- 資訊安全:
1.Outlook “letterbomb”自動打開電子郵件惡意鏈接 by 360安全播報
目前,安全研究員李海飛(Haifei Li)在題為“BadWinmail:'企業致命殺手' 攻擊Microsoft Outlook”的文章中提供了更多的細節來說明該漏洞是有多糟糕。
該漏洞允許一個特製的電子郵件附件繞過Outlook的安全層,利用Office的對象鏈接和嵌入功能(Object Linking and Embedding,OLE)和Outlook的傳輸中性封裝格式(Transport Neutral Encapsulation Format ,TNEF)與Outlook郵件的Winmail相關聯——電子郵件附件方式,即Outlook 信息的winmail.dat附件。
Winmail.dat文件包含有關如何處理嵌入附件的指令。李海飛寫道:“當PidTagAttachMethod [winmail.dat中的]設置為值ATTACH_OLE(6),'附件文件'(這是包含在Winmail.dat文件中的另一個文件)將被渲染成一個OLE對象。”
海飛指出:“Outlook對於OLE對象的處理與新的補丁有所不同——它們都在電子郵件中找到的並從應用程序調用代碼,攻擊Outlook中通常包含在文件內的'沙箱',以防止惡意腳本調動文件。這樣一來,攻擊者可以打造一個TNEF電子郵件,並將其發送給用戶,當用戶閱讀電子郵件時,嵌入的OLE對象將自動加載。”
2. Yahoo告誡用戶警惕國家黑客的攻擊 by 360安全播報
雅虎宣布,它將追隨Twitter和Facebook的腳步向用戶發出警告,因為他們認為用戶的賬戶受到了國家黑客的威脅。他們將會為用戶提供一系列驗證步驟來確認他們的帳戶是否安全。
這些步驟包括雅虎已經提供的默認的安全機制,例如開啟兩步驗證,授權雅虎帳戶密鑰,保持著一個強大並且獨一無二的密碼。
3.希拉里希望加密技術能給政府留後門,引發安全人員的爭議 by 360安全播報
在周六的辯論中,民主黨總統候選人希拉里克林頓說,美國應該執行一個“曼哈 頓項目”,類似於在二戰中秘密研製原子彈以應對威脅,執法部門也應當在加解密方面有一定特權。當然,她表示到她並不懂這些技術。
希拉里主要是重複了聯邦調查局之前的話題,前段時間廣為人知的巴黎恐怖襲擊事件以及聖博娜迪諾在預防犯罪方面的弱點,都在於犯罪分子可能使用了一些加密技術,從而給執法人員增加了難度。
希拉里的言論迅速引起了技術專家和公民自由方面的批評。蘋果公司CEO Tim Cook認為,他們的產品應當默認提供強大的加密功能來保護用戶,如果提供後門,會導致更多的潛在危害。Cook說道,“如果有一種方法能夠進來,一定會有其他人發現這種方法”
目前,安全研究員李海飛(Haifei Li)在題為“BadWinmail:'企業致命殺手' 攻擊Microsoft Outlook”的文章中提供了更多的細節來說明該漏洞是有多糟糕。
該漏洞允許一個特製的電子郵件附件繞過Outlook的安全層,利用Office的對象鏈接和嵌入功能(Object Linking and Embedding,OLE)和Outlook的傳輸中性封裝格式(Transport Neutral Encapsulation Format ,TNEF)與Outlook郵件的Winmail相關聯——電子郵件附件方式,即Outlook 信息的winmail.dat附件。
Winmail.dat文件包含有關如何處理嵌入附件的指令。李海飛寫道:“當PidTagAttachMethod [winmail.dat中的]設置為值ATTACH_OLE(6),'附件文件'(這是包含在Winmail.dat文件中的另一個文件)將被渲染成一個OLE對象。”
海飛指出:“Outlook對於OLE對象的處理與新的補丁有所不同——它們都在電子郵件中找到的並從應用程序調用代碼,攻擊Outlook中通常包含在文件內的'沙箱',以防止惡意腳本調動文件。這樣一來,攻擊者可以打造一個TNEF電子郵件,並將其發送給用戶,當用戶閱讀電子郵件時,嵌入的OLE對象將自動加載。”
2. Yahoo告誡用戶警惕國家黑客的攻擊 by 360安全播報
雅虎宣布,它將追隨Twitter和Facebook的腳步向用戶發出警告,因為他們認為用戶的賬戶受到了國家黑客的威脅。他們將會為用戶提供一系列驗證步驟來確認他們的帳戶是否安全。
這些步驟包括雅虎已經提供的默認的安全機制,例如開啟兩步驗證,授權雅虎帳戶密鑰,保持著一個強大並且獨一無二的密碼。
3.希拉里希望加密技術能給政府留後門,引發安全人員的爭議 by 360安全播報
在周六的辯論中,民主黨總統候選人希拉里克林頓說,美國應該執行一個“曼哈 頓項目”,類似於在二戰中秘密研製原子彈以應對威脅,執法部門也應當在加解密方面有一定特權。當然,她表示到她並不懂這些技術。
希拉里主要是重複了聯邦調查局之前的話題,前段時間廣為人知的巴黎恐怖襲擊事件以及聖博娜迪諾在預防犯罪方面的弱點,都在於犯罪分子可能使用了一些加密技術,從而給執法人員增加了難度。
希拉里的言論迅速引起了技術專家和公民自由方面的批評。蘋果公司CEO Tim Cook認為,他們的產品應當默認提供強大的加密功能來保護用戶,如果提供後門,會導致更多的潛在危害。Cook說道,“如果有一種方法能夠進來,一定會有其他人發現這種方法”
- 自我成長:
1.江振誠的創意何來? by 謝明玲
江振誠曾在台灣的演講中,分享自己獨有的「創意典範」(creativity paradigm),其中關鍵的三個元素,就是核心(core)、切合時宜(relevance)和連結(connectability)。
核心,指的是創作的理由:要先思考為什麼要做這件事、意義是什麼?而不是先有了作品,再牽強地安上故事,這是三元素中最困難、一般人也最常忽略的。
切合時宜:這個創作,是不是客人現在真正想要的?還是只是一廂情願?此外,創作有沒有在對的時間呈現出來?在這個時間或順序出現,有什麼功能?
