三星安卓浏览器中发现严重漏洞可绕过“同源策略”

数以亿计的三星安卓设备上预装了含有漏洞的浏览器应用程序，如果用户访问攻击者控制的网站，攻击者就可以从浏览器标签中窃取数据。

该漏洞定为 CVE-2017-17692，5.4.02.3及更早版本的浏览器中存在同源策略（SOP）绕过漏洞。

同源策略是浏览器中提供的一种安全机制，旨在使来自同一网站的网页可以相互访问数据，同时防止不相关的网站访问数据。同源政策的目的，是为了保证用户信息的安全，防止恶意的网站窃取数据。

Dhiraj Mishra发现的三星手机浏览器中的SOP绕过漏洞可能允许恶意网站从受害者在不同标签页打开的网站上窃取密码或cookie等数据。

“当浏览器通过Javascript命令在给定的域（比如 327K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3N6G2L8$3N6D9k6g2)9J5k6h3y4G2L8g2!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4q4!0n7z5q4!0m8c8q4!0q4y4W2)9^5z5g2)9&6x3#2!0q4y4g2!0n7b7#2)9^5x3q4!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4W2)9&6y4W2!0n7x3q4!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4W2!0m8x3q4)9^5y4#2!0q4y4#2!0m8c8q4!0n7c8g2!0q4y4W2)9&6y4#2!0n7y4W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4z5q4!0m8c8W2!0m8y4f1A6S2N6X3q4K6j5%4u0A6M7s2c8Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0g2Q4z5f1y4Q4b7e0S2Q4c8e0c8Q4b7V1q4Q4z5p5u0Q4c8e0g2Q4z5e0m8Q4z5p5g2Q4c8e0W2Q4z5f1q4Q4z5p5k6Q4c8e0k6Q4z5o6c8Q4z5p5k6Q4c8e0W2Q4z5o6N6Q4z5p5c8Q4c8e0g2Q4z5o6k6Q4z5e0W2Q4c8e0S2Q4b7f1k6Q4b7e0g2Q4c8e0W2Q4b7e0q4Q4b7U0g2Q4c8e0W2Q4z5f1c8Q4b7e0u0Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0g2Q4b7f1g2Q4b7U0W2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0u0Q4z5o6m8Q4z5f1c8Q4c8e0k6Q4z5f1c8Q4b7e0g2Q4c8e0S2Q4z5o6N6Q4b7f1q4Q4c8e0g2Q4b7f1g2Q4z5o6W2Q4c8e0g2Q4z5o6g2Q4b7e0S2Q4c8e0g2Q4z5o6g2Q4b7f1y4Q4c8e0g2Q4z5p5k6Q4b7U0S2d9j5i4m8A6k6o6N6Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4b7e0m8Q4z5e0c8Q4c8e0N6Q4b7e0W2Q4b7U0k6Q4c8e0g2Q4z5e0q4Q4z5e0S2Q4c8e0S2Q4b7e0N6Q4b7e0y4Q4c8e0W2Q4z5o6N6Q4z5p5q4Q4c8e0S2Q4b7f1k6Q4b7U0c8Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0u0Q4z5o6m8Q4z5f1y4Q4c8e0S2Q4z5o6m8Q4z5p5y4Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0k6Q4b7U0g2Q4z5p5k6Q4c8e0S2Q4b7e0N6Q4z5o6S2Q4c8e0g2Q4z5e0W2Q4b7e0S2Q4c8e0S2Q4b7f1g2Q4b7V1g2Q4c8e0S2Q4b7f1g2Q4b7e0q4Q4c8e0c8Q4b7U0S2Q4b7f1c8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7U0S2Q4z5o6m8Q4c8e0c8Q4b7U0S2Q4b7f1q4Q4c8e0N6Q4b7e0k6Q4z5o6q4Q4c8e0g2Q4b7V1k6Q4z5p5y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4z5f1u0Q4b7e0m8Q4c8e0c8Q4b7U0S2Q4b7V1q4Q4c8e0S2Q4b7V1k6Q4z5e0W2Q4c8e0k6Q4z5o6c8Q4z5p5k6Q4c8e0g2Q4z5e0q4Q4b7U0y4Q4c8e0N6Q4z5f1c8Q4z5o6m8