微软OneDrive文件选取器曝严重安全漏洞:单文件上传即可被获取全部云盘权限
安全研究团队Oasis披露,微软OneDrive文件选取器存在OAuth权限范围过宽及用户授权界面误导问题,攻击者可借此让网站或应用获得用户完整云盘访问权限,即便用户仅选择上传单一文件。此漏洞影响包括ChatGPT、Slack、Trello、ClickUp等集成OneDrive的多款应用。
漏洞成因在于OneDrive缺乏细粒度的OAuth授权,仅提供整盘读取权限,且授权弹窗提示模糊,用户难以知悉实际风险。报告还指出,授权令牌通常明文保存在浏览器会话存储中,存在被窃取风险,且刷新令牌机制允许应用持续访问用户数据,增加安全隐患。
微软已确认该问题但暂未修复。研究团队建议,临时停用通过OAuth的OneDrive文件上传功能,或避免使用刷新令牌,并确保令牌安全存储、及时销毁。
The Hacker News
📮投稿 ☘️频道 🧧狗东
安全研究团队Oasis披露,微软OneDrive文件选取器存在OAuth权限范围过宽及用户授权界面误导问题,攻击者可借此让网站或应用获得用户完整云盘访问权限,即便用户仅选择上传单一文件。此漏洞影响包括ChatGPT、Slack、Trello、ClickUp等集成OneDrive的多款应用。
漏洞成因在于OneDrive缺乏细粒度的OAuth授权,仅提供整盘读取权限,且授权弹窗提示模糊,用户难以知悉实际风险。报告还指出,授权令牌通常明文保存在浏览器会话存储中,存在被窃取风险,且刷新令牌机制允许应用持续访问用户数据,增加安全隐患。
微软已确认该问题但暂未修复。研究团队建议,临时停用通过OAuth的OneDrive文件上传功能,或避免使用刷新令牌,并确保令牌安全存储、及时销毁。
The Hacker News
📮投稿 ☘️频道 🧧狗东
🤯183😱42🤣19❤12💊8👏7😁2🙏1
Media is too big
VIEW IN TELEGRAM
Cybertruck滞销堆满商场停车场,底特律政府震怒
据美媒报道,特斯拉被指将大量滞销Cybertruck堆放在密歇根州底特律郊区Farmington Hills的一个老旧购物中心停车场,引发当地政府强烈不满。该地块计划进行重大改造,城市规划部门已警告业主违规,称此类车辆存放用途违反城市土地使用规范。
报道称,特斯拉在附近新开设展厅,该批车辆或源自该地。尽管马斯克曾称Cybertruck预约量达百万辆,但其销量远低于预期,2024年仅售出约4万辆,不敌福特F-150 Lightning。为去库存,特斯拉正通过降价、免费充电等方式促销。
Carscoops
📮投稿 ☘️频道 🧧狗东
据美媒报道,特斯拉被指将大量滞销Cybertruck堆放在密歇根州底特律郊区Farmington Hills的一个老旧购物中心停车场,引发当地政府强烈不满。该地块计划进行重大改造,城市规划部门已警告业主违规,称此类车辆存放用途违反城市土地使用规范。
报道称,特斯拉在附近新开设展厅,该批车辆或源自该地。尽管马斯克曾称Cybertruck预约量达百万辆,但其销量远低于预期,2024年仅售出约4万辆,不敌福特F-150 Lightning。为去库存,特斯拉正通过降价、免费充电等方式促销。
Carscoops
📮投稿 ☘️频道 🧧狗东
😁201🤣97❤11👍4🔥4🎉3🗿3🥰1
科技圈🎗在花频道📮
美国联邦贸易法院阻止特朗普行使紧急权力征收关税 美国联邦贸易法院周三裁定,阻止特朗普总统根据紧急权力法征收全面关税,此举立即动摇了特朗普标志性的经济政策,并引发全球市场震荡及通胀加剧担忧。 法院裁定特朗普超越了《国际紧急经济权力法》赋予的权限,指出关税通常需国会批准。此前有几起诉讼称特朗普超越了自己的权限,并使美国的贸易政策受制于他的一时兴起。特朗普政府则坚持贸易逆差构成国家紧急状态,有权采取行动。该裁决是对特朗普第二任期关键行动的重大打击,预计将上诉至最高法院。 美联社 📮投稿 ☘️频道 🧧狗东
美国上诉法院恢复实施特朗普政府关税政策
美国联邦上诉法院近日临时恢复了特朗普总统广泛实施的“对等”关税政策,同时考虑政府方面的请求,在关税合法性诉讼进行期间,允许这些关税继续执行。
