Forwarded from LoopDNS资讯播报
漏洞:Clash Verge 存在本地提权漏洞
重要等级:高
影响范围:≤ 2.2.4-alpha
受影响平台:MacOS / Linux / Windows
漏洞概述:Clash Verge Rev 项目中存在严重的本地提权漏洞,影响 Mac、Linux 和 Windows 平台。在 Mac 和 Linux 系统上,攻击者可以利用此漏洞将权限提升至 root;在 Windows 系统上,可提权至 SYSTEM 级别。该漏洞影响当前最新发布版本 2.2.4-alpha 及之前的所有版本。问题源于服务管理机制中的权限控制不当。
风险描述:
Clash Verge Rev 存在的本地提权漏洞,允许本地低权限用户通过特定方式获取系统最高权限(MacOS/Linux 下为 root,Windows 下为 SYSTEM)。攻击者一旦成功提权,可绕过操作系统的安全边界,执行任意代码、篡改系统配置、持久化植入恶意程序,甚至完全接管受影响设备。
处置建议:
1. Windows 平台:通过“服务管理器”打开系统服务,找到并禁用 Clash Verge 服务,以阻止其在高权限下运行。
2. Linux 平台:使用 systemctl 命令停止并禁用 clash-verge-service 服务
3. MacOS 平台:在“系统设置”中,进入“登录项”(后台权限自启动管理),手动移除或禁用名为 "won fen" 的自启动项,防止程序在后台以高权限自动运行。
补充说明:
1. 当前 Clash Verge Rev 开发团队已收到漏洞报告,并已定位问题原因,正在着手修复。
2. 漏洞发现者尚未公开披露漏洞细节,暂未存在广泛传播的利用代码或攻击案例,但建议用户提前采取缓解措施,降低潜在风险。
消息来源: X / Github
重要等级:高
影响范围:≤ 2.2.4-alpha
受影响平台:MacOS / Linux / Windows
漏洞概述:Clash Verge Rev 项目中存在严重的本地提权漏洞,影响 Mac、Linux 和 Windows 平台。在 Mac 和 Linux 系统上,攻击者可以利用此漏洞将权限提升至 root;在 Windows 系统上,可提权至 SYSTEM 级别。该漏洞影响当前最新发布版本 2.2.4-alpha 及之前的所有版本。问题源于服务管理机制中的权限控制不当。
风险描述:
Clash Verge Rev 存在的本地提权漏洞,允许本地低权限用户通过特定方式获取系统最高权限(MacOS/Linux 下为 root,Windows 下为 SYSTEM)。攻击者一旦成功提权,可绕过操作系统的安全边界,执行任意代码、篡改系统配置、持久化植入恶意程序,甚至完全接管受影响设备。
处置建议:
1. Windows 平台:通过“服务管理器”打开系统服务,找到并禁用 Clash Verge 服务,以阻止其在高权限下运行。
2. Linux 平台:使用 systemctl 命令停止并禁用 clash-verge-service 服务
3. MacOS 平台:在“系统设置”中,进入“登录项”(后台权限自启动管理),手动移除或禁用名为 "won fen" 的自启动项,防止程序在后台以高权限自动运行。
补充说明:
1. 当前 Clash Verge Rev 开发团队已收到漏洞报告,并已定位问题原因,正在着手修复。
2. 漏洞发现者尚未公开披露漏洞细节,暂未存在广泛传播的利用代码或攻击案例,但建议用户提前采取缓解措施,降低潜在风险。
消息来源: X / Github
猫熊通知频道
#Pronemby Pornemby临时维护,预计2-3天
#Pornemby
📢 Pornemby 维护完成通知
Pornemby 的维护工作已经顺利完成,因存储迁移相关事项,较原计划略有延期,对此我们深感抱歉并感谢大家的耐心等待。
目前正在进行资源库的重新扫描。由于数据量较大,系统会依次逐个资源库扫描,预计在不久后所有内容将陆续恢复显示。
📢 Pornemby 维护完成通知
Pornemby 的维护工作已经顺利完成,因存储迁移相关事项,较原计划略有延期,对此我们深感抱歉并感谢大家的耐心等待。
目前正在进行资源库的重新扫描。由于数据量较大,系统会依次逐个资源库扫描,预计在不久后所有内容将陆续恢复显示。
Forwarded from Yummy 😋
测试显示YouTube利用假缓冲技术故意使视频延迟10秒加载,惩罚拦截广告的用户
开发者 @LOOPS 发布的分析表明 YouTube 在测试假缓冲技术,该技术目前通过 A/B 测试投放给不同的用户来收集反馈数据,因此并非所有用户都会碰到这种假缓冲问题。
via ZiRCON
开发者 @LOOPS 发布的分析表明 YouTube 在测试假缓冲技术,该技术目前通过 A/B 测试投放给不同的用户来收集反馈数据,因此并非所有用户都会碰到这种假缓冲问题。
什么是假缓冲?
