November 25, 2019, 12:10 am
聯邦通訊委員會(Federal Communication Committee,FCC)在上周無異議通過一項命令,要求那些接受美國政府「普及服務基金」(Universal Service Fund,USF)的電信業者,不得向那些構成國家安全威脅的公司購買設備與服務,包括中國的華為與中興,同時也要求業者移除與置換既有的華為與中興設備。
USF是由FCC負責管理的基金,主要用來推動補貼及推動美國的寬頻部署與服務,1年所補貼的金額高達85億美元,此一禁令最初只鎖定華為與中興,但未來可能涵蓋其它業者。
FCC表示,現代的通訊網路是美國經濟不可或缺的組成元件,它提供語音、資料及網路的傳輸,推動涵蓋運輸系統、電網、金融市場及緊急服務等所有關鍵領域的發展,但這些網路可能受到各種形式的監控與攻擊,造成服務阻斷,或喪失網路的完整與機密性。
隨著美國計畫更新網路到下一代的5G,通訊網路中的後門將讓敵對的外國勢力用來從事間諜活動、注入惡意程式或竊取美國資料,而造成國安威脅。
FCC更明白指出,不管是華為或中興都與中國政府及軍事機構擁有密切關係,亦受到中國法令的約束,要求它們必須協助從事間諜活動,而間諜活動是任何一個國家都認同的威脅。因此,由美國政府所祭出的USF必不能向危及國安的業者購買設備。
FCC更要求那些已取得USF基金的業者,必須移除及置換向華為與中興所購買的設備。此一禁令將自美國政府官方期刊《聯邦公報》(Federal Register)公布之後立即生效。
↧
November 25, 2019, 12:20 am
路透社報導,美國官員警告加拿大如果採用華為生產的5G網路設備,不但可能使加拿大人民個資曝露在中國情報行動下,也會影響美國對加國的情報分享。
美國國家安全顧問Robert O'Brien周日在加國當地的安全會議中指出,華為設備進駐加拿大或其他西方國家後,加拿大人民每一筆健康記錄、銀行紀錄、社交網站貼文,所有東西都會被中國政府掌握得一清二楚。
加拿大原訂幾個月前針對5G網路採購開標,但7月間總理杜魯道(Justin Trudeau)將是否准許華為參與加國5G競標,延到10月大選後迄今。
美國政府認定華為網路產品設有後門,表示不願對五眼聯盟中採用華為產品者提供完整情報。五眼聯盟(Five Eyes)5個英語系國家組成的國際情報分享聯盟,成員包括澳洲、加拿大、紐西蘭、英國和美國。
加拿大國防部長Harjit Sajjan表示,該國極端重視確保現有4G網路安全性及對5G網路的採購決策,以確保未來5G網路安全性至少不輸現有4G網路。該國也會審慎評估各種威脅。
目前僅美國、澳洲與紐西蘭明定禁止採用華為5G產品,英國限制僅非敏感區域使用華為5G產品。加拿大則為難處於夾在二強之間;加拿大去年12月逮捕了華為財務長孟晚舟後,將之引渡到美國,遭到中國嚴詞抨擊。而後中國也逮捕了兩名在中國的加國商人,並以涉入間諜行動為由拘禁至今,本案也導致加國不願提早開放決定華為是否可參加5G標案。
↧
↧
November 25, 2019, 12:30 am
被IBM Cloud和eBay採用的IT自動化工具廠商SaltStack,推出新的資安維運(SecOps)解決方案SaltStack Protect,該解決方案可從大規模的基礎設施中,自動發現並且修復安全漏洞。SecOps是安全(Security)和營運(Operations)的縮寫,透過整合資安和營運團隊的工具與流程,以達到在降低資訊風險的同時,還能提升企業效能。
過去修復漏洞從調查漏洞開始,確定重要性後進行測試和修復等工作,而SaltStack還提到,SaltStack Protect能夠減少95%尋找與修復漏洞時間。SecOps解決方案可以為安全和IT營運團隊提供一個協作平臺,彌補企業在安全和IT營運資源的短缺,並縮短尋找與修復漏洞的時間。
SaltStack Protect是SaltStack Comply的附加產品,SaltStack Comply的功能可自動進行法遵維護工作,更新具CIS(Center for Internet Security)基準參考指標的內容和SDK,以及創建自定義的安全檢查。SaltStack Protect的主要功能有三項,原生CVE掃描、智慧漏洞優先排序以及自動化修復。SaltStack Protect能夠掃描企業就地部署以及在雲端的系統,發現包括作業系統與基礎設施超過12,000個CVE漏洞。
