錯誤配置的 EJBCA 開源軟體包致使 GoDaddy、蘋果和 Google 簽發了一百多萬個不符合要求的 63 位序列號證書。EJBCA 被很多瀏覽器信任的 CA 用於生成證書,在預設情況下 EJBCA 使用偽隨機數生成器生成了 64 位序列號的證書,
工程師發現 64 位中必須有一個定值才能確保序列號是正整數,這意味著 EJBCA 預設生成的序列號的熵值只有 63 位。
63位 和 64 位雖然只相差一位,但 2^63 和 2^64 之間是相差巨大的。錯誤簽發 63 位序列號證書所構成的風險主要是理論上的,實際上幾乎不可能被惡意利用。但這不符合行業規定的要求。
Google 被髮現自 2016 年以來簽發了 10 萬以上不符合要求的證書,不過到目前只有 7000 個證書還有效。
*來源:solidot.org
更多資訊
◈ 蘋果AirPods遭破解:iOS配對動畫以假亂真
從外觀上,仔細觀察耳機底部的充電觸點處還是能發現比較明顯的區別的,而且彈窗上也沒有顯示耳機使用者的名稱。不過既然最難的彈窗動畫都解決了,繼續搞定剩下的問題也是指日可待。
來源:我愛音訊網
詳情:http://t.cn/EMjl8zU
◈ Google Chrome 73穩定版釋出:支援Dark樣式 修複60處安全漏洞
包括GNU/Linux、Windows和macOS在內,谷歌面向所有支援平臺釋出了穩定版Chrome 73,並且已經向所有使用者傳送OTA更新。Chrome 73(v73.0.3683.75)引入了諸多新功能和改進,並修複了大量BUG提升了安全效能,從而讓使用者在安全的環境中更加愉快的上網衝浪。
來源:cnBeta.COM
詳情:http://t.cn/EMjlr1S
◈ 警方破獲大型流媒體賬號盜賣案 澳大利亞一21歲男子被逮捕
儘管多人分享流媒體訂閱服務賬號的現象很是常見,但一些頭腦過於靈光的人,卻打起了這方面的歪腦筋。近日有外媒報道稱,因涉嫌在網上銷售大量偷盜得來的賬戶登陸材料,澳大利亞警方在本週二逮捕了一名 21 歲的男子,據說案值高達 30 萬澳元(21.1 萬美元)。涉案賬號多達 100 萬,涵蓋 Netflix、Spotify、Hulu 等知名流媒體服務提供商。
來源:cnBeta.COM
詳情:http://t.cn/EMjlDIq
◈ 徵信App亂象難禁 存洩露個人隱私風險
第三方個人徵信在生活場景中的普及應用,也催熱了個人徵信查詢業務。但北京商報記者註意到,在央行明確無授權的情況下,仍有不少App明確標註直連官方徵信中心。另有部分App在輸入銀行卡賬號和密碼時才能獲得查詢許可權。分析人士認為,這類App很有可能收集個人資訊後交易給非法機構,衍生出新的“買賣”,導致資訊洩露
來源:新浪財經
詳情:http://t.cn/EMjlsnZ
(資訊來源於網路,安華金和蒐集整理)