6月11日,OpenSSL发布了安全补丁,僵局被证明并非是正在酝酿中的灾难,但聪明的服务器管理员仍然希望尽快更新其OpenSSL的程序。这要归功于Linux基金会的核心基础设施倡议(CII)和NCC集团的帮助,终于其安全问题得到了解决。 OpenSSL也许是世界上最重要的与安全套接字层(SSL)和传输层安全(TLS)的支持Web安全库。
另一半打修复,最显著之一是为僵局。从AA问题的Diffie-Hellman密钥交换僵局窜出。的Diffie-Hellman是一种用于SSL和TLS商定一个共享密钥,并创建一个安全的连接流行的算法。从理论上讲,僵局攻击允许一个人在这方面的中间人(MITM)攻击者的网络降级到一个易受攻击的512位出口级暗号脆弱的TLS连接。在实践中,出现一直很少,如果有的话,成功僵局的攻击。
如果你今天更新的OpenSSL,你会不会担心明天的僵局。与此修复程序,OpenSSL的已通过拒绝握手与DH参数短于768位加保护TLS的客户。这个限制将提高到1,024位在将来的版本。在此期间,OpenSSL的1.0.2的用户应升级到1.0.2b和OpenSSL 1.0.1的用户应升级到1.0.1n。
所有这些问题都在Heartbleed或FREAK的水平。仍然,其中大部分可用于导致拒绝服务的攻击。此外,他们中的一个,它可以用来攻击老版本的OpenSSL,可能会导致内存损坏。
这种潜在的内存问题影响较旧版本的OpenSSL 1.0.1,1.0.0和0.9.8。此内存缓冲区命中问题的OpenSSL以下版本:
OpenSSL的0.9.8 DTLS用户应该升级到0.9.8za
OpenSSL的1.0.0 DTLS用户应该升级到1.0.0m
OpenSSL的1.0.1 DTLS用户应该升级到1.0.1h
其他的漏洞,虽然不严重,还是可以引起拒绝服务攻击,因而也应尽快修补。
展望未来,OpenSSL的问题提醒我们,对于OpenSSL的版本1.0.0和0.9.8支持将在2015年12月31日终止,这意味着这些版本将在该日期之后没有任何安全更新的支持。因此,这些过时版本的用户应尽快升级到一个新版的OpenSSL。
好文章,需要你的鼓励
亚马逊发布Lens Live AI功能,用户可通过手机摄像头扫描任何物品进行实时购物。该技术利用人工智能识别用户拍摄的物品,并在亚马逊平台上匹配相关商品,提供即时购买选项。这一创新功能将大幅简化购物流程,用户只需"看到即可购买",为在线购物体验带来革命性改变。
巴黎理工学院研究团队发现了比传统深度伪造更隐蔽的"局部伪造"技术威胁。这种只修改视频局部区域的新型AI造假技术让人类检测准确率下降30%以上,AI检测系统性能下降高达43%。研究团队构建了包含25000个样本的全球首个局部伪造检测数据库FakePartsBench,揭示了现有防御体系面对精细化伪造攻击的脆弱性,为未来开发更强大的检测技术奠定重要基础。
谷歌AI研究助手NotebookLM宣布推出三种全新音频摘要格式:简要、评论和辩论模式。这一更新将为用户提供更多选择,让已经备受欢迎的音频概览功能更加丰富多样。简要模式提供1-2分钟的精简概述,评论模式对材料进行建设性反馈,辩论模式则让两个AI主持人就内容展开深入讨论。这些新格式有助于用户从不同角度理解学习材料,使NotebookLM成为更加细致入微的学习工具。
Meta等机构研究发现,让大语言模型学会使用外部工具比死记硬背所有知识更高效。研究通过数学证明和实验验证,传统的参数记忆存在严格容量限制,而工具学习能实现无限扩展且不损害原有能力。这为AI发展提供了新思路:从堆叠参数转向构建智能工具协作系统。