而該SecOps解決方案也會智慧地評估威脅的優先等級,供企業作為修補的依據。SaltStack會收集系統環境中即時的配置資料,並結合來自SaltStack Protect的漏洞訊息,以準確判斷出系統中可被利用與不可被利用的漏洞,並且優先修補存在被利用風險的漏洞。除了幫企業找出IT系統存在的漏洞,SaltStack Protect還會提供開箱即用的漏洞解決方法,以自動化工作流程修復漏洞。
SaltStack表示,其他SecOps產品通常是為尋找漏洞和確定漏洞優先順序而開發,在SaltStack Protect則是以掃描、偵測、優先排序和修復安全威脅的封閉循環,不斷地自動發現和修復系統漏洞工作。
↧
November 25, 2019, 12:40 am
根據外電報導,俄羅斯的下議院「國家杜馬」(State Duma)在上周通過一項法案,將禁售未預裝當地程式的裝置,若經上議院通過及總統簽署,即會在明年7月1日實施。
此一法令涵蓋了各種智慧裝置,從手機、電腦到智慧電視,贊成該法案的陣營表示,這是為了推動俄羅斯的技術,並讓該國消費者有選擇的權利。
其實俄羅斯政治只是為了保障當地的技術發展,該法令並未禁止相關裝置預裝其它業者的程式,只是規定同時也得預裝來自俄羅斯的程式。
共同撰寫該法案的Oleg Nikolayev向俄羅斯的新聞通訊社Interfax說明,當消費者購買電子裝置時,通常都已預裝了各種程式,它們通常是西方程式,使得消費者誤以為沒有國內程式可使用,但假設同時也預裝來自俄羅斯的程式,那麼就有選擇的機會。
儘管如此,此一法令依然有可能封鎖了某些品牌進入俄羅斯的能力,例如蘋果,因為蘋果並不允許第三方在iPhone或iPad上預裝程式。俄羅斯媒體The Bell則猜測,與其遵循該法令,蘋果很可能會選擇退出俄羅斯市場。
↧
November 25, 2019, 12:45 am
法國媒體La Lettre A與BBC近日報導,華為已控告法國3名評論家涉及誹謗,因為他們在電視節目上聲稱華為是由中國政府及中國共產黨所控制的企業,而這些指控是不實的。
根據報導,華為是在今年3月就控告這些評論家,只是一直到上周才曝光,他們的身分分別是研究人員、新聞記者,以及一名電信領域的專家。
華為在提供給BBC的聲明中表示,這些評論者宣稱華為由中國政府與軍方所控制,並利用其在電信網路中的專長針對西方國家執行間諜活動,都是不實的言論。
其實華為也曾在今年3月控告美國政府,指稱美國政府限制政府機關採購華為的5G及網路設備等行為,違反了美國的憲法及法令。
不過,美國聯邦通訊委員會(Federal Communication Committee,FCC)才在上周通過一項命令,要求那些接受美國政府「普及服務基金」(Universal Service Fund,USF)的電信業者,不得向華為與中興等業者購買電信設備,也必須移除或置換既有的華為與中興設備,理由是這些它們可能危及國安。
↧
↧
November 25, 2019, 12:55 am
AWS宣布在其資料倉儲服務Amazon Redshift中,原生支援GEOMETRY資料類型,這種資料類型可以讓用戶擷取、儲存和查詢二維地理資料,還可以對GEOMETRY類型資料使用空間函式。AWS提到,空間查詢實際上是非常花費CPU資源的運算,但是在Redshift中卻能非常快速地進行查詢。
地理資料是指與地球位置有某種關聯的資料,包括座標、海拔、地址、城市名稱或是郵遞區號,都是地理資料的一種。而Amazon Redshift新支援的GEOMETRY類型,讓開發者能更簡單地在表格欄位中處理經緯度座標,並可以轉換或是結合其他種類的地理資料使用。
該資料類型實際儲存的幾何物件包含點、線串(Linestrings)、多邊形、多線串、多重多邊形和幾何圖形集合,另外,開發者除了可以在資料表中創建GEOMETRY類型的資料外,作為支援地理空間資料的一部分,現在也能直接使用複製指令,從文字檔案中擷取地理資料,不過,檔案中的資料格式必須使用標準的十六進位EWKB(Extended Well-Known Binary)格式。
↧
November 25, 2019, 6:50 pm
中國手機製造商OnePlus(一加)上周再度傳出客戶資料外洩意外,指出未被授權的第三方存取了客戶的訂單資訊,使得客戶的名字、聯絡電話、電子郵件與寄送地址外洩。OnePlus並未公布受害數量,但表示已通知受害者。