最後是連結與分享,這包括情感層面:客人為什麼到餐廳來?要達成怎樣的目標?下一個層面是功能性的考量,也就是怎樣布置如桌椅、餐具到服務等一切細節與場景,來滿足這份需求。
2.少了這件事,即使找到天賦也不會成功! by 嚴長壽
當你從事自己熱愛又擅長的工作,才可能覺得活出了真實的自我,成為你理想中的自己。你覺得自己做著天生該做的事,也成為你天生該成為的人,這就是歸屬於天命的狀態。」換句話說,也就是以「最優」的方式,運用你與別人不同的特殊才智,達到天賦自由。
天賦需要鞭策,需要有意識、有方向的操練,以追求更高的突破目標。有時候,我得說,這種心理狀態跟生理年齡沒有必然關係,而跟你如何定義自己的生命有關。
當你走上他人無可取代的道路,那種追尋自己的強大飢餓感,將是你最好的老師。只要有專注和熱情,生命的火光終會帶領你,穿越人生迷霧。
3.如果沒有這 7 個特質,你讀到台大也沒用! by 我是肯小姐
(1)自動自發:不要事事等人交代
(2)負責:絕對沒有藉口,保證完成任務
(3)注重效率:算算你的使用成本
(4)善於溝通:當面開口,當場解決
(5)合作:團隊提前,自我退後
(6)積極進取:永遠跟上企業的步伐
(7)低調:才高不必自傲
江振誠曾在台灣的演講中,分享自己獨有的「創意典範」(creativity paradigm),其中關鍵的三個元素,就是核心(core)、切合時宜(relevance)和連結(connectability)。
核心,指的是創作的理由:要先思考為什麼要做這件事、意義是什麼?而不是先有了作品,再牽強地安上故事,這是三元素中最困難、一般人也最常忽略的。
切合時宜:這個創作,是不是客人現在真正想要的?還是只是一廂情願?此外,創作有沒有在對的時間呈現出來?在這個時間或順序出現,有什麼功能?
最後是連結與分享,這包括情感層面:客人為什麼到餐廳來?要達成怎樣的目標?下一個層面是功能性的考量,也就是怎樣布置如桌椅、餐具到服務等一切細節與場景,來滿足這份需求。
2.少了這件事,即使找到天賦也不會成功! by 嚴長壽
當你從事自己熱愛又擅長的工作,才可能覺得活出了真實的自我,成為你理想中的自己。你覺得自己做著天生該做的事,也成為你天生該成為的人,這就是歸屬於天命的狀態。」換句話說,也就是以「最優」的方式,運用你與別人不同的特殊才智,達到天賦自由。
天賦需要鞭策,需要有意識、有方向的操練,以追求更高的突破目標。有時候,我得說,這種心理狀態跟生理年齡沒有必然關係,而跟你如何定義自己的生命有關。
當你走上他人無可取代的道路,那種追尋自己的強大飢餓感,將是你最好的老師。只要有專注和熱情,生命的火光終會帶領你,穿越人生迷霧。
3.如果沒有這 7 個特質,你讀到台大也沒用! by 我是肯小姐
(1)自動自發:不要事事等人交代
(2)負責:絕對沒有藉口,保證完成任務
(3)注重效率:算算你的使用成本
(4)善於溝通:當面開口,當場解決
(5)合作:團隊提前,自我退後
(6)積極進取:永遠跟上企業的步伐
(7)低調:才高不必自傲
如欲閱讀更多文章摘要,請見 每日晨摘
沒有留言:
張貼留言