联邦巡回上诉法院于当地时间周四下午发布命令,对美国国际贸易法院周三作出的裁决实施“立即行政中止”。此前,国际贸易法院裁定,特朗普总统无权依据一项近50年前的紧急权力法规,对全球多国进口商品加征关税。
上诉法院表示,这项临时中止令将持续有效,直到法院就政府提出的长期暂停执行下级法院裁决的动议作出裁决为止。此裁决使10%的全球统一关税以及对加拿大、墨西哥和中国的高额关税得以在法律诉讼期间继续实施,至少将持续至6月中旬。
Politico
📮投稿 ☘️频道 🧧狗东
美国联邦上诉法院近日临时恢复了特朗普总统广泛实施的“对等”关税政策,同时考虑政府方面的请求,在关税合法性诉讼进行期间,允许这些关税继续执行。
联邦巡回上诉法院于当地时间周四下午发布命令,对美国国际贸易法院周三作出的裁决实施“立即行政中止”。此前,国际贸易法院裁定,特朗普总统无权依据一项近50年前的紧急权力法规,对全球多国进口商品加征关税。
上诉法院表示,这项临时中止令将持续有效,直到法院就政府提出的长期暂停执行下级法院裁决的动议作出裁决为止。此裁决使10%的全球统一关税以及对加拿大、墨西哥和中国的高额关税得以在法律诉讼期间继续实施,至少将持续至6月中旬。
Politico
📮投稿 ☘️频道 🧧狗东
😁147💊40❤9🥱6🤣6👍5🎉3🥴2
华硕路由器遭僵尸网络攻击,9000余台设备被植入持久性后门
一种名为“AyySSHush”的新型僵尸网络已入侵超9000台华硕路由器。 该攻击利用认证绕过技术和已知漏洞(CVE-2023-39780),在路由器中植入SSH后门,即便更新固件也无法清除。 攻击者通过非标准端口(TCP 53282)获得远程管理权限,并禁用日志记录和安全功能以隐藏踪迹。
此次攻击不仅影响华硕设备,据称也针对思科、D-Link和Linksys等品牌的SOHO路由器。 华硕已发布固件更新以应对此漏洞,但已被入侵的设备需手动检查并移除后门,建议用户执行恢复出厂设置并重新配置路由器。
Tom's Hardware | Bleeping Computer | Cybernews
📮投稿 ☘️频道 🧧狗东
一种名为“AyySSHush”的新型僵尸网络已入侵超9000台华硕路由器。 该攻击利用认证绕过技术和已知漏洞(CVE-2023-39780),在路由器中植入SSH后门,即便更新固件也无法清除。 攻击者通过非标准端口(TCP 53282)获得远程管理权限,并禁用日志记录和安全功能以隐藏踪迹。
此次攻击不仅影响华硕设备,据称也针对思科、D-Link和Linksys等品牌的SOHO路由器。 华硕已发布固件更新以应对此漏洞,但已被入侵的设备需手动检查并移除后门,建议用户执行恢复出厂设置并重新配置路由器。
Tom's Hardware | Bleeping Computer | Cybernews
📮投稿 ☘️频道 🧧狗东
😁142😱87👀6❤5👎5👍3🤣2🤝1
iPhone 17 或全系配备 ProMotion 高刷新率屏幕
根据屏幕供应链咨询公司DSCC首席执行官罗斯・杨的最新消息,苹果iPhone 17系列屏幕尺寸将迎来调整。标准版iPhone 17屏幕预计从6.12英寸提升至6.27英寸,与当前iPhone 16 Pro尺寸相当;新增的iPhone 17 Air将配备6.55英寸屏幕。Pro与Pro Max版本则维持现有尺寸。
值得关注的是,iPhone 17全系四款机型或将首次标配120Hz ProMotion高刷新率屏幕,并统一升级至2400万像素前置摄像头及更强的A19芯片。设计方面,各版本亦有区分,标准版将沿用药丸状凸起的双摄设计,Air版为单摄,Pro系列则采用横向大矩阵设计以容纳更复杂的摄像模组。
X
📮投稿 ☘️频道 🧧狗东
根据屏幕供应链咨询公司DSCC首席执行官罗斯・杨的最新消息,苹果iPhone 17系列屏幕尺寸将迎来调整。标准版iPhone 17屏幕预计从6.12英寸提升至6.27英寸,与当前iPhone 16 Pro尺寸相当;新增的iPhone 17 Air将配备6.55英寸屏幕。Pro与Pro Max版本则维持现有尺寸。