OnePlus去年也曾傳出資料外洩意外,當時是因付款頁面被植入了惡意的腳本程式,駭客竊取了用戶的信用卡資訊,波及4萬名用戶。
不過,此次OnePlus強調所有用戶的付款資訊、密碼或帳號都是安全的,而外洩的資料可能會被用來遞送垃圾郵件或執行網釣攻擊,因而警告用戶應提高警覺。
OnePlus已解決了此一安全問題,並已在公布前先行通知受害者,也與執法機關合作展開調查。
↧
November 25, 2019, 7:05 pm
微軟釋出了用於資料庫服務Azure Cosmos DB的Cassandra連接器個人預覽,用戶現在可以將資料從企業就地部署,或是在其他雲端上執行的Apache Cassandra工作負載,搬遷到Azure Cosmos DB上,而且這個過程Cassandra不需要停機。
Cassandra連接器使用複製代理程式,將資料從Apache Cassandra移動到Cosmos DB,而複製代理程式是在原生Cassandra主機上執行的Java程序,透過託管的工作管線上傳位在Cassandra的資料。設置的方法很簡單,微軟提到,用戶只要在Cassandra節點上下載代理程式,並且設定目標Cosmos DB Cassandra API帳戶資訊就可以了。
複製代理程式會為叢集創建初始快照並且上傳必要的檔案,而在之後,代理程式還會進行持續擷取,不停地將Cassandra上新增的資料搬遷到Cosmos DB上。在目標Azure Cosmos DB Cassandra API帳戶上,用戶需要驗證支援的Cassandra功能,以及估算需要的請求單位。
↧
November 25, 2019, 7:10 pm
資安業者卡巴斯基(Kaspersky)於上周警告,他們在奠基於虛擬網路運算(Virtual Network Computing,VNC)協定的4款開源實作中發現了37個安全漏洞,全都與錯誤的記憶體使用有關,有些可能造成服務阻斷,但嚴重的可能允許駭客存取裝置上的資訊或植入惡意程式。
VNC為一常見的遠端存取系統,被廣泛部署在技術支援、設備監控、遠端學習或其它目的上,而基於VNC的應用程式通常是由兩個部份組成,一是安裝在電腦上的伺服器,另一是執行在遠端裝置的客戶端程式,以用來連結伺服器。
這次卡巴斯基所檢驗的4款開源VNC應用,分別是可用來連結虛擬機器的LibVNC、通常應用在工業自動化系統的TightVNC 1.X、被應用在遠端繪圖/3D/影片物件的TurboVNC,以及專為Windows所設計且被廣泛使用在工業生產中的UltraVNC。
結果研究人員在UltraVNC中發現了22個漏洞,在LibVNC中發現10個漏洞,TightVNC也含有4個漏洞,而TurboVNC則僅有一個漏洞。
在卡巴斯基撰寫報告並公布上述漏洞之前,已先行知會相關的開發人員,除了TightVNC之外,其它多已修補完畢;這是因為開發人員已不再支援TightVNC的第一個版本,而且拒絕修補它們。卡巴斯基則建議使用者應考慮改用其它VNC平台。
此外,研究人員也警告,如同許多的開源專案,含有漏洞的程式碼可能被應用在其它程式中,但並非所有開發人員都會留心他們所借用的函式庫是否更新,這些程式將依然存有漏洞,而且很可能永遠不會被修補。
卡巴斯基建議網管人員應監控企業架構中的遠端存取程式,包括檢查哪些裝置能夠遠端存取並移除不必要的存取權限,清點所有的遠端存取應用,以強密碼來保護VNC伺服器,勿連結不可靠或未經測試的VNC伺服器,以及採用專門的安全解決方案等。
↧
↧
November 25, 2019, 7:13 pm
Google首款中文智慧喇叭Nest Mini正式在臺上市,售價1785元,今天開始除了在Google線上商店銷售外,也將在台灣大哥大門市銷售。
Nest Mini共有粉炭白、石墨黑兩色,內建說中文的Google助理,配合在臺灣上市,可支援繁體中文,同時依照臺灣的使用者語言習慣,提供智慧語音功能,例如播放音樂、設定提醒事項,或是請語音助理幫你讀新聞,以語音遙控開啟家中的電燈、空調、掃地機器人等。
Google表示,新一代的Nest Mini在臺上市,內建的Google助理新增兩種聲音,不只有「Google小姐」,還提供「Google先生」的聲音,讓使用者可以依照自己的喜好選擇助理的聲音。此外,Nest Mini在低音的表現,較前一代提升兩倍,並內建了音質調整軟體,以保持音質清晰、不失真。而使用者可將兩臺Nest Mini可搭配連線,營造立體聲的音場體驗。
