微软否认远程桌面的网络身份验证漏洞:这是 feature;火狐或推出付费版
(给技术最前线加星标,每天看技术热点)
转自:开源中国、solidot、cnBeta、腾讯科技、快科技等
【技术资讯】
0、微软否认 Windows 远程桌面的网络身份验证漏洞:这是 feature
安全研究人员称,Windows 1903 更新中存在的网络身份验证(NLA)bug,可被攻击者利用来控制远程会话。据悉,NLA 旨在防止攻击者远程登录到用户的 Windows PC 。它会要求登录者提供必要的详情,以便进行身份验证。原本攻击者不应该知晓这些细节,除非你与外界进行了分享。
(截图 via MSPU)
问题在于,在最新的 Windows 10 1903(2019 五月更新)中,NLA 的工作原理发生了变化。NakedSecurity 指出:
新版身份验证机制将客户端的登录凭证缓存在了 RDP 主机上,以便在客户端失去连接时再次快速登录,这项变动使得攻击者能够绕过 Windows 锁屏。
对于此事,NakedSecurity 已经向计算机应急响应小组(CERT / CC)发出了警告,后者已经在一份安全公告(VU#576688)中给出了详细的介绍。
受此影响,重新连接的 RDP 会话将还原到登录后的界面、而不是留在登录屏幕上,意味着无需手动输入任何凭据、即可完成远程系统解锁。
(图自:CERT)
更糟糕的是,这个漏洞让攻击者可以绕过多因素身份验证(MFA)系统,而微软却将它视为一项特殊的 RDP 功能。该公司回应道:
经过调查,我们认为此事符合微软的 Windows 安全服务标准,本例提到的是 Windows Server 2019 中支持的网络级身份验证(NLA)。
NLA 会在连接的早期索取用户信息,并在用户进入会话(或重新连接)时使用相同的身份凭据。
只要已连接,客户端就会缓存该凭据,并在需要自动重新连接时调用(因此能够绕过 NLA)。
CERT 指出:鉴于微软仅承认这是一项特色功能、而不是一个 bug,意味着它不会很快提供任何修复。建议用户尽量使用本地机器的锁屏机制(而不是远程桌面连接)。
1、TensorFlow 2.0.0-beta0 发布,分布式策略改进、API 冻结
TensorFlow 2.0.0-beta0 发布了。2.0 专注于简单性和易用性,具有以下更新:
使用 Keras 和热切的执行轻松建模
在任何平台上进行生产中的健壮模型部署
强大的研究实验
通过减少重复和删除已弃用的端点来简化 API
2、Python 3.7 已上架 Microsoft Store
在 Python 团队和开源社区的帮助下,Windows 10 的五月更新为 Microsoft Store 带来了 Python 3.7。完成安装后,用户即可使用 Python,大大降低了在 Windows 上搭建 Python 开发环境的成本。
【业界资讯】
0、消息称 Mozilla 会带来付费版 Firefox Premium 浏览器
由于与Google的搜索引擎关系有所破坏,Mozilla多年来一直在努力实现收入自主化而不是光光靠Google这头现金奶牛,他们已经做出了不少努力筹集资金,例如通过推广第三方通信获得佣金,或通过Pocket赞助内容获取收入,但根据Mozilla首席执行官Chris Beard的说法,Mozilla准备向用户提供一些全新的东西,比如收费版本的浏览器。
在接受德国T3N杂志采访时,Beard透露,Mozilla正计划推出名为Firefox Premium的新订阅服务,而且准备工作已经接近尾声。
Firefox Premium将是一系列服务,可能包括在线存储和提供额外通信通道等元素,这将增加用户在互联网上的安全性和隐私。
例如,Firefox Premium可以判断用户是否位于公共Wi-Fi网络,并进行网上银行业务时提醒用户切换到专用管道,预计Mozilla会提供一个解决方案,向用户提供一定数量的免费带宽,然后在流量超出后提供每月订阅服务。
该服务计划于10月推出,正如Beard所说,Firefox Premium服务会包括免费套餐,而标准版的Firefox则继续更新,不受收费版本的影响。
对于Mozilla来说,拥有与Google分开的资金来源以及与最终用户建立更直接的关系可能很有必要,希望Firefox能够提出一个与他们的隐私品牌相关的更大胆的愿景,这将更具吸引力。
1、路透:如封杀华为中兴,欧洲建 5G 要多花 4287亿元
据路透社7日报道,代表了750家移动运营商利益的全球移动通信系统协会(GSMA)的行业分析报告显示,禁止从中国供应商购买通信设备,将使欧洲5G网络成本增加约550亿欧元(约620亿美元,4287亿人民币),并将导致该技术的推出延迟18个月左右。在路透社报道中提到的中国供应商,除了华为,还有中兴。
路透社称,上述550亿欧元的估值反映了全面禁止中国通信设备供应商华为和中兴通讯(ZTE)对欧洲推出5G网络所带来的额外成本,而这两家中国公司在欧盟的市场份额合计超过40%。路透社提到,中国通信设备供应商华为的产品被欧洲运营商广泛购买和使用,GSMA以此对全面禁止华为的后果表示担忧。
“其中一半(额外成本)将归因于在通信设备市场竞争力明显减弱后,欧洲运营商所需要投入的成本会更高,”行业报告说,“在升级为5G网络前,运营商还需要更换现有的基础设施。”
该报告还称,禁止从中国公司购买通信设备,还将导致5G技术的部署推出推迟18个月,该技术将可用于从自动驾驶汽车到医疗和物流等各个领域。报道说,“此种延迟将使欧盟与美国之间的5G普及率差距在2025年前扩大15个百分点”。
2、IBM 宣布裁员:或涉及约 1700 人,但同时仍大量招人
6月8日消息,据国外媒体报道,IBM当地时间周四表示将裁员一小部分员工,证实了当天早些时候在网络论坛TheLayoff上出现的消息。一位知情人士透露,这次裁员影响到IBM大约0.5%左右的员工。
据IBM最近公布一份文件显示,该公司员工数量超过34万。这意味着此次裁员将影响到大约1700名员工。
该公司发言人通过电子邮件对媒体表示,“我们正继续重新定位我们的团队,以配合我们对IT市场高附加值业务的关注。此外,在能够为我们客户和IBM带来价值的关键新领域,我们还在继续进行积极的招聘。”该公司的招聘页面,列出了7705个空缺职位。
IBM试图通过一次重大收购来发展其业务,并实现其利润增长的目标。
2019年初以来,IBM股价累计上涨了16%。该公司4月份公布的财报显示,其第一季度营收同比下降近5%,低于分析师的预期。
该公司正在实施以340亿美元收购开源软件巨头Red Hat的计划,这笔交易有望在今年下半年完成。
据美国市场研究机构Synergy Research Group称,IBM拥有能够部署应用程序的自己的公共云基础设施,但通过购买Red Hat,IBM也试图从采用其他公共云服务的公司那里获得业务。其它公共云服务,包括亚马逊的AWS和微软的Azure,这两个公共云服务都拥有较的市场份额。
觉得这些资讯有帮助?请转发给更多人
关注 技术最前线 加星标,看 IT 要闻
最新业界资讯,我在看❤️