值得关注的是,iPhone 17全系四款机型或将首次标配120Hz ProMotion高刷新率屏幕,并统一升级至2400万像素前置摄像头及更强的A19芯片。设计方面,各版本亦有区分,标准版将沿用药丸状凸起的双摄设计,Air版为单摄,Pro系列则采用横向大矩阵设计以容纳更复杂的摄像模组。
X
📮投稿 ☘️频道 🧧狗东
❤188👎67😁50🤣44👍13👀4👏2🫡1
任天堂 Switch 2 游戏掌机证件照曝光:额定 5220mAh 电池、36W 充电
科技媒体 xpertpick 今天(5 月 30 日)发布博文,报道称任天堂全新游戏掌机 Switch 2 现身 NCC 认证网站,型号为 BEE-001,额定电池容量为 5220mAh,充电功率为 36W。
任天堂已公布 Switch 2 的多项硬件细节。设备尺寸与现款相似,搭载 Joy-Con 2 控制器时高 4.5 英寸、宽 10.7 英寸、厚 0.55 英寸,最厚处为 1.2 英寸;重量轻便,仅 0.88 磅(含控制器为 1.18 磅)。屏幕升级为 7.9 英寸 LCD,支持 HDR10 和 120Hz 刷新率,分辨率达 1920×1080 像素。
IT之家
📮投稿 ☘️频道 🧧狗东
科技媒体 xpertpick 今天(5 月 30 日)发布博文,报道称任天堂全新游戏掌机 Switch 2 现身 NCC 认证网站,型号为 BEE-001,额定电池容量为 5220mAh,充电功率为 36W。
任天堂已公布 Switch 2 的多项硬件细节。设备尺寸与现款相似,搭载 Joy-Con 2 控制器时高 4.5 英寸、宽 10.7 英寸、厚 0.55 英寸,最厚处为 1.2 英寸;重量轻便,仅 0.88 磅(含控制器为 1.18 磅)。屏幕升级为 7.9 英寸 LCD,支持 HDR10 和 120Hz 刷新率,分辨率达 1920×1080 像素。
IT之家
📮投稿 ☘️频道 🧧狗东
😁103🥱30👎12❤9👍3
微软暂缓自研Xbox掌机,全力优化Windows 11第三方掌机体验
微软目前已将自研Xbox掌机计划暂时搁置,转而优先提升Windows 11在第三方掌机上的游戏性能,重点支持与华硕合作的“Project Kennan”。该设备硬件已基本完成,预计今年年底发布,微软Xbox团队正与Windows团队密切配合,从系统和Xbox应用层面持续打磨用户体验。
与此同时,Xbox Series X后继机型依旧继续开发,微软对未来原生Xbox掌机技术的投资也未减,并未进行任何裁员。微软还在雷德蒙德总部测试新一代云游戏平台,旨在将延迟控制到与NVIDIA GeForce Now相当,为云游戏市场带来新竞争力。
Windows Central
📮投稿 ☘️频道 🧧狗东
微软目前已将自研Xbox掌机计划暂时搁置,转而优先提升Windows 11在第三方掌机上的游戏性能,重点支持与华硕合作的“Project Kennan”。该设备硬件已基本完成,预计今年年底发布,微软Xbox团队正与Windows团队密切配合,从系统和Xbox应用层面持续打磨用户体验。
与此同时,Xbox Series X后继机型依旧继续开发,微软对未来原生Xbox掌机技术的投资也未减,并未进行任何裁员。微软还在雷德蒙德总部测试新一代云游戏平台,旨在将延迟控制到与NVIDIA GeForce Now相当,为云游戏市场带来新竞争力。
Windows Central
📮投稿 ☘️频道 🧧狗东
😁129👍23🤨18❤8👾5👏3😱1👨💻1
韦伯望远镜发现迄今最遥远星系,刷新自身纪录
詹姆斯·韦伯太空望远镜(JWST)再次刷新自身纪录,观测到了迄今为止最遥远的星系 MoM-z14。该星系的光迹可追溯至宇宙大爆炸后仅2.8亿年的时期,其红移值高达14.44,超越了此前由 JADES-GS-z14-0 保持的14.18的纪录。
这一发现进一步证实了早期宇宙中存在着比科学家先前预期更多的明亮古老星系,对现有宇宙初期星系形成理论构成了挑战。MoM-z14 虽然体积相对小巧,直径约240光年,但其恒星形成活动异常活跃。其富含氮元素相对于碳元素的特征,与银河系中的古老球状星团相似,暗示了宇宙极早期可能存在着类似的恒星形成机制。研究人员期待未来能发现更多此类高红移星系,以深化对宇宙黎明时期的理解。