新一代的Nest Mini也內建第三個麥克風,以方便使用者在比較吵雜的環境下使用,例如運轉中的洗衣機,仍能接收使用者的語音,並以較大的音量回應;因應不同的家庭成員使用,Nest Mini也內建了Voice Match,最多可支援6位使用者的聲音,提供個人化的資訊服務。
搭配Nest Mini中文智慧喇叭推出的服務,目前提供MyMusic、Spotify、Netflix,讓使用者可以語音的方式,和Google助理對話,請求播放音樂,或是瞭解影集劇情。不過,KKBOX及Apple Music並不在支援之列。
用戶現在可透過中文和Nest Mini的Google助理對話,要求控制家中的智慧家電,目前已可和小米、LG、D-Link、Phillips Hue、大同及Yeelight等品牌,市售約3萬款的智慧裝置連線,例如以語音控制燈泡、燈具、掃地機器人、空調、插座或是洗衣機等智慧裝置。
![]()
Nest Mini支援的服務,在影音娛樂方面,有MyMusic、Spotify、Netflix、YouTube Music、YouTube/YouTube Premium;新聞播放則有民視新聞、東森新聞、公視、聯合新聞網、經濟日報、TVBS新聞。
除了在Google線上商店銷售,延續先前和臺灣大哥大合作銷售Pixel 4手機,臺灣大哥大也成為Nest Mini合作的實體通路,台灣大哥大門市在今天也開始銷售,消費者可搭配資費方案,例如月租費333元,取得Nest Mini與Chromecast,並能使用MyMusic、MyVideo等服務。
至於其他的Google Nest產品是否會在臺灣上市?2011年就加入團隊的Google Nest台灣研發中心負責人洪福利表示,不排除未來推出其他產品的可能,但目前還沒有進一步的產品上市規劃。
↧
November 25, 2019, 7:20 pm
AWS擴大支援以屬性作為基礎的存取控制(Attribute-Based Access Control,ABAC),用戶現在可以在AWS對話(Session)中傳遞使用者屬性,把外部身份系統中定義的屬性,用作AWS內部ABAC的一部分。
不少系統皆提供基於角色的存取控制(Role-Based Access Control,RBAC),這是一種限制系統僅供被授權使用者存取資源的方法,在RBAC中,用戶定義資源的存取權限,並把這些權限分組成政策,企業中的角色會被賦予這些政策,而角色會被指定給諸如人、伺服器或是應用程式等實體。
但AWS提到,複雜的資源使RBAC難以被擴展,在新資源添加到系統之後,系統管理員必須要將新資源權限新增到所有相關的政策,但是當系統中存在上千種資源與上千種政策時,這個工作變得困難,當用戶或是應用程式被授與了不必要的權限,系統管理員也難以驗證權限配置的正確性。
為了在資源數量不斷成長的情況下,簡化系統管理員管理權限的工作,AWS提供了新興管理典範ABAC,用戶可以在政策中使用任何的屬性,包括使用者屬性、資源屬性和環境屬性等,政策可以使用IF...THEN來編寫規則,像是IF用戶屬性角色是經理,THEN可以存取檔案屬性為機密的檔案資源。
而現在AWS進一步宣布,當使用標準SAML(Security Assertion Markup Language),以外部身份提供者(IdP)提供的身份,聯合(Federation)連線進AWS,則可以在AWS對話中傳遞用戶屬性,存取具相同屬性的資源。外部身份系統的管理員可管理使用者屬性,並在聯合期間傳遞屬性,這些屬性稱為對話標籤,對話標籤是臨時標籤,僅在聯合期間有效。
要於AWS的ABAC上使用外部身份提供者,流程如下圖,藍、黃和綠代表三個不同的成本中心(Cost Center),企業可以用成本中心的標籤標記所有專案資源,系統管理員可在外部身份系統的開發者對話中,加人成本中心標籤,如此,只有具有相同成本中心標籤值的連線,才能存取對應的標籤的資源。
![]()
當用戶需要變更存取不同標籤的資源,則系統管理員只要更新外部身份系統連線的標籤,在AWS中不需要進行額外更改授權的動作,AWS就會根據外部連線的標籤,自動應用新的存取授權。AWS現在已經與Auth0、ForgeRock和IBM等多家企業的身份系統合作,確保系統對話的屬性正確,而對於其他身份供應商來說,只要是使用標準SAML 2.0和OpenID Connect,也都可以配置對話標籤。
↧
November 25, 2019, 7:25 pm
