Windows
Apple 发布新政策:允许欧盟开发者从 App 链接至第三方平台进行购买,但要抽成最多 25%。
- developer.apple.com/~
- theverge.com/~
#Apple #IAP #EU
- developer.apple.com/~
- theverge.com/~
#Apple #IAP #EU
层叠 - The Cascading
第八届挺好萌将于 2024/7/28 开始提名。 > 我台呼吁公众给明年的《Ave Mujica》留一点机会,让祥子度过一个安详的晚年。 > 我台呼吁公众关注初代挺王 YOSORO 及 Aqours 生态。 > 我台在《BanG Dream! It's MyGO!!!!!》和《吹响吧!上低音号》间选择立场中立。 tieba.baidu.com/~ ⌒⌣⌒ #today
第八届挺好萌由 BanG Dream! It's MyGO!!!!! 的若叶睦夺冠。
- 若叶睦于决赛中以 55% 的得票率险胜椎名立希,夺得本届「挺王」称号。
- 本届挺好萌的「立希规则」,使得椎名立希免于再次遭受上届中被同企划「挺王」长崎素世提早淘汰的遗憾,夺得第二名。
- 丰川祥子则力压高松灯,夺得第三名。
- 以上角色均为 BanG Dream! It's MyGO!!!!! 中的角色。
-若叶睦能否以 Ave Mujica 的 Mortis 身份重新出道参与挺王竞争?这是个好问题。
-椎名立希能否达成三次陪跑的成就?这也是个好问题。
各位订户亦可利用下列站点查看过往投票结果。
- https://tieba.baidu.com/p/9141814701
- https://tinghao.moe/
thread: /4568
#today
- 若叶睦于决赛中以 55% 的得票率险胜椎名立希,夺得本届「挺王」称号。
- 本届挺好萌的「立希规则」,使得椎名立希免于再次遭受上届中被同企划「挺王」长崎素世提早淘汰的遗憾,夺得第二名。
- 丰川祥子则力压高松灯,夺得第三名。
- 以上角色均为 BanG Dream! It's MyGO!!!!! 中的角色。
-
-
各位订户亦可利用下列站点查看过往投票结果。
- https://tieba.baidu.com/p/9141814701
- https://tinghao.moe/
thread: /4568
#today
Baidu
【第八届挺好萌】决赛!!!!!【萌战吧】_百度贴吧
【第八届挺好萌】决赛..今日参战名单如下:第1组:[BanG Dream! It's MyGO!!!!!-椎名立希][BanG Dream! It's MyGO!!!!!-若叶睦]第2组:[BanG Drea
层叠 - The Cascading
几乎在 MongoDB 切换到 SSPL 刚好两年之后,Elastic 从 7.11 版本开始也换 SSPL 协议了。 src: https://www.elastic.co/blog/licensing-change
Elastic Blog
Elasticsearch Is Open Source. Again!
Elastic announces the return of open source licensing for Elasticsearch and Kibana, adding AGPL as an option alongside existing licenses. This change reinforces our long-standing commitment to open source principles and the open source community.
美国联邦上诉法院判决称 TikTok 推荐算法不受 Section 230 保护,应对孩童致死一案负责。
- 美国一名十岁儿童模仿 Tik Tok 推荐页展示的 "Blackout Challenge" 内容而死亡,母亲向 TikTok 提起诉讼。
- 宾州法院判决 TikTok 推荐算法受 Section 230 保护,因而不应为此案负责;联邦第三巡回上诉法院重审后推翻此判决。
- Section 230 使平台免于为用户生成内容负责。它常被认为是网络平台得以蓬勃发展的原因之一,但亦有批评称此条文已成为社交平台疏于管理时的脱罪符 [1]。
arstechnica.com/~
seealso: HackerNews:41391868
seealso2: /4099
1. www.thebignewsletter.com/~
#Section230 #TikTok
- 美国一名十岁儿童模仿 Tik Tok 推荐页展示的 "Blackout Challenge" 内容而死亡,母亲向 TikTok 提起诉讼。
- 宾州法院判决 TikTok 推荐算法受 Section 230 保护,因而不应为此案负责;联邦第三巡回上诉法院重审后推翻此判决。
- Section 230 使平台免于为用户生成内容负责。它常被认为是网络平台得以蓬勃发展的原因之一,但亦有批评称此条文已成为社交平台疏于管理时的脱罪符 [1]。
arstechnica.com/~
seealso: HackerNews:41391868
seealso2: /4099
1. www.thebignewsletter.com/~
#Section230 #TikTok
Ars Technica
Court: Section 230 doesn’t shield TikTok from Blackout Challenge death suit
TikTok must face claim over For You Page recommending content that killed kids.
