#PSA: 请停止使用 polyfill.io ； polyfill.io 被发现注入恶意代码到浏览器，将用户跳转至其它网站。

有需求的网站主可换用 Fastly 和 Cloudflare 的替代服务 [thread]。

theregister.com/~

thread: /4454

#PolyfillIO #Security

韩国 ISP KT 在用户设备上安装恶意软件，阻止其使用 BitTorrent 功能。

关于此事的细节：
* 韩国云服务商 Webhard 发现，其基于 BitTorrent 的文件共享服务对大量使用 KT 宽带服务的用户不可用，原因是用户设备受到恶意软件影响。
* 警察介入调查，发现恶意软件来自 KT 的数据中心，并检控包括 KT 员工及外包人员在内的共 13 人。
* KT 与 Webhard 的冲突由来已久：基于 BitTorrent 的文件共享服务为 Webhard 节省数百亿韩元的流量费，但 BitTorrent 对 KT 的网络带来了压力。
* 就两家公司的冲突而言，司法判决更偏向 KT：法院认为 Webhard 并未支付流量费，也未向用户解释其 P2P 网络的工作原理，因此 KT 有理由屏蔽其流量。
* 韩国 ISP 对网络流量费的要价一直相对高昂，这已经使得 Twitch 等服务退出韩国 [1]。

tomshardware.com/~
seealso: HackerNews:40805099

1. /4387

#KR #NetworkNeutrality

Chrome 宣布停止信任 2024/10/31 后在 CT 登记的由 Entrust CA 签发的证书。

- Entrust 是一家 CA，旗下证书品牌包括 Entrust 和 AffirmTrust 等。
- Google 决定停止信任 Entrust 的原因是，后者近期发生多起违反 CA/B BR 的事件，并且在多个方面未能使公众信服其作为 CA 的能力。 [1]

security.googleblog.com/~

linksrc: blog.gslin.org/~
1. groups.google.com/~

#PKI #Google

OpenDNS 宣布停止向法国用户提供服务。

support.opendns.com/~

linksrc: torrentfreak.com/~

thread: /4546

#FR #DNS #OpenDNS

#PSA ：请更新 OpenSSH；远程任意代码执行漏洞。

关于此 CVE：
- 这是 CVE-2006-5051 的 regression。
- 在开启 ASLR 的 i386 设备上，大约需要 6-8 小时获取 root shell；在开启 ASLR 的 amd64 设备上则可能需要约一周左右。
- 临时的修复是设置 LoginGraceTime 为 0，不过这会使 ssh 服务易于受到 DoS 攻击。

CVE: CVE-2024-6387

Affects: [8.5p1, 9.8p1)

https://www.qualys.com/regresshion-cve-2024-6387/

#CVE #RegreSSHion

绊爱发布视频，或将重新开始活动。

https://www.youtube.com/watch?v=QjD3DCIsc-o

#KizunaAI #VTuber

关于 polyfill.io 、 bootcdn.net 及 staticfile.org 等的后续消息：

- 受影响的 CDN 包括 bootcdn.net 、 bootcss.com 、 staticfile.net 、 staticfile.org 等 [1]。
- uBlock 的 "Badware risks" 过滤器已经阻断了到这些站点的访问；Namecheap 关停了 polyfill.io 和 polyfill.com 域名 [2]；Google 亦开始停止投放使用 polyfill.io 网站的广告 [1]。
- Cloudflare 提供了自动替换至自有 Polyfill 的服务，默认对免费计划的站点启用；付费计划的站点可以手工启用 [3]。
- 一位安全研究者发现，GitHub 上的 data.polyfill.com 库存储了 Cloudflare API 密钥，并用密钥访问 Cloudflare API 发现同一个账户控制着以上的这些域名 [2]。

1. sansec.io/~
2. bleepingcomputer.com/~
3. blog.cloudflare.com/~

thread: /4551

[感谢 夜坂雅 提供此消息。]

#PolyfillIO #Security

#PSA ：Mastodon 实例管理员请更新至 4.2.10；新漏洞或会使私有贴文泄露。

https://github.com/mastodon/mastodon/releases/tag/v4.2.10

CVE: CVE-2024-37903
CVSS: 8.2 (GitHub)

#Mastodon

Twilio 在骇客放出数据后确认 Authy 用户手机号码遭到泄露。受影响用户数约 3300 万。

Authy 是 Twilio 的 2FA 软件，需要手机号码注册。Twilio 的部分服务只支持此 App 作为 2FA 方式。

securityweek.com/~

#Twilio #Privacy

绿联私有云 NAS 向用户分发公用泛域名证书私钥。

目前此证书已被吊销 [2]。

1. https://www.bilibili.com/video/av1706021446/
2. https://crt.sh/?id=13146419955&opt=ocsp