聯合國旗下的國際電信聯盟(International Telecommunication Union,ITU)在經歷了接近一個月的世界無線通訊會議(World Radiocommunication Conference,WRC)的討論之後,上周公布了允許新一代5G網路所使用的頻段,同時氣象科學家也開始擔心全球5G網路的部署,對氣候觀察可能帶來的影響。
先前美國國家海洋暨大氣總署(National Oceanic and Atmospheric Administration,NOAA)就曾憂心5G網路會造成天氣預測準確度的下滑,主要是因5G網路所使用的頻段太靠近氣象衛星觀察天候的頻段,使得5G訊號干擾氣象衛星的蒐集,進而破壞氣象預測的準確度。
而世界氣象組織(World Meteorological Organization,WMO)也曾在WRC開會期間疾呼,希望各國政府應該要在發展5G及保護氣象觀察之間取得平衡,同時指出5G與氣象資訊蒐集的衝突主要為24 GHz附近的頻段。
具體而言,23.6~24 GHz為氣象衛星觀察水蒸氣的頻段,而5G所使用的其中一個頻段則是24.25~27.5GHz。WMO說明,該頻段屬於被動式的衛星觀察頻段,透過敏銳的儀器來測量從地球表面與大氣層溢散的超低功率微波幅射,而這些被動技術,則最容易受到無線電頻率所產生的電磁輻射干擾。
另一方面, ITU在WRC會議中所公布的5G頻段包括:24.25~27.5 GHz、37~43.5 GHz、45.5~47 GHz、47.2~48.2及66~71 GHz,總計為17.25個頻譜。
之前氣象專家與電信業者就曾不斷在該頻段上進行角力,但電信業者認為24 GHz左右的頻段是創造更快5G速度的必要頻段,就算雙方後來決定藉由建立兩者之間的噪音緩衝來解決,但此次WRC的結論依舊讓氣象專家擔心。
根據《自然》期刊的報導,WMO原本希望雙方的噪音緩衝最好可達到-55dBW(decibel watts,瓦分貝),歐盟則建議至少要達到-42 dBW,但ITU在WRC上的決議則是採用兩階段的保護,在2027年9月1日以前採用較寬鬆的-33 dBW的緩衝,之後再加強管制到-39 dBW。
ITU的用意是在5G剛起步時採用相對寬鬆的規定,以讓電信業者能夠邁開腳步建置5G網路,8年後再嚴格管理。然而,氣象專家卻認為全球的5G競賽勢必會發展迅速,可能不必到2027年就會影響水蒸氣的觀察與氣象預測。
不論如何,氣象預測人員已經開始嚴陣以待,包括監控5G網路的發展與部署,以及研究如何降低5G訊號對衛星觀察可能帶來的衝擊。
↧
November 25, 2019, 10:00 pm
研究人員發現Fortinet產品因程式撰寫問題導致加密金鑰曝露,可能讓駭客攔截用戶資料,進而削弱產品安全防護。有點尷尬的是,約1年後Fortinet才釋出修補程式,呼籲用戶儘快更新。
這項漏洞編號為CVE-2018-9195,是由安全研究人員Stefan Viehböck於2018年5月發現。Fortinet包括防火牆產品FortiGate及端點安全產品Forticlient,都是透過UPD port 53、8888及TCP port 80(HTTP Post /fgdsvc)上和雲端安全服務通訊。研究人員發現,這二個Fortinet產品使用弱加密密碼、靜態密碼金鑰和架在三項FortiGuard雲端服務,包括FortiGuard 網頁過濾(Web Filter)、垃圾郵件過濾(AntiSpam)及防毒(AntiVirus)通訊,導致攻擊者得以竊聽用戶活動,並且操控安全偵測服務。
研究人員進一步解釋,Fortinet只用XOR cipher(一種簡單加密演算法)及寫死(hardcode)於FortiOS作業系統中的金鑰,來加密傳輸的協定訊息。協定訊息內含由產品型態及用戶ID組成的Fortinet序號及用戶上網的完整HTTP URL,前者讓攻擊者透過被動監控流量,得知企業客戶使用哪類、哪種Fortinet產品、安裝哪個FortiClient,並以FortiClient的序號來追蹤個別用戶的上網活動。而洩露完整HTTP URL,則讓攻擊者被動監控用戶造訪網站的URL,包括HTTPS加密的URL,就算啟用SSL加密也無濟於事。
此外,研究人員還因此攔截到Antispam功能及AntiVirus功能送出的郵件內容和防毒資訊。研究人員透過概念驗證攻擊證實,攔截和改造這些流量內容,攻擊者即可操控或弱化FortiGuard網頁、垃圾郵件過濾和防毒服務,對惡意URL、郵件或檔案的偵測能力。