微软更新服务协议,9/30 生效。
协议的修改中包括但不限于:
* 关于第三方软件的免责条款
* 禁止用户为使用产品而虚构其地理位置 (6 (a))
* 关于各区域内提供服务之法律实体的更新 (10)
* 关于 Copilot 及 AI 功能的条款更新 (13 (q) 及 13 (r))
* 关于索赔期限限制为一年内的条款 (15)
microsoft.com/~
#Microsoft
协议的修改中包括但不限于:
* 关于第三方软件的免责条款
* 禁止用户为使用产品而虚构其地理位置 (6 (a))
* 关于各区域内提供服务之法律实体的更新 (10)
* 关于 Copilot 及 AI 功能的条款更新 (13 (q) 及 13 (r))
* 关于索赔期限限制为一年内的条款 (15)
microsoft.com/~
#Microsoft
层叠 - The Cascading
Kizuna AI The Last Live "hello, world 2022" 将于今日北京时间 18 时正式开始。在这之后,绊爱将无限期休止活动。 超过 1000 名 VTuber 将参与此 Live。 - https://www.youtube.com/watch?v=GTa2HxIsBPM - https://live.bilibili.com/1485080 thread: /3213 #KizunaAI #VTuber
新人 VTuber のんちぃ(暂译为小望)于近日开始活动。
大量信息暗示此 VTuber 的中之人为春日望,即初代 Kizuna AI 的中之人。感兴趣的订户可查看 [thread] 中的视频链接以了解 Kizuna AI 的细节。
https://www.bilibili.com/video/av113045804222534/
thread: /3433
#VTuber
大量信息暗示此 VTuber 的中之人为春日望,即初代 Kizuna AI 的中之人。感兴趣的订户可查看 [thread] 中的视频链接以了解 Kizuna AI 的细节。
https://www.bilibili.com/video/av113045804222534/
thread: /3433
#VTuber
Bilibili
超大型新人VTuber的首播!前世是?_哔哩哔哩_bilibili
你是不能望记的人💖🪽💖小望bilibili ▶︎https://space.bilibili.com/526972283Youtube ▶︎https://www.youtube.com/channel/UCnin3au_ZfBGph17cXuHM-wX ▶︎https://x.com/nonchii_dayo💖素材https://youtu.be/KFUSBrPxV_gBV1E7steaE3S, 视频播放量 408137、弹幕量 389、点赞数 25180、投硬币枚数 2120、收藏人数 8282、转发人数…
蔡衍明提告台湾维基媒体协会要求允许其编辑自己的维基百科条目;法院判决其提告无理由而驳回。
- 蔡衍明认为自己的维基百科条目侵害其名誉及人格权,要求台湾维基媒体协会允许其编辑此条目。
- 台湾维基媒体协会解释称其并不管理中文维基百科;蔡衍明之编辑行为亦未受到限制。
news.ltn.com.tw/~
#TW #Wikipedia
- 蔡衍明认为自己的维基百科条目侵害其名誉及人格权,要求台湾维基媒体协会允许其编辑此条目。
- 台湾维基媒体协会解释称其并不管理中文维基百科;蔡衍明之编辑行为亦未受到限制。
news.ltn.com.tw/~
#TW #Wikipedia
自由時報電子報
蔡衍明不爽被指「親中」 狀告維基百科協會吞敗 - 社會 - 自由時報電子報
旺中集團董事長蔡衍明不滿中文維基百科網站記載他「為向中國共產黨示好...買下中視、中天、中國時報...並將中時集團改名為旺旺中時...」等語,決定對台灣維基媒體協會提起民事訴訟,請求台北地院命該協會容忍他編輯相關言論,法官審理後認蔡提告無理由,判決敗訴;可上訴。中文維基百科網站記載蔡衍明「為向中國共產黨示好,因此買下中視、中天、中國時報、工商時報,並將中時集團改名為旺旺中時媒體集團」,還指他「蔡衍明買下中時集團後,曾面見國台辦主任王毅,說明收購中時集團的過程」等語。
英飞凌的 ECDSA 实现存在侧信道攻击漏洞;影响 Yubikey 5;攻击需要设备物理访问。
