2014-05-24 09:46
小米安全中心奖金额其实还行。高危漏洞最高2000元,其实是平均水平。TSRC的高危WEB漏洞最高600安全币,正好可兑换一个iPad Mini,市价也差不多2000元,只不过iPad Mini就是比2000元有感觉……不过我之前以为他们会自称“XSRC”或“MiSRC”,但没想到是“MSRC”,这让*SRC之祖的微软MSRC咋办……
2014-05-23 19:36
从我发这条微博(🔗网页链接)到2013年初,一年多时间,DARPA的CFT计划收到550个申请,135项获批:🔗网页链接。我以前说过,类似DARPA这种市场化、灵活、高效、开放的机构的存在,是美国军方保持科技领先的重要原因之一。
2014-05-23 19:20
刚看到消息,微软对记者说这个漏洞已经在修补中,但没有时间表,并建议大家升级到最新系统,最新IE。厂商处理安全问题的确是有优先级的,这类仅影响某个老版本的漏洞显然优先级比较低。但是从漏洞发现者的利益和用户的利益角度说,定一个最后披露期限也是合理的。
2014-05-23 11:12
ZDI还是挺狠的,他们去年向微软报了一个漏洞,半年后没修复,他们就直接发公告了,当然没提细节。不过,他们自家TippingPoint里加了相应规则,有可能从中找到线索,扒出漏洞。早年国内还没MAPP的时候,我每个月都从洋人的签名库扒漏洞。ISS那种编译成库的签名,我也写了一个自动扒洞程序,用起来很爽。
2014-05-23 18:55
我在 @知乎 回答了【当今这个社会如此以瘦为美,胖点就没有一点好处吗?】:这事儿要辩证地看:……她的身体虽不叫做极胖,也有八分身体。未央生才爬上身,被她紧紧抱住,亲一个嘴,叫一声“心肝”,未央生就遍体酥麻起来,觉得妇人睡过许多,未尝有此之乐。 这个甚么原故?… 🔗知乎用户: 当今这个社会如此以瘦为美,胖点就没有一点好处吗? - 知乎
2014-05-23 18:15
刚才简单测了达梦V7_20140512普通版,V7_20140320存在几个比较明显的问题已经做了检查,很不错。据@joehan100说,V7_20140512的普通版仍缺省未开消息校验,说明这些检查可能是得益于新版本的代码改进,而不是安全版特有的消息校验等安全机制。但这也说明,早先的安全版可能也有问题,最好升级到新版。