上述漏洞影響FortiOS 6.0.6版本以下的作業系統及Windows(6.0.6版以下)及Mac(6.2.1 a版以下)FortiClient。
研究人員於去年中旬發現後,Fortinet終於在今年陸續釋出FortiOS 6.0.7及6.2.0及FortiClientWindows 6.2.0及FortiClientMac 6.2.2。Fortinet也呼籲用戶立即升級到最新版本。
↧
↧
November 25, 2019, 10:20 pm
威脅情報平台Data Viper上周揭露,Google Cloud上有一個公開的Elasticsearch伺服器上,存放了12億名用戶的資料,該伺服器不需密碼或認證就能直接存取並下載所有資料,堪稱是史上最大宗的資料外洩事件。
Data Viper其實是在4TB資料、40億使用者帳號中找到這12億名不重覆的民眾資料,外洩的資料包括姓名、電子郵件、電話號碼、以及LinkedIN與臉書的個人檔案;而且它們來自兩家不同的資料豐富(data enrichment)公司。
資料豐富公司所從事的任務就是擴大蒐集每個人的背景資料,例如原本只有姓名或電子郵件,但這類的公司可將其檔案擴充到涵蓋各種資料,像是家中人數、收入或財務狀況、宗教或政治偏好,以及喜歡的社交活動等。
研究人員相信該Elasticsearch伺服器上的資料,分別來自People Data Labs與OxyData.Io兩家資料豐富公司,伺服器上的資料與People Data Labs的資料幾乎都吻合,而People Data Labs即宣稱該公司握有15億不重覆民眾的資料。
然而,不管是People Data Labs或OxyData.Io都說該曝光的伺服器與它們無關,使得Data Viper猜測此一伺服器也許屬於它們的客戶,只是無從證實其所有人身分。研究人員表示,辨識一個曝光且無名的伺服器是調查中最困難的部份之一,在這個案例中,他們只知道它的IP位址,以及伺服器是置放在Google Cloud上。
↧
November 25, 2019, 10:45 pm
Windows 10更新又碰上和防毒軟體不相容,包括1903及1909版Windows 10更新,和部份舊版AVG和Avast防毒軟體發生不相容,微軟已經暫停更新。
根據微軟網頁指出,微軟和Avast發現Avast Antivirus及AVG Antivirus 19.5.4444.567以前的版本,和Windows 10 1903及1909出現不相容問題。任何包含這個版本以前的Avast/AVG產品都會受影響。為確保用戶的更新體驗,微軟已對安裝這個版本以前的AVG或Avast Antivirus的PC,暫停下載安裝Windows 1903及1909,直到用戶升級到最新版AVG或Avast防毒軟體。
除了桌機版的Windows 10 1903/1909外,這個問題也影響Windows Server 1903/1909。在此之前,硬是要下載的用戶會看到Windows 10顯示一個訊息,告知用戶必須「移除這個app,因為它和Windows 10不相容」。
解決方法很簡單,只要更新到最新版防毒軟體,或移除舊版軟體再安裝最新版,Windows 10更新版就會自動重新下載了。不過微軟或AVAST皆未說明不相容的原因。
受影響的產品包括AVG Antivirus FREE、AVG Internet Security、Avast Free Antivirus、Avast Pro Antivirus、Avast Internet Security、和Avast Premier。
8月微軟透過Patch Tuesday每月更新,針對Windows 7和Server 2008釋出的安全更新,發生其中SHA-2憑證和賽門鐵克或諾頓(Norton)防毒軟體不相容,Windows更新版遭到防毒軟體封鎖或刪除,使Windows電腦無法運作或無法啟動,也一度讓微軟撤回更新。
↧
November 25, 2019, 10:45 pm
Google在本周以違反該公司「資料安全政策」為由,開除了4名員工,但旋即遭到數百名員工的抗議,因為這4名員工過去都曾公開反對Google的某些決策,支持者認為Google是在報復他們。