- Yubikey 5 系固件版本在 5.7.0 以下的设备及 YubiHSM 2 系固件版本在 2.4.0 的设备受到影响。
- 物理持有受影响设备的骇客或能够恢复设备中的 ECDSA 私钥;完成此攻击可能还需要设备 PIN 等信息。
- 用户可换用基于 RSA 的验证方式以规避此问题,组织则可考虑提高验证频率要求以使用户更早认知到 Yubikey 丢失情形。
https://ninjalab.io/eucleak/
1. yubico.com/~
linksrc: https://www.tgoop.com/bupt_moe/2237
#Cryptography #Security #Yubikey #Infineon #EUCLEAK
- Yubikey 5 系固件版本在 5.7.0 以下的设备及 YubiHSM 2 系固件版本在 2.4.0 的设备受到影响。
- 物理持有受影响设备的骇客或能够恢复设备中的 ECDSA 私钥;完成此攻击可能还需要设备 PIN 等信息。
- 用户可换用基于 RSA 的验证方式以规避此问题,组织则可考虑提高验证频率要求以使用户更早认知到 Yubikey 丢失情形。
https://ninjalab.io/eucleak/
1. yubico.com/~
linksrc: https://www.tgoop.com/bupt_moe/2237
#Cryptography #Security #Yubikey #Infineon #EUCLEAK
NinjaLab
EUCLEAK - NinjaLab
Download the Writeup Illustration Romain Flamand – Flamingo Studio – [email protected] Abstract Secure elements are small microcontrollers whose main purpose is to generate/store secrets and then execute cryptographic operations. They undergo the highest…
Internet Archive 上诉失败:法院判决 IA 的数字借阅行为不符合 fair use。
- Internet Archive 在 2020 年左右发布 Open Library 项目,按纸质书籍的保有数量 1:1 向用户提供数字扫描版本借出服务。
- COVID-19 流行时期间,IA 放宽了借阅政策,发布 National Emergency Library 项目,这个项目取消了 1:1 借出的限制。
- National Emergency Library 项目后,书籍发行商起诉 IA,认为这两个项目侵犯自身著作权。
theverge.com/~
#InternetArchive #Copyright
- Internet Archive 在 2020 年左右发布 Open Library 项目,按纸质书籍的保有数量 1:1 向用户提供数字扫描版本借出服务。
- COVID-19 流行时期间,IA 放宽了借阅政策,发布 National Emergency Library 项目,这个项目取消了 1:1 借出的限制。
- National Emergency Library 项目后,书籍发行商起诉 IA,认为这两个项目侵犯自身著作权。
theverge.com/~
#InternetArchive #Copyright
The Verge
The Internet Archive just lost its appeal over ebook lending
A big blow to the Internet Archive.
层叠 - The Cascading
马来西亚当局要求 ISP 重定向第三方 DNS 流量到自家 DNS。 马来西亚通讯及多媒体委员会 (MCMC) 称此举是为确保用户受到保护。 thesun.my/~ #Malaysia #DNS
theSun
MCMC asked not to proceed with DNS redirection method - Fahmi
He stressed that cybercrime issues, such as gambling, prostitution and pornography websites, demand comprehensive solutions.