v1j5i4k6S2M7$3y4J5K9i4m8@1i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1^5i4@1u0r3i4K6W2p5i4@1f1#2i4K6S2r3i4K6S2p5i4@1f1#2i4K6V1H3i4K6S2o6i4@1f1$3i4@1u0m8i4K6V1H3i4@1f1%4i4@1q4p5i4K6V1$3i4@1f1%4i4K6V1#2i4@1p5#2i4@1g2r3i4@1u0o6i4K6S2o6i4@1f1#2i4@1t1&6i4@1t1$3i4@1f1@1i4@1t1^5i4K6V1@1i4@1f1%4i4@1u0p5i4K6V1I4i4@1f1&6i4@1p5I4i4@1t1#2i4@1g2r3i4@1u0o6i4K6R3^5i4@1f1%4i4K6V1@1i4@1t1I4i4@1f1$3i4K6V1@1i4@1u0n7i4@1f1#2i4K6R3%4i4@1u0n7i4@1f1^5i4K6R3H3i4K6R3#2i4@1f1$3i4K6S2q4i4@1p5%4i4@1f1#2i4K6R3^5i4@1t1$3i4@1g2r3i4@1u0o6i4K6R3&6i4@1f1@1i4@1t1^5i4K6S2m8i4@1f1%4i4K6W2m8i4K6R3@1d9X3q4$3j5i4y4U0M7X3W2H3N6q4!0q4y4g2)9&6x3g2!0n7c8q4!0q4y4q4!0n7b7W2!0m8y4q4!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4g2)9&6b7#2!0m8z5q4!0q4y4g2)9^5c8W2!0m8y4W2!0q4y4q4!0n7z5q4)9^5x3q4!0q4y4q4!0n7z5q4!0m8b7g2!0q4y4#2!0n7c8q4)9&6x3g2!0q4z5g2!0m8x3g2!0n7y4g2!0q4c8W2!0n7b7#2)9^5z5q4!0q4y4g2)9^5c8W2)9&6y4#2!0q4y4g2!0m8c8g2!0n7x3#2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4W2)9^5y4q4)9&6c8W2!0q4y4g2)9^5y4g2!0n7y4q4!0q4z5q4!0n7y4W2!0m8x3#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4c8W2!0n7b7#2)9^5z5g2!0q4y4q4!0n7z5q4)9^5b7g2!0q4y4W2)9^5z5g2!0m8y4#2!0q4z5q4!0m8x3g2)9^5b7#2!0q4x3#2)9^5x3q4)9^5x3W2!0q4y4q4!0n7b7W2)9^5c8g2!0q4y4W2)9&6b7#2!0m8b7#2!0q4z5q4!0n7y4q4!0m8z5q4!0q4y4q4!0n7z5q4)9^5b7g2!0q4z5q4!0m8c8g2!0n7x3W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4g2)9^5c8W2!0m8b7g2!0q4z5q4!0m8y4W2)9^5x3g2!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4z5q4!0m8c8g2!0n7c8W2!0q4z5g2)9&6y4#2!0m8c8g2!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4W2)9^5c8g2!0m8y4#2!0q4y4g2)9^5z5q4!0n7y4W2!0q4y4#2)9&6b7g2)9^5y4q4N6W2j5W2!0q4z5g2!0m8x3g2!0n7y4g2!0q4z5g2)9&6c8q4!0m8x3W2!0q4c8W2!0n7b7#2)9^5b7#2!0q4y4W2)9&6y4q4!0n7b7W2!0q4y4g2)9^5y4#2!0n7b7W2!0q4z5q4)9^5x3q4)9^5y4g2!0q4y4g2)9^5c8W2!0m8c8W2!0q4y4q4!0n7b7W2!0m8y4g2!0q4y4g2!0n7x3q4)9^5y4W2!0q4z5q4)9^5y4#2!0m8b7g2!0q4y4g2!0m8c8g2)9&6b7g2!0q4y4q4!0n7z5g2)9^5z5f1A6S2N6X3q4e0j5%4u0A6M7s2c8Q4c8e0g2Q4z5e0q4Q4b7V1c8Q4c8e0c8Q4b7V1u0Q4b7e0c8Q4c8e0k6Q4z5p5k6Q4z5e0u0Q4c8e0g2Q4z5o6g2Q4b7e0g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0c8Q4b7V1u0Q4b7V1u0Q4c8e0c8Q4b7V1c8Q4z5e0g2Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0u0Q4z5o6m8Q4z5f1b7`.