LIVESCIENCE
📮投稿 ☘️频道 🧧狗东
詹姆斯·韦伯太空望远镜(JWST)再次刷新自身纪录,观测到了迄今为止最遥远的星系 MoM-z14。该星系的光迹可追溯至宇宙大爆炸后仅2.8亿年的时期,其红移值高达14.44,超越了此前由 JADES-GS-z14-0 保持的14.18的纪录。
这一发现进一步证实了早期宇宙中存在着比科学家先前预期更多的明亮古老星系,对现有宇宙初期星系形成理论构成了挑战。MoM-z14 虽然体积相对小巧,直径约240光年,但其恒星形成活动异常活跃。其富含氮元素相对于碳元素的特征,与银河系中的古老球状星团相似,暗示了宇宙极早期可能存在着类似的恒星形成机制。研究人员期待未来能发现更多此类高红移星系,以深化对宇宙黎明时期的理解。
LIVESCIENCE
📮投稿 ☘️频道 🧧狗东
6🤯142🆒38👍18🤔8🥰5👎1🔥1💊1
开发者上线AI工具,可通过分析YouTube评论推测用户位置与背景
名为“YouTube-Tools”的新网站近日上线,可抓取YouTube用户历史评论并利用AI生成背景分析报告,预测其可能居住地、语言能力和社会政治倾向。该工具基于Mistral公司的大语言模型开发,开发者声称其初衷为协助警方与私家侦探调查,但目前任何人仅需支付约20美元即可注册使用,无需身份验证,引发对隐私泄露和骚扰滥用的担忧。
该网站声称掌握14亿用户和200亿条评论数据。尽管服务条款称仅限执法和专业调查用途,但实际注册过程无须审核,404 Media记者仅凭邮箱和信用卡即成功获取访问权限。该项目源于先前的“LoL-Archiver”,还涵盖Twitch、Kick等平台的聊天与评论记录。
404 Media
📮投稿 ☘️频道 🧧狗东
名为“YouTube-Tools”的新网站近日上线,可抓取YouTube用户历史评论并利用AI生成背景分析报告,预测其可能居住地、语言能力和社会政治倾向。该工具基于Mistral公司的大语言模型开发,开发者声称其初衷为协助警方与私家侦探调查,但目前任何人仅需支付约20美元即可注册使用,无需身份验证,引发对隐私泄露和骚扰滥用的担忧。
该网站声称掌握14亿用户和200亿条评论数据。尽管服务条款称仅限执法和专业调查用途,但实际注册过程无须审核,404 Media记者仅凭邮箱和信用卡即成功获取访问权限。该项目源于先前的“LoL-Archiver”,还涵盖Twitch、Kick等平台的聊天与评论记录。
404 Media
📮投稿 ☘️频道 🧧狗东
🤯149😱33😁21👎5🤬5💯2🤔1🏆1
欧盟将于7月推出年龄验证应用程序以保护未成年人
欧盟计划于2025年7月推出一款新的年龄验证应用程序,用户可在不向平台透露个人信息的情况下验证年龄。该应用将作为2026年欧盟数字身份钱包的前身,协助更严格地执行网络平台保护未成年人的法律义务。欧盟尚未统一年龄验证方式,但要求涉及未成年人或有害内容的平台评估并降低相关风险。欧盟技术主管海娜·维尔库宁表示,平台应主动设计更安全、隐私保护更强的未成年人使用环境。欧盟还计划将儿童账户默认设为私密,并限制可能导致沉迷的功能设计。Meta、TikTok等平台因涉嫌“上瘾性设计”正接受调查,色情网站如Pornhub等也因年龄验证措施不足被立案审查。
Financial Times | AP News
📮投稿 ☘️频道 🧧狗东
欧盟计划于2025年7月推出一款新的年龄验证应用程序,用户可在不向平台透露个人信息的情况下验证年龄。该应用将作为2026年欧盟数字身份钱包的前身,协助更严格地执行网络平台保护未成年人的法律义务。欧盟尚未统一年龄验证方式,但要求涉及未成年人或有害内容的平台评估并降低相关风险。欧盟技术主管海娜·维尔库宁表示,平台应主动设计更安全、隐私保护更强的未成年人使用环境。欧盟还计划将儿童账户默认设为私密,并限制可能导致沉迷的功能设计。Meta、TikTok等平台因涉嫌“上瘾性设计”正接受调查,色情网站如Pornhub等也因年龄验证措施不足被立案审查。
Financial Times | AP News
📮投稿 ☘️频道 🧧狗东
😁101🤣35👍10💊8❤6👎6🕊2🤝1