分析
分析

华为杂志锁屏不更新

我自己的手机是华为荣耀6。其中有个很不错的功能叫做“杂志锁屏”。这个功能是官方主题自带的一个功能。所以必须要用官方主题,或者混搭里选择杂志锁屏。后来名字换成了光谱。总之换汤不换药。不知道什么时候杂志锁屏不在更新。于是探究了下,发现问题如下:(回复主题获取剩余内容)


阅读全文»

intel cpu 漏洞

homepage-ces-2018-geo-v3.jpg


英特尔是美国一家主要以研制CPU处理器的公司,是全球最大的个人计算机零件和CPU制造商,它成立于1968年,具有48年产品创新和市场领导的历史。

1971年,英特尔推出了全球第一个微处理器。微处理器所带来的计算机和互联网革命,改变了整个世界。在2016年世界五百强中排在第51位。

2014年2月19日,英特尔推出处理器至强E7 v2系列采用了多达15个处理器核心,成为英特尔核心数最多的处理器。 2014年3月5日,Intel收购智能手表Basis Health Tracker Watch的制造商Basis Science。

2014年8月14日,英特尔6.5亿美元收购Avago旗下公司网络业务。2015年12月斥资167亿美元收购了Altera公司。2016年4月底,英特尔公司发言人证实,原定在2016年推出的移动处理器凌动产品线的两个新版本将会取消发布,换言之,英特尔将会退出智能手机芯片市场。

2016年7月,英特尔宣布该公司历史上规模最大的裁员计划,准备削减1.2万人。

2016年10月28日,2016英特尔中国行业峰会在珠海召开。

2016年11月30日,据国外媒体报道,英特尔正在组建一个专门的事业部来从事自动驾驶解决方案的研发,它的名字就叫做Automated Driving Group(自动驾驶事业部,简称ADG)。

2017年6月7日,2017年《财富》美国500强排行榜发布,英特尔公司排名第47位。 


漏洞事件

2018年1月2日,美国石英财经网站等媒体披露,英特尔公司芯片存在严重技术缺陷,引发全球用户对信息安全的担忧。专业人士指出,英特尔芯片缺陷的漏洞可能影响几乎所有电脑和移动设备用户的个人信息安全,受波及设备数以亿计,漏洞的修补过程可能导致全球个人电脑性能明显下降。


漏洞修复

2018年1月6日,由国内软件公司360安全卫士首发免疫工具。CPU漏洞免疫工具下载地址:http://down.360safe.com/cpuleak_scan.exe

CPU漏洞彻底修复的复杂度较高,修复这些漏洞需要操作系统厂商、虚拟化厂商、软硬件分销商、浏览器厂商、CPU厂商一起协作并进行深入修改,才能彻底解决问题。目前,微软发布的32位(X86)系统补丁就无法完全防止攻击,需配合还未发布的Intel微码补丁才有可能阻止所有攻击。

360截图1678070792138104.png


360截图16630507272166.png


360截图16480311075646.png

附:CPU漏洞具体影响范围

t01af2d4d747eb52fc1.png

所有记录中均未找到搜索关键字

数据库编辑工具:Office2016



删除某一条记录出现:所有记录中均未找到搜索关键字


修复方法:选择文件->压缩和修复。


360截图16560320697762.png

Android 克隆账户

http://www.cnvd.org.cn/webinfo/show/4365


瞻仰并学习一下,感觉这个“漏洞”不是一个漏洞。仅仅只是程序员自己写程序的问题,没有把google给的便利给控制好,或者说太“贪心”。


原文:

安全公告编号:CNTA-2018-0005

2017年12月7日,国家信息安全漏洞共享平台(CNVD)接收到腾讯玄武实验室报送的Android WebView存在跨域访问漏洞(CNVD-2017-36682)。攻击者利用该漏洞,可远程获取用户隐私数据(包括手机应用数据、照片、文档等敏感信息),还可窃取用户登录凭证,在受害者毫无察觉的情况下实现对APP用户账户的完全控制。由于该组件广泛应用于Android平台,导致大量APP受影响,构成较为严重的攻击威胁。

