每日安全资讯:Mozilla 为 Firefox 上周的 bug 致歉

每日安全资讯:Mozilla 为 Firefox 上周的 bug 致歉

由于 Mozilla 方面的一个失误,导致许多 Firefox 用户在上周末遇到了附加组件无法使用的 bug 。后来该公司发布了更新,才让浏览器恢复正常。对于此事,这家机构现已发表正式道歉,详细解释发生了怎样的事情,且承诺会删除期间为了推出修复程序而收集的私人数据。据悉,为了修复 bug,Firefox 初期希望用户启用遥测选项。因为在默认的情况下,其出于隐私考量而禁用了此类数据收集选项。

现在,我们已经知道附加组件遇到的故障,源自安全证书方面的 bug 。在 Mozilla Hacks 的一篇博客文章中,首席技术官 Eric Rescorla 已经给出了详细的解释。

Joe Hidebrand 在另一篇文章中写到:

我们在努力为 Firefox 带来极棒的体验,但可惜上周遭遇了失败,对此我们深表歉意。

过去几年,我们花费了很多时间,来思考如何将附加组件(Add-ons)变得更加安全。然而鉴于附加组件的功能是如此的强大,我们也必须努力构建和部署一套系统,以免用户遭受恶意附加组件的侵扰。

至于上周的问题,其实源自防护系统中的一项错误部署—— 保险模式导致附加组件被禁用了。

尽管我们认为这套机制的基本设计原则是合理的,但仍会努力改进该系统,以防将来再次发生类似的问题。

此外,Hildebrand 还向关注 Firefox 最初“紧急修复”时段收集私人数据一事的网友们保证:

为尽快解决这个问题,我们曾呼吁用户开启遥测选项,以获取附加信息。

不过在 5 月 8 日 23:28 分的 Firefox 附加组件博客上,我们宣布已经不再需要开启遥测选项,所以请大家根据自己的真实意愿来选择是否退出。

为尽可能地尊重用户,Mozilla 决定删除 5 月 4 日 11:00 到 5 月 11 日 11:00 期间手机的所有用户的遥测与研究数据。

最后,Mozilla 表示将会披露与本次事件有关的更多细节,感兴趣的朋友可以留意后续发布的报告。

更多资讯

涉及 2.75 亿条印度公民信息的 MongoDB 数据库被曝光和公开索引

援引外媒Security Discovery报道,他们于5月1日发现了一个未经保护和公开索引的MongoDB数据库,其中包括了涉及印度公民的个人身份信息的275,265,298条记录。这些信息中包括姓名、电子邮件地址、性别、教育水平和专业领域、专业技能和职称、手机号码、就业经历和当前雇主、出生日期以及当前的薪资水平。

来源: cnBeta.COM

详情: http://www.dbsec.cn/zx/20190511-5.html

研究人员披露黑客入侵了三家美国杀毒软件公司

Advanced Intelligence (AdvIntel) 公司的研究人员透露,名叫 Fxmsp 的组织正在积极销售三家美国杀毒软件公司的源代码和网络访问。它提供了样本作为证据证明其声明是有效的。AdvIntel 的研究总监 Yelisey Boguslavskiy 称他们已经通知了相关公司和美国执法机构。在安全社区 Fxmsp 已经是名声在外,该组织在今年三月透露它能提供美国三家顶级杀毒软件公司的独有信息。它在地下黑客市场销售这些公司软件开发的源代码和网络访问,开价超过 30 万美元。

来源: solidot.org

详情: http://www.dbsec.cn/zx/20190511-3.html

恶意差评案件多发 侵蚀网络营商环境亟待立法规制

传统的网络评价机制亟待改进,以优化网络营商环境。近日在杭州互联网法院落槌的一起民事案件,将这一问题再次提上议事日程。在这起案件中,7 名 90 后组成的差评师团伙被判决赔偿阿里经济损失 8 万余元、合理支出 4 万余元。而这已经是他们因同一件事情所受到的第二次惩罚。

此前,深圳市龙华区法院以敲诈勒索罪对他们分别判处 7 个月至 2 年不等的刑期。这意味着因为恶意差评,这一团伙遭到刑事民事的“双杀”。

来源: 法制日报

详情: http://www.dbsec.cn/zx/20190511-2.html

美国巴尔的摩市政网络遭勒索软件攻击

美国巴尔的摩市政网络 5 月 7 日遭勒索软件攻击后下线。攻击没有影响警察、消防和紧急反应系统,但市政府的其它部门都在某种程度上受到冲击。市政府的首席信息官 Frank Johnson 在新闻发布会上证实,攻击他们的勒索软件是 RobbinHood。

逆向工程 RobbinHood 样本的安全研究人员 Vitali Kremez 称,恶意程序在一个系统只针对文件,不会通过网络共享传播。这意味着恶意程序是逐个的部署到机器上的,攻击者需要在部署前已经获得了网络的管理级别的访问权限。

市长 Bernard “Jack” Young 表示, IT 部门有备份,但无法简单的替换备份。他说他不希望人们认为他们没有备份。

来源:solidot.org

详情: http://www.dbsec.cn/zx/20190511-1.html