火绒安全周报：小娜所有对话音频都会上传微软 卡巴斯基会泄漏用户ID

zazazazd

1、微软小娜所有对话音频都会上传给微软且不会自动删除
最近科技业关于隐私安全的话题再次被几个巨头搅起来，这些巨头都会录制用户的音频内容然后进行分析，包括苹果、亚马逊、谷歌以及微软公司都是这么做的。此前亚马逊及谷歌已经承认未经用户同意的情况下录制音频，亚马逊在被爆料后已经率先选择关闭录制计划。

与亚马逊做法完全相反的是在这件事上微软的态度非常强硬，微软决定继续执行录制计划以改进识别能力。微软刚刚更新了隐私政策，明确提到会录制音频。但会去除可能提及用户身份的信息例如姓名、家庭住址等信息。微软还提到将要求供应商或承包商及其员工签订保密协议，确保用户的对话内容不会被主动泄露。
来源：蓝点网

2、卡巴斯基杀毒软件会泄漏用户ID
安全研究人员在测试卡巴斯基杀毒软件时发现它会以安全的名义在用户访问的每一个网页注入它的脚本，而这个脚本还带有唯一ID，这个ID在不同计算机上是不同的，也就是说它可以作为跟踪代码使用。研究人员将这一发现报告给了卡巴斯基。卡巴斯基承认了数据泄漏，它释出了补丁修复了编号为CVE-2019-8286的问题。这个补丁去除了唯一ID，留下了相同的ID，也就是说网站仍然会知道有安装了卡巴斯基软件的用户访问了。
来源：freebuf

3、推特承认在未经用户同意情况下将部分数据共享给广告商
推特日前发布公告称，自去年年中开始将部分特定数据在未经用户同意时共享给广告商。这些特定数据包括用户所在国家的国家代码以及其他数据，但推特在隐私政策和提示中并未说明存在该情况。
这些数据共享行为似乎并未得到推特首席执行官杰克o多西 的同意。目前他要求进行内部调查评估可能对用户造成的影响，同时调查有哪些用户受影响。推特表示如果后续发现更多有用的信息将会及时公开，同时对上述问题表示抱歉采取措施确保以后不再发生。
来源：蓝点网

4、HTTPS 证书有效期被提议缩短至 13 个月
由 Web 浏览器制造商、软件开发人员和安全证书颁发机构组成的行业团体 CA/Browser Forum，正在考虑将 HTTPS 证书的有效期从 27 个月缩短到 13 个月。关于这样的提案，已经不是第一次提出。早在一年前，证书的最长有效期已经从 39 个月降至 27 个月。

理论上，这样的证书有效期也有助于减少欺诈活动，如果是偷来的证书则很快会失效，被遗弃的网站也会更快地过期。这将迫使他们使用最新和最推荐的加密和散列证书，而不是使用不安全算法的老化证书。但也有人认为这样做带来巨大成本，并且不会换来更加安全的改进。目前仍处于草案阶段，还没有关于何时进行表决的消息。

来源：hackernews

5、微软发布两个高危远程漏洞
微软在8月份的补丁升级报告中，公布了4个远程执行漏洞（CVE-2019-1181，CVE-2019-1182，CVE-2019-1222，CVE-2019-1226）。其中，CVE-2019-1181以及CVE-2019-1182属于高危漏洞。

受上述漏洞影响的Windows版本包含：Windows 7 SP1，Windows Server 2008 R2 SP1，Windows Server 2012，Windows 8.1，Windows Server 2012 R2以及所有Windows 10版本，包括服务器版本。WindowsXP，Windows Server 2003和Windows Server 2008不受影响，远程桌面协议（RDP）本身也不受影响。

wheyu。。。

有不上传的语音助手吗？

zazazazd

wheyu。。。 发表于 2019-8-29 09:45
有不上传的语音助手吗？

？？？啥