先前曾替Google內部性騷擾事件發聲的GoogleWalkout組織在本周指出,Google《行為準則》(Code of Conduct)的結尾寫著:「不作惡,如果看到自己覺得不對的地方,請大聲說出來。」但當員工這樣做的時候,Google卻採取了報復的手段。
而根據Google在內部發布的說明,Google宣稱這4名員工數次違反了資料安全政策,且強調他們不只是因為查看了內部文件或行事曆就被開除,而是系統性地搜尋其它員工的文件與工作,包括搜尋、存取及散布與他們自己工作無關的資訊,而且在被提醒之後還繼續從事這類的行為,甚至將Google的內部郵件對外分享。
然而,GoogleWalkout組織卻認為Google只是借題發揮,被解僱的其中一名員工Laurence Landlubber表示,當他詢問Google的全球調查團隊自己是否被指控外洩資料時,他們的答案是「不是,這與外洩無關。」透露出Google對大家公布的說法根本是個謊言。
GoogleWalkout組織還說,過去Google曾經鼓勵新進員工閱讀內部每個專案的文件,現在Google變更了該政策,卻缺乏清楚的規範,等於是讓主管決定是否祭出懲罰。
此事吸引外界注目的並不只是勞資糾紛,而是Google的轉變。過去Google替矽谷帶進了許多現代化的辦公室文化,並被譽為現代職場的標準,且其擁抱管理階層與員工之間的透明關係,也影響了不少新創,然而,近來Google不只取消了可讓員工自由提問的全員大會,也聘請外部顧問公司來協助平息工會的問題,在在都透露出Google與員工之間的關係愈來愈緊張。
↧
November 25, 2019, 11:45 pm
AWS宣布兩項重要的物聯網更新,首先AWS現在讓低階物聯網裝置,透過將語音服務的運算工作轉移到雲端,讓小於1 MB嵌入記憶體的裝置,也能支援Alexa語音服務(AVS)。另外,邊緣運算解決方案AWS IoT Greengrass現在開始支援Docker容器,讓開發者可以更靈活地在邊緣裝置部署應用程式。
AWS現在將Alexa語音服務整合到物聯網雲端服務AWS IoT Core中,讓製造商可以簡單地在低階裝置中內建Alexa。過去要執行Alexa語音應用,裝置需要擁有較高階的應用程式處理器,以及大於50 MB的記憶體來運作Linux或是Android作業系統,但是較高的硬體需求,也就大幅限制了可以整合Alexa語音服務的裝置類型。
現在AWS在AWS IoT Core中整合Alexa語音服務,將Alexa語音應用中,需要使用較多記憶體和運算能力的任務,放到雲端的虛擬Alexa裝置中執行,如此Alexa就可以內建在低階的裝置裡,使用像是ARM Cortex-M系列單晶片,和小於1 MB的嵌入式記憶體的規格就能運作。
這些內建Alexa的低階裝置,會透過單一且安全的MQTT連線到AWS IoT Core,語音資料會由雲端上的Alexa語音服務處理,再透過AWS IoT Core將處理結果送回給裝置。
除此之外,AWS也更新了邊緣裝置解決方案AWS IoT Greengrass,開發者現在可以在AWS IoT Greengrass裝置上執行AWS Lambda函式以及容器應用程式,如此讓用戶能夠簡單地使用映像檔,從企業就地部署搬遷應用程式,或是建置需要許多相依項目的應用程式,這項新功能提供了一致的開發環境,讓應用程式在開發環境與邊緣裝置中搬遷,用戶也能簡單地打包程式碼或是可執行檔進容器映像檔,以部署老舊或是第三方應用程式。
而AWS也在Greengrass Core SDK增加了Stream Manager,開發者可以用來處理物聯網裝置資料串流,AWS提到,過去影片、圖像辨識或是邊緣感測器收集到的大量資料,開發者通常需要自己開發資料串流管理功能,但現在Greengrass Core SDK提供了物聯網裝置資料串流的標準處理機制,可根據快取大小與資料壽命等規則,讓開發者更簡單地管理資料留存政策。
Stream Manager會考慮連接的不可預測性與頻寬限制,開發者可以定義資料管理在斷線與重新連線的行為,也能制定資料的重要性,當中斷的連線恢復時,能更有效率地利用網路頻寬。開發者使用Stream Manager可以花更多時間在開發應用上,而非底層的串流資料處理。
↧
↧
November 26, 2019, 12:15 am
Mozilla打算在明年1月出爐的Firefox 72中,於預設中啟用指紋追蹤保護,進一步強化Firefox用戶的隱私。
