加拿大对特斯拉汽车的供热系统展开调查
美东时间周四,加拿大汽车安全监管机构表示,已对特斯拉Model 3和Model Y汽车的供热系统展开调查,此前有16起消费者投诉称,特斯拉汽车在寒冷天气中无法正常运行。
近日,亚马逊云服务被曝正在修补所谓的“强力胶”(Superglue)漏洞。此外还有一个被称作 AWS CloudFormation 的 Bug,攻击者可利用它们摸到其他用户的敏感数据。Orca 安全研究团队率先披露了 AWS 工具中的缺陷,庆幸的是两个 Bug 都已得到完全修补。,首先聊聊 Superglue 漏洞,用户可借此访问其他 AWS Glue 用户管理的信息。,AWS 官方宣称 Glue 是一项无服务器的数据集成服务,旨在轻松发现、准备和组合那些用于分析、机器学习和应用程序开发的数据。,事实上,亚马逊服务的体量着实庞大,以至于 Glue 用户能够免费存储多达百万个对象。,Orca 指出 —— 我们能够识别 AWS Glue 中的一项功能,它可用于获取 AWS 官方服务账户中的某个角色的凭证,从而赋予了对内部服务 API 的完全访问权限。,结合内部错误配置和 Glue 内部访问 API,我们得以将帐户内的权限进一步提升至不受限的水平,包括以完全的管理权限访问某个区域的所有资源。,
,在受 Glue 服务信任的 AWS 客户账户中,至少都有一个类似角色的账户。,得逞后,攻击者能够查询和修改区域内的相关资源,包括但不限于 Glue 作业、开发端点、工作流、爬虫、触发器等元数据。,Orca 证实 —— 其已确认通过该漏洞控制众多账户、以访问其他 AWS Glue 用户管理的信息的能力。,庆幸的是,漏洞披露不久后,
微博网页版上线无障碍模式:支持语音朗读、大字幕等功能
1 月 14 日消息,今日,微博网页版上线了无障碍模式。
亚马逊在数小时内就做出了回应,并于第二日实施了部分缓解,直到数日后彻底封堵了相关问题。,
,第二个漏洞影响到了 AWS CloudFormation,通过将基础设施视作代码, 用户可对第一和第三方资源开展建模、预置和管理。,这种“基础设施即代码”的范式,已于近年来愈加受到客户的青睐。在迁移至云端的时候,其配置与维护的便利性也相当出众。,然而被称作BreakingFormation的第二个 Bug,却可被用于泄露在易受攻击的服务器上发现的机密文件。,此外服务器端请求(SSRF)易受未经授权披露内部 AWS 基础设施服务凭证的影响 —— 庆幸的是,该漏洞在向 AWS 披露六天内完成了彻底修复。,
,最后,Bleeping Computer 分享了 AWS 副总裁 Colm MacCárthaigh 在 Twitter 上披露的与 BreakingFormation 漏洞有关的更多细节,且一开始就承认了 Orca 能够获得对所有 AWS 账户资源的访问权限的说法。,然后 Orca 首席技术官 Yoav Alon 回应称 CloudFormation 的暴露范围,并不像最初预期的那样广泛。,我们立即向 AWS 通报了该问题,后者迅速采取了行动来解决这个问题。,AWS 安全团队在不到 25 小时内编写了首个修复程序,并于 6 日内落实到了所有 AWS 区域。,Orca 安全研究人员帮助测试了修复补丁,以确保妥善解决相关问题,且我们能够验证其不会再遭到利用。,【来源:希恩贝塔】,事实上,亚马逊服务的体量着实庞大,以至于 Glue 用户能够免费存储多达百万个对象。
小米手机MIUI 13开发版公测首批今晚推送!
1 月 14 日消息,小米社区今天发布 MIUI 第 530 周发布公告及更新日志,表示,MIUI13 开发版公测第一批部分机型预计今日 24 点前收到。
