2015年10月15日 星期四

10/15 晨摘

  • 資訊安全:
1.iOS核心应用设计漏洞,暴露用户Apple ID凭证 by Freebuf

ios操作系统专门为用户提供了方便以便用户自己通过一个Apple ID来管理设备。但是,Check Point的安全研究员Kasif Dekel上个月在ios核心功能中发现了一个软件设计漏洞(CVE-2015-5832),这个软件是用来管理核心应用程序的凭证。即使用户已经注销了,这个漏洞也会保存下用户的登录凭证,从而导致设备上存储的敏感数据泄漏出去。

由于应用程序存在这个安全漏洞,注销机制允许设备不清除应用程序中存储的敏感keychain 数据就直接执行退出。

keychain是一个加密的容器用来保存密码、证书、身份以及更多的安全服务。它也是一个安全储存容器,应用程序只能访问其自己的keychain项。要共享应用程序之间的数据,它们必须有相同的访问组代码签名的权利。

2.Pawn Storm 使用新 Adobe Flash 零時差漏洞攻擊各國外交部 by TREND LABS

在最近一波攻擊行動當中,Pawn Storm攻擊了全球多個外交部。受害目標皆收到了含有漏洞攻擊連結的魚叉式網路釣魚郵件。值得注意的是,其散布這項新零時差漏洞攻擊的網址與今年四月針對北大西洋公約組織和美國白宮的攻擊所用的網址類似。

近來,各國外交部門已成為 Pawn Storm 特別關注的對象。除了惡意程式攻擊之外,歹徒也架設了各種假冒的 Outlook Web Access (OWA) 伺服器來攻擊各國外交部門,從事一些簡單卻極為有效的網路釣魚攻擊 ( credential phishing attacks)。

某個外交部甚至被竄改了內送郵件的 DNS 設定。這表示,Pawn Storm在 2015 年當中有好長一段時間一直在攔截該機構所收到的電子郵件。

3.Kemoge病毒来袭:哈勃深度分析 by Freebuf

该病毒监听用户解锁动作和网络连接变化启动自身后,解密资源文件info.mp4,该文件解密后为包含多个root工具和恶意AndroidRTService.apk的zip包,用于获取root权限;一旦获取root权限后,拷贝AndroidRTService.apk到/system/app目录,AndroidRTService.apk会访问服务器获取指令,卸载、下载安装其他应用及弹出各种广告。

  • 自我成長:
1.年轻一定要奋斗吗? by ChuangYeJia8

年轻的时候到了一个地方,呆着不走,又不做别的事情,久而久之就被打磨成了特定机器上的一个零件,你只能在这个机器上运转良好,某一天这个机器不行了,你再想去别的机器上就难了。

你可以不「奋斗」,只要你能承受不奋斗带来的代价,或者有着不碰到风浪的运气。

2.让你对自己无比清晰的一棵树 by David Zou

(1)画出工作树:
  • 树干:写自己的目前的角色
  • 枝桠:归纳出自己目前都做哪些方面工作,不用过于细致

(2)标出时间黑洞、可以系统化的地方、觉得自己最能贡献价值的部分:
  • 你现在大部分的时间都花在哪里?
  • 你希望哪个部分可以自己运作,不需要得满分,也不占用你太多精力?
  • 你觉得自己最能贡献价值的地方在哪儿?

(3)反思

(4)下一步行动

3.不要让欲望,主宰了时间的方向 by 燕麦小姐

我们原本都有大把大把的时间,只是任性地挥霍了。我们原本都能完成很多计划和很多梦想,只是被各种无关紧要的事情分散了精力,唯独没有去实践自己的计划和梦想。

时间去哪里了?时间被我们瞬息万变的欲望淹没,当它来临的时候,我们意识不到它的来临;当它流走的当下,我们意识不到它的流走。

时间被我们轻易地无视,待到回首,已是百年。时间在我们流动的欲望中奔向四面八方,面目模糊,行色匆茫,唯独没有向着心的方向——前行。

于是,当一切已成过往,才发现想做的事、想去的地方、想成就的梦想,都没有来得及实现。是该抱怨时间不够用呢?还是应该反省自己,杂念太多、欲望太多,每分每秒都被自己的杂念牵制,去做一些乱七八糟的事情。

于是忘记了初心、忘记了我是谁、我要干什么。我们也不再有能力去主宰自己的时间;而能够主宰你的时间的,是你无穷无尽的、不断变化和流动着的杂念和欲望。

如欲閱讀更多文章摘要,請見 每日晨摘

沒有留言:

張貼留言