错误配置的 EJBCA 开源软件包致使 GoDaddy、苹果和 Google 签发了一百多万个不符合要求的 63 位序列号证书。EJBCA 被很多浏览器信任的 CA 用于生成证书,在默认情况下 EJBCA 使用伪随机数生成器生成了 64 位序列号的证书,
工程师发现 64 位中必须有一个定值才能确保序列号是正整数,这意味着 EJBCA 默认生成的序列号的熵值只有 63 位。
63位 和 64 位虽然只相差一位,但 2^63 和 2^64 之间是相差巨大的。错误签发 63 位序列号证书所构成的风险主要是理论上的,实际上几乎不可能被恶意利用。但这不符合行业规定的要求。
Google 被发现自 2016 年以来签发了 10 万以上不符合要求的证书,不过到目前只有 7000 个证书还有效。
*来源:solidot.org
更多资讯
◈ 苹果AirPods遭破解:iOS配对动画以假乱真
从外观上,仔细观察耳机底部的充电触点处还是能发现比较明显的区别的,而且弹窗上也没有显示耳机用户的名称。不过既然最难的弹窗动画都解决了,继续搞定剩下的问题也是指日可待。
来源:我爱音频网
详情:http://t.cn/EMjl8zU
◈ Google Chrome 73稳定版发布:支持Dark模式 修复60处安全漏洞
包括GNU/Linux、Windows和macOS在内,谷歌面向所有支持平台发布了稳定版Chrome 73,并且已经向所有用户发送OTA更新。Chrome 73(v73.0.3683.75)引入了诸多新功能和改进,并修复了大量BUG提升了安全性能,从而让用户在安全的环境中更加愉快的上网冲浪。
来源:cnBeta.COM
详情:http://t.cn/EMjlr1S
◈ 警方破获大型流媒体账号盗卖案 澳大利亚一21岁男子被逮捕
尽管多人分享流媒体订阅服务账号的现象很是常见,但一些头脑过于灵光的人,却打起了这方面的歪脑筋。近日有外媒报道称,因涉嫌在网上销售大量偷盗得来的账户登陆材料,澳大利亚警方在本周二逮捕了一名 21 岁的男子,据说案值高达 30 万澳元(21.1 万美元)。涉案账号多达 100 万,涵盖 Netflix、Spotify、Hulu 等知名流媒体服务提供商。
来源:cnBeta.COM
详情:http://t.cn/EMjlDIq
◈ 征信App乱象难禁 存泄露个人隐私风险
第三方个人征信在生活场景中的普及应用,也催热了个人征信查询业务。但北京商报记者注意到,在央行明确无授权的情况下,仍有不少App明确标注直连官方征信中心。另有部分App在输入银行卡账号和密码时才能获得查询权限。分析人士认为,这类App很有可能收集个人信息后交易给非法机构,衍生出新的“买卖”,导致信息泄露
来源:新浪财经
详情:http://t.cn/EMjlsnZ
(信息来源于网络,安华金和搜集整理)