硬核观察 #356 微软计划为 Edge 浏览器提供“超级无敌安全模式”

3AAA

微软计划为 Edge 浏览器提供“超级无敌安全模式”




这个新的“超级无敌安全模式”背后的想法是在 Edge 浏览器的 JavaScript 引擎 V8 中禁用对 JIT 的支持。JIT 的工作原理是将 JavaScript 提前编译成机器代码。如果浏览器需要再次使用这些代码，就会获得显著的速度提升。如果不需要，代码就会被丢弃。但是，JIT 相关的安全问题占 2019 年所有 V8 漏洞的 45%。此外，超过一半的“野外” Chrome 浏览器漏洞依赖于 JIT 相关的错误。而另外一方面，尽管在 2010 年代早期和中期，JIT 在加速浏览器方面发挥了举足轻重的作用，但对 Edge 的性能来说，JIT 已经不是一个关键功能。

一个看起来复杂精巧的系统在带来好处的同时，也可能是麻烦的源头。

勒索软件攻击迫使医院将救护车拒之门外




美国印第安纳州的一家拥有 315 张床位的医院，在周三凌晨开始的勒索软件攻击中陷入瘫痪。他们关闭了一些服务和业务，以试图阻止恶意软件通过其系统传播。这导致他们不得不将救护车拒之门外，并将病人转移到其他医院。截至星期四晚上，该医院的电子邮件系统和电子医疗记录仍然处于关闭状态。

从本质上上勒索软件攻击就是恶意的，并不能指望他们“盗亦有道”。

DNS 服务商被发现可以监听其他客户的动态 DNS 流量的漏洞




安全研究人员发现了一个简单的漏洞，可以拦截一部分通过亚马逊和谷歌等托管 DNS 服务商的动态 DNS 流量。他们“窃听”了包括财富 500 强公司和政府机构在内的 15000 个组织和数百万台设备的内部网络流量。在实验中，他们发现了各种敏感数据，包括计算机名称、雇员姓名、办公地点以及暴露的网络资源信息。亚马逊和谷歌已经在其各自的 DNS 服务中修复了这个问题。

国内使用这种动态 DNS 的企业并不多，而且其实这种服务更应该通过企业内服务提供。

铁富人

然并无用