攻击者甚至可以窃取会话cookie的副本，或劫持你的会话，并以你的名义读写webmail。

Mishra向三星报告了这个漏洞，三星回复称：“在即将推出的Galaxy Note 8中已经打好了补丁，并且十月份会通过应用商店进行更新。”

Mishra在Rapid7团队的Tod Beardsley和Jeffrey Martin的帮助下，也发布了Metasploit Framework的漏洞利用；Rapid7的研究人员也发表了一个视频来展示这次攻击。由于该漏洞的Metasploit利用代码现已公开发布，不需要太高深的技术知识，就可以利用三星设备上的该漏洞（由于其中大部分仍使用旧版的Android浏览器）。

来源：thehackernews.com

本文由看雪翻译小组fyb波编译

能够修复损坏图片、增强低分辨率图片的算法

深度卷积神经网络（CNN）已经成为一种生成和修复图片的流行工具，其在2017年最后一个月放出了一些算法，当这些算法用于恢复和重建受损或低质量图片时能够达到惊人的效果。

其中最引人注目的算法叫作Deep Image Prior，是由一组俄罗斯科学家开发而成的。

Deep Image Prior因其不循规蹈矩而远离世人。Deep Image Prior使用已降级图片自身的数据来重建原始图片，而不是依赖于大量的训练样本数据来决定处理降级图片的最佳方法。

研究人员表示他们的算法可用于对图片降噪，去除图片上的文字，重新填充裁减过的图片，JPEG混淆产生的像素化，甚至在将低分辨率的图片变为高分辨率图片时也能得到可以接受的结果。

能够重新填充修改过的图片的能力非常吸引人，这是第一次见到科学家将“"内容感知填充/画刷”特性重现。这一特性Adobe公司在几年前加入到Photoshop中，然而这项技术一直被保密，没有任何其它的图像处理软件制造商能够模仿。

但是Deep Image Prior只是本年度伟大的CNN图像处理研究项目中取得成果的一项。另一项是PixelNN。

PixelNN由来自于卡耐基梅隆大学的3名研究人员所开发，能够重建模糊、像素化或不完整的图片。算法需要使用大量的数据进行训练，但是在重建高度损坏的图像数据时，比起同类项目结果要精确的多。

另一个伟大的算法是EnhanceNet-PAT，专门用于升档操作，将低分辨率图片重建为复杂的高分辨率图片。

然而Deep Image Prior也可以升档图片，但它的结果与EnhanceNet-PAT所能做到的完全不同，EnhanceNet-PAT要优秀的多。但是像PixelNN一样，EnhanceNet-PAT在实际应用前需要使用丰富的样本训练图像数据进行训练。

研究人员希望EnhanceNet-PAT将会最终找到一种方法用于将老电影升档为4K品质，用于修复老家庭照片或在警察破案时提升低分辨率闭路电视图像质量。如果能够实现的话，这像技术的前景将会一片光明。

原文地址：7b2K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2T1L8r3g2W2M7r3W2F1k6$3y4G2L8i4m8#2N6r3g2J5i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8Y4c8W2j5$3S2F1L8$3I4G2k6%4W2Q4x3V1k6F1k6i4N6Q4x3X3c8S2L8r3N6G2M7X3W2@1K9r3#2K6i4K6u0V1j5$3q4F1i4K6u0V1M7X3g2H3j5h3W2J5i4K6u0V1j5$3!0J5M7Y4g2H3N6r3g2V1i4K6u0V1K9h3#2S2k6$3g2K6i4K6u0V1k6h3&6Z5j5h3&6U0k6g2)9J5k6r3I4G2N6#2)9J5k6s2u0W2M7#2)9J5k6s2m8Z5L8%4c8G2M7#2)9J5c8R3`.`.

看雪翻译小组：rainbow

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・0

免费・0

支持