层叠 - The Cascading
Unity 发文致歉并宣布收费政策修改。 这篇文章还提到: - Unity Personal 将不收取安装费 (runtime fee)。除此之外,Unity Personal 开发者收入上限将从 $100k 调高至 $200k,也将不会被要求使用 Made with Unity 开屏界面。 - Unity Pro/Enterprise 开发者则将从 2024 年的下个 Unity LTS 版本起被收取安装费,开发者也可以选择缴交 2.5% 的收入作为安装费的替代。安装数和收入均由开发者自行报告。 h…
Unity 费率变动:取消安装费,改而给 Pro/Enterprise 订阅涨价 8% 和 25%。
https://unity.com/blog/unity-is-canceling-the-runtime-fee
thread: /4325
[感谢 夜坂雅 提供此消息。]
#Unity
https://unity.com/blog/unity-is-canceling-the-runtime-fee
thread: /4325
[感谢 夜坂雅 提供此消息。]
#Unity
Unity
Unity is Canceling the Runtime Fee
After deep consultation with our community, customers, and partners, we’ve made the decision to cancel the Runtime Fee, effective immediately.
层叠 - The Cascading
由 Mozilla 建立的 Mastodon 实例似乎已经上线,不过目前尚未开放注册。 https://mozilla.social/ #Mozilla #Mastodon
Mozilla 宣布将于 12/17 停运 mozilla.social。
https://mozilla.social/@mozilla/113153943609185249
thread: /4100
#Mozilla #Mastodon
https://mozilla.social/@mozilla/113153943609185249
thread: /4100
#Mozilla #Mastodon
Mozilla.social
Mozilla (@[email protected])
We’ve made the hard decision to end our experiment with Mozilla.social and will shut down the Mastodon instance on December 17, 2024. Thank you for being part of the Mozilla.social community and providing feedback during our closed beta. You can continue…
#PSA: 立即更新 GitLab!Ruby-SAML 未能正确验证 SAML 签名。
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://www.tgoop.com/billchenla/19542
#Security #SAML #GitLab
请升级至:
- GitLab: 17.3.3, 17.2.7, 17.1.8, 17.0.8, 16.11.10
- ruby-saml: 1.17.0, 1.12.3
- omniauth-saml: 2.2.0
- GHSA-jw9c-mfg7-9rx2
- about.gitlab.com/~
CVE: CVE-2024-45409
CVSS: 10 (Critical)
linksrc: https://www.tgoop.com/billchenla/19542
#Security #SAML #GitLab
Telegram
咕 Billchen 咕 |
CVE-2024-45409 SAML authentication bypass
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
The Ruby SAML library is for implementing the client side of a SAML authorization. Ruby-SAML in <= 12.2 and 1.13.0 <= 1.16.0 does not properly verify the signature of the SAML Response. An unauthenticated attacker…
研究者发现自己可以注册一些 TLD 的旧 Whois 服务域名,并利用其获得 TLD 下非由自己控制域名的 TLS 证书。
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
- watchTowr 的研究人员发现 .mobi 的旧 whois 服务域名过期,因而购买了此域名并在原有域名上架设了 whois 服务。
- 研究人员发现 CA 服务 GlobalSign 允许使用 whois 记录中的邮箱作为验证邮箱,并且仍使用旧 whois 服务域名进行证书注册相关查证,因此可以为他们所用来申请任意 .mobi 域名的 TLS 证书。
labs.watchtowr.com/~
seealso: HackerNews:41510252
#Whois #MOBI #PKI
watchTowr Labs - Blog
We Spent $20 To Achieve RCE And Accidentally Became The Admins Of .MOBI
Welcome back to another watchTowr Labs blog. Brace yourselves, this is one of our most astounding discoveries.
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
Summary
What started out as a bit of fun between colleagues while avoiding the Vegas heat and $20 bottles of water in our Black Hat hotel rooms…
[已修复] 研究者发现在已知 Arc 用户 ID 后,可以利用 Arc Boosts 功能在用户访问网站时执行任意代码。
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security
研究者还发现 Arc 浏览器会在用户访问网站时向 Firebase 查询用户创建的 Arc Boosts。这会泄露用户访问网站地址的信息,也违反 Arc 浏览器的隐私政策。
https://kibty.town/blog/arc/
CVE: CVE-2024-45489
#Arc #Security