#Ugreen #TLS

Figma 开放 AI 特性；Starter 及 Professional 计划用户默认允许自己作品用于训练。

Figma 还提到：
- 关于启用 AI 特性的功能，所有用户默认是打开状态。
- 关于 8/15 后允许自己作品用于 AI 训练的选项，Starter/Professional 计划用户默认开启，Organization/Enterprise 计划用户默认关闭。

help.figma.com/~

#Figma #AI

有 Twitter 用户发现 Chrome 内置隐藏插件 [1] 允许 Google 站点访问用户设备资源占用数据。

- 网站可以获取的数据包括用户设备 CPU、GPU、内存用量及处理器细节等。
- 此特性在第三方 Chromium 内核浏览器的 Edge 和 Brave 亦存在。
- 此插件名称显示其或与 Google Hangouts 有关，后者在 2022 年停止服务。也有 Hacker News 评论称 Google Meet 也用此特性显示调试数据。

twitter.com/lcasdev/~
seealso: HackerNews:40918052

1. source.chromium.org/~

#Chrome #Privacy

AT&T 称几乎所有用户的电话和短信记录元数据（不含内容）遭到泄露。

TechCrunch 还提到：
- 被泄露的包括用户 2022/5/1-2022/10/31 的数据，部分用户的数据新至 2023/1/2。
- 部分使用 AT&T 网络的其它运营商用户也受影响。
- 部分泄露数据还能够透过信号塔信息关联到用户的地理位置。
- AT&T 称数据泄露自其使用的 Snowflake 数据云平台，后者则将其归咎于客户未妥善使用 2FA 保全账户。
- 多家公司，包括票务服务 Ticketmaster 及贷款信息服务 LendingTree 等近期均称自己在 Snowflake 的数据遭到泄露。

techcrunch.com/~
seealso: HackerNews:40944505

#ATNT #Privacy

赞助/内容销售平台「爱发电」站点被停止解析；域名被锁定。

whois 信息显示，域名处于 clientHold 及 clientTransferProhibited 状态，或是被注册商锁定。

另参：The Cascading 关于重新考虑使用受中国企业管辖的域名的建议 [1]。

1. /3893

#DNS #China #Xinnet #Afdian

Firefox 128 起提供「『保护隐私的』广告效果衡量」功能；因默认启用而引发争议。

mastodon.social/~
seealso: HackerNews:40954535

#Firefox #Privacy

Firefox CTO 在 Reddit 回应对「广告效果衡量」功能的质疑。

文章提到：
- 广告业是大型行业，不会单纯因为用户的抵制而消失
- 用户尝试绕过广告势必会加剧广告业与用户的对立；帮助双方共同寻找保护隐私的替代方案会更有意义
- Mozilla 与 Meta 这样的大型广告主合作，亦有和 W3C 及 ISRG 合作，以确保研究成果有效用
- 「广告效果衡量」功能是一个临时原型，只在 Firefox 访问特定站点时启用；它旨在收集数据，不进行追踪行为
- Firefox 认为就此功能向用户弹窗索要授权并不用户友好，因而选择自行配置「更好的默认值」 (better defaults)

old.reddit.com/~

thread: /4565

[感谢订户提供此消息。]

#Firefox #Privacy

[旧闻] CrowdStrike 安全软件导致全世界大量机场、医院等组织的 Windows 设备蓝屏无法启动。

受影响用户可以手动进入安全模式删除 %WINDIR%\System32\drivers\CrowdStrike 下形似 C-00000291*.sys 的文件以解决故障。

- forbes.com/~
- crowdstrike.com/~

EDIT 7/21: 修正笔误。感谢订户指出。

#CrowdStrike #Windows #BSOD

第八届挺好萌将于 2024/7/28 开始提名。

> 我台呼吁公众给明年的《Ave Mujica》留一点机会，让祥子度过一个安详的晚年。
> 我台呼吁公众关注初代挺王 YOSORO 及 Aqours 生态。
> 我台在《BanG Dream! It's MyGO!!!!!》和《吹响吧！上低音号》间选择立场中立。

tieba.baidu.com/~

⌒⌣⌒ #today

2024/9/16 起，Outlook 用户将需使用 OAuth 从第三方邮件客户端登录，或使用 Outlook 软件。

support.microsoft.com/~

#Microsoft #OAuth #IMAP

YuzuSoft 宣布入驻 Bilibili。

https://t.bilibili.com/956459465638412297

linksrc: https://www.tg-me.com/CE_Observe/34710

#YuzuSoft