開發人員是在近日釋出的Firefox 72 Nightly中發現此一預設功能。指紋追蹤屬於追蹤手法的一種,它追蹤的是使用者裝置的特性,並用以建立裝置檔案,像是螢幕解析度、所使用的瀏覽器、時區、語系、所安裝的擴充程式、字型或作業系統等。
指紋追蹤保護將在Firefox 72被納入增強追蹤保護(Enhanced Tracking Protection)功能的標準設定。Mozilla是在9月釋出的Firefox 69,啟用增強追蹤保護功能來保障使用者的隱私,但當時的標準設定(預設值)只能封鎖社交媒體的追蹤器、跨站追蹤cookie、隱私視窗的內容追蹤及加密貨幣採礦工具等。
而10月問世的Firefox 70,就允許使用者透過「嚴格」(Strict)或「客製化」(Custom)設定,手動啟用指紋追蹤保護,Firefox 72則進而讓指紋追蹤保護成為預設。
所以如果Firefox用戶現在就擔心自己的裝置檔案被追蹤,其實已經可以藉由手動設定封鎖相關的追蹤行為。
↧
November 26, 2019, 12:15 am
英國倫敦交通局(Transport for London,TfL)本周宣布,為了乘客的安危,將拒絕頒發經營許可予Uber,這是Uber繼2017年以來,第二次遭到TfL的拒絕,且倫敦是Uber僅次於美國的第二大市場,而Uber將有21天的上訴期。
TfL說,儘管Uber從2018年6月取得倫敦經營許可以來,不管在文化、管理團隊或系統上都作了許多改善,但該公司卻有許多失敗的模式,而影響乘客的安危;TfL對於未來是否會發生類似的意外並無信心,認為現階段不適合再頒發經營許可予Uber。
令TfL無法接受的問題包括Uber系統允許司機上傳自己的照片到其它Ube司機的帳號中,而讓後者可以以他們的身分接客,次數高達1.4萬,置乘客的安全於風險中。這樣的作法代表這些旅程是沒有保險的,而且有些司機可能駕照已被吊銷。
此外,Uber還允許已被解僱或停權的司機建立帳號及載客。
由於有些問題是在Uber於今年9月獲得兩個月的延伸許可來解決相關問題之後又出現的,使得TfL無法信賴Uber的系統,也認為Uber系統似乎太容易被操控了。
總之,Uber必須在上訴時間內證明該公司能夠滿足TfL於今年9月所提出的20項條件,才有機會取得倫敦的經營許可。
↧
November 26, 2019, 1:16 am
看準全球5G市場商機,聯發科今天(11/26)發表了旗下首款5G SoC系統單晶片「天璣1000」,將鎖定高階5G手機,相關產品預計明年第一季問世。
聯發科今天選在中國深圳發表,並且同步在臺灣地區發表現場進行視訊直播。「天璣1000」採用台積電7奈米製程,整合5G數據機,支援5G雙卡雙待,以及雙載波聚合(2CC CA)技術,以Sub-6GHz頻段為例,5G下載速度可達最高4.7Gbps、上傳2.5Gbps,並且支援SA、NSA的組網架構。
作為聯發科鎖定高階5G手機的祕密武器,「天璣1000」採用時脈可達2.6GHz的4個Arm Cortex-A77核心,4個2.0GHz的Cortex-A55核心,以大小核的架構設計平衡效能及功耗。另也整合Arm最新的Mali-G77 GPU,以提供更高的遊戲效能,並支援FHD+或90Hz的2K+顯示。
順應行動裝置搭載AI晶片的趨勢,該晶片搭載了APU 3.0,最高可達4.5 TOPS,相比於前一代的APU 2.0提升兩倍以上。在APU 3.0助力下,提升了該晶片的AI相機功能,例如自動曝光、降噪、HDR、AI臉部辨識等等。
高度整合的系統單晶片,聯發科表示,除了具備節能的好處,也能節省行動裝置的機構空間,讓裝置開發商可以設計裝置搭載更大容量的電池,或是更大的相機感測元件。
聯發科董事長蔡力行表示,天璣5G系統單晶片的推出,是聯發科累積投入1000億元開發的成果,聯發科約7成的研發人力在臺灣,象徵對臺灣的持續,天璣晶片只是聯發科未來5G系統單晶片的第一步,未來將會規畫再推出一系列系統單晶片,以涵蓋各方面的應用。
談到聯發科對5G的策略,蔡力行指出,聯發科在一開始就會全力投入5G世代,不落後人,除了目前比較大的智慧型手機市場,聯發科在昨天也和英特爾共同宣布,將為PC開發5G通訊晶片,顯示聯發科的5G佈局不會只有手機,還涵蓋PC產品。
在與英特爾的合作中,聯發科將為消費與商用筆電推出5G數據機,該款PC用5G數據機是以先前聯發科為行動裝置推出的5G數據機Helio M70為基礎,預期採用的筆電產品會在2021年初推出。
↧
-1.jpg)