一、漏洞情况分析

WebView是Android用于显示网页的控件,是一个基于Webkit引擎、展现web页面的控件。WebView控件功能除了具有一般View的属性和设置外,还可对URL请求、页面加载、渲染、页面交互进行处理。

该漏洞产生的原因是在Android应用中,WebView开启了file域访问,且允许file域对http域进行访问,同时未对file域的路径进行严格限制所致。攻击者通过URL Scheme的方式,可远程打开并加载恶意HTML文件,远程获取APP中包括用户登录凭证在内的所有本地敏感数据。


漏洞触发成功前提条件如下:

1.WebView中setAllowFileAccessFromFileURLs 或setAllowUniversalAccessFromFileURLsAPI配置为true;

2.WebView可以直接被外部调用,并能够加载外部可控的HTML文件。

CNVD对相关漏洞综合评级为“高危”。

二、漏洞影响范围

漏洞影响使用WebView控件,开启file域访问并且未按安全策略开发的Android应用APP。

三、漏洞修复建议

厂商暂未发布解决方案,临时解决方案如下:

1. file域访问为非功能需求时,手动配置setAllowFileAccessFromFileURLs或setAllowUniversalAccessFromFileURLs两个API为false。(Android4.1版本之前这两个API默认是true,需要显式设置为false)

2. 若需要开启file域访问,则设置file路径的白名单,严格控制file域的访问范围,具体如下:

(1)固定不变的HTML文件可以放在assets或res目录下,file:///android_asset和file:///android_res 在不开启API的情况下也可以访问;

(2)可能会更新的HTML文件放在/data/data/(app) 目录下,避免被第三方替换或修改;

(3)对file域请求做白名单限制时,需要对“../../”特殊情况进行处理,避免白名单被绕过。

3. 避免App内部的WebView被不信任的第三方调用。排查内置WebView的Activity是否被导出、必须导出的Activity是否会通过参数传递调起内置的WebView等。

4. 建议进一步对APP目录下的敏感数据进行保护。客户端APP应用设备相关信息(如IMEI、IMSI、Android_id等)作为密钥对敏感数据进行加密。使攻击者难以利用相关漏洞获得敏感信息。


可以看到上述问题主要是一个WebView控件引起的,但是Google明明已经提供接口设置更严密的使用策略,为什么还要这样。一般开发的时候实际除了浏览器以为外部调用实际可以禁止掉。但是有些App还要自己充当浏览器,那就是zuo的节奏。


WebView暴露的接口:

setAllowFileAccessFromFileURLs:允许访问本地资源(App自身)

setAllowUniversalAccessFromFileURLs:允许访问其他域资源例如http这种协议。


实际还要有一个前提:默认打开网址的App非浏览器。(我的手机没这个功能)。


原理:App获取网址->WebView解析渲染->File域->获取本地资源->上传资源。


另一部手机:获取资源->填充到相应App资源目录内。

135编辑器无法粘贴

360截图16280724647386.png

遇到一个奇怪的问题,如果使用135编辑器或者秀米编辑器的时候点击复制内容,却无法把内容粘贴到notepad编辑器里进行编辑。带着这个问题就去看了一下135编辑器复制的实现代码。

var html = getEditorHtml();
event.clipboardData.setData('text/html',html )

135编辑器使用的复制插件是“ZeroClipboard”,这里可以看到直接设置了剪贴板类型为Text/html。可以看一下粘贴板支持的类型(不包括自定义类型)。

  • text/plain

  • text/uri-list

  • text/csv

  • text/css

  • text/html

  • application/xhtml+xml

  • image/png

  • image/jpg, image/jpeg

  • image/gif

  • image/svg+xml

  • application/xml, text/xml

  • application/javascript

  • application/json

  • application/octet-stream

这些类型是全部支持读写的。所以说当你用一个文本框去接收富文本信息的时候是接收不到的。但是如果你用富文本去接收html是可以接收到的。这就造成了有时候Ctrl+V无法粘贴的情况。这种情况下可以考虑你粘贴的容器是否支持获取你剪贴板上的数据格式。


更多的剪贴板讲解可以参考:点击我获取更多知识。说白了实际就是接收容器无法接收你的内容。换一个能接收的就好了。