假缓冲是 YouTube 开发的特殊延迟机制,当用户使用广告拦截器时 (无论是扩展程序还是浏览器自带的屏蔽功能),视频会在开始播放时故意延迟加载。这种缓冲时间是YouTube模拟出来的延迟,且时长约为原本广告时长的 80%。
例如广告时长是 15 秒,当广告被拦截后出现的延迟时间是 12 秒。本质上这是一种针对屏蔽广告用户的惩罚措施。
YouTube如何实现假缓冲:
具体来说 YouTube 通过内部 API 和视频流服务 GVS 来实现假缓冲的,当用户点击视频时 YouTube 内部 API 会提供包含延迟指令的视频流链接,迫使播放器在加载内容时先等待一段时间。
然而无论你是否屏蔽广告,只要你被纳入 A/B 测试组则都会碰到延迟的问题,只不过如果没有屏蔽广告则延迟时间极短并且几乎无法察觉,如果屏蔽广告则延迟时间会显著拉长影响体验。
via ZiRCON
因本次 DDoS 攻击造成的影响,我们将向符合以下条件的用户发放补偿:注册时间在 2025 年 7 月 2 日 17:00 之前,且账号当前仍在有效期内的用户。
符合条件的用户在下次购买套餐时将自动减免 5 元,优惠自发放起 1 年 3 个月内有效。符合条件的用户在下次手动购买套餐时将自动减免 5 元,优惠自发放到2026-10-04 00:00:00有效。
符合条件的用户在下次购买套餐时将自动减免 5 元,优惠自发放起 1 年 3 个月内有效。符合条件的用户在下次手动购买套餐时将自动减免 5 元,优惠自发放到2026-10-04 00:00:00有效。
猫熊通知频道
因本次 DDoS 攻击造成的影响,我们将向符合以下条件的用户发放补偿:注册时间在 2025 年 7 月 2 日 17:00 之前,且账号当前仍在有效期内的用户。 符合条件的用户在下次购买套餐时将自动减免 5 元,优惠自发放起 1 年 3 个月内有效。符合条件的用户在下次手动购买套餐时将自动减免 5 元,优惠自发放到2026-10-04 00:00:00有效。
由于现有代码逻辑限制,购买套餐时虽可抵扣 5 元,但点击购买仍需先充值全额;购买成功后,系统会将 5 元返还至余额。
再次强调:我们在 Telegram 上没有任何官方客服,管理员和客服人员绝不会主动私信你要求转账,或索要你的账号、订阅信息。为了保障账户安全,请勿主动私聊 Telegram 上的任何人,以防造成不必要的损失。有任何问题请直接在官网联系客服咨询。
由于此前进行新前端开发,登录页面中的两步验证(2FA)功能曾暂时移除,现已重新启用。
之前已绑定 2FA 的用户需要重新绑定一次。
感谢大家一直以来的支持与理解!❤️
之前已绑定 2FA 的用户需要重新绑定一次。
感谢大家一直以来的支持与理解!❤️