上午公司停电,但却偏有急事,非得上网不可,只得匆匆赶到科技园的上岛──那儿有无线。途中给coolc打了个电话,告诉他:我们到科技园了,你中午要有空,过来一块儿吃饭吧,俺们请。
coolc很客气地说:那怎么好意思……我请你们吧
我赶紧接上:好巧哦,你跟我想的一样耶……那就听你的吧……
吃饭的时候,提到包子(热烈欢迎包子兄弟来深圳,来这儿的哥儿们,看来,越来越多啦),然后由包子联想到了“纸箱馅包子”,想起来,觉得很有趣:
1、7月8日,北京电视台《透明度》栏目以“纸做的包子”为题播出了记者訾北佳暗访朝阳区一无照加工“纸箱馅包子”的节目。
2、北京市政府领导高度重视,王岐山市长当即批示:“如属实要严办,如属虚假,要公开澄清事实!”
3、7月17日,各大网站纷纷报导,确认《纸做的包子》已被证实为假新闻。
反正我是糊涂了,河蟹社会下,政府相信人民吗?相信人民的判断能力吗?人民信任新闻传媒吗?人民信任政府吗?
这是一次危机公关,还是纯粹的信任危机引来民众的猜疑?
前面几天,没事总会去看看China CISSP论坛,原因是上面有几个针对电子文档安全的讨论,觉得蛮有趣的。几个贴子的链接分别是:
可这一两天看,却发现内容已经变成骂战和揭短,而且相当一部份内容是不切实际的(那些帖子里也有指着大成天下说些不知所云的“漏洞”,甚至认为某个ID是俺马甲的),苦笑。
不过,看到思智的人比较理性地做了个“官方回应”,还是相当不错的。
我还是认为,电子文档安全与防泄密这个市场刚起步,内耗不如扎实研发和做市场工作,还是主席的话说说得好:牢骚太盛防肠断,风物长宜放眼量。
下午arrow给我发了幅图片,大家可以看看,这个女孩是顺时针在转圈儿,还是逆时针?
果然是境由心造,思维定势很要命,我连原理示意图都看了,但却愣是死活看不出逆时针来……
有个哥们最近在源代码漏洞发掘和黑箱测试方面有蛮大突破,下面是从他网站上转过来的,他用工具发现的视频语音聊天工具(包括碧聊等一堆的聊天网站都受影响)的漏洞。如果有企业有代码审计或黑盒测试方面的需求,不妨联系联系他 :)
CAL-20070730-1 BlueSkyCat ActiveX远程代码执行漏洞
我们是代码审计实验室(Code Audit Labs http://www.vulnhunt.com/).
为保护客户安全,我们对"蓝天专业可视语音聊天系统"blueskycat v2.ocx
(version 8.1.2.0) 文件做了下内部审计。blueskycat是应用广泛的语音和
视频聊天室软件,由blueSky.cn开发.
发现几处v2.ocx ActiveX的安全漏洞,远程攻击者可能利用此漏洞控制用户机器。
该文原始连接
2: http://CodeAudit.blogspot.com
CVE:
====
We request a CVE number to assign to this vulnerability.
细节:
=====
BlueSkyCat所安装的v2.ocx控件中的ConnecttoServer函数没有正确验证用户输入
参数,如果用户受骗访问了恶意页面的话,就可能触发堆溢出,导致执行任意指令。
从而控制安装有受影响版本的BlueSkyCat软件的用户机器。
以下您的客户的客户的机器都会受到影响
CN104
http://www.cn104.com
北国娱乐网 http://www.pj0427.com
受影响版本:
===========
v2.ocx version 8.1.2.0(当前最新版本) 和以前版本
厂家:
=====
BlueSky
测试代码:
========