Windows DNS服务爆蠕虫级严重漏洞：已存在17年

研究人员告警组织机构尽快修复微软 Windows Server 各版本，以免企业网络遭已存在17年之久的、严重的可蠕虫漏洞 SigRed 影响。该漏洞编号是 CVE-2020-1350，CVSS 评分为满分10分，是由 Check Point 公司的研究员 Sagi Tzaik 发现的。该漏洞和Windows操作系统和Server软件上的域名系统服务微软 Windows DNS 有关。Check Point 公司的研究人员将该漏洞命名为 “SigRed”，认为它对企业的影响尤为重要，因为它是可蠕虫的，因此能够在无需用户交互的情况下传播到易受攻击的机器中，可能攻陷企业的整个 PC 网络。5月19日，Check Point 公司将研究成果告知微软。微软已于7月15日发布的“补丁星期二”中发表了修复方案。虽然目前尚未有证据表明该漏洞已遭利用，但它已在微软代码中潜伏17年之久。如需临时应变措施，Check Point 建议将 TCP 上最大的 DNS 消息长度设置为 0xFF00。

巴陵商品

首先浏览器开启一个线程来处理这个请求，对URL分析判断，如果是http协议就按照Web方式来处理；其次浏览器会对URL进行解析，一般包括，然后开启网络线程发出一个完整到http请求；当然一般我们输入的URL是服务器域名，这时就需要DNS通过域名查询得到对应的IP；连接建立后网络数据链路层将数据包装成帧；对于CSS，CSS解释器会将CSS文件解释成内部表示结构，生成CSS规则树；

Mozilla：ISP企图在DNS over HTTPS上指鹿为马

Mozilla周一致函给美国会议员指控美国电信企业企图提供误导信息，借此打压DNS over HTTPS的发展。Mozilla从2017年与Google等其他企业开始推动DoH协议的开发、标准化及部署。Mozilla信赖与安全部门资深副总裁Marshall Erwin，在给国会能源与商务委员会、消费者保护暨通信与科技次级委员会的信函指出，DoH可防止用户上网活动遭受到第三方组织，包括DNS供应商、ISP、政府的监听，或是销售用户个人信息、GPS信息谋利，但企业推动DoH的工作却遭到反对，他特别点名电信业协会9月间致函国会议员的游说文件，有诸多讹误。ISP并吁请委员们力阻Google在Chrome及Android默认集中化的加密DNS服务。至于Mozilla则是计划将Firefox用户默认导向Cloudflare的加密DNS服务。其实，可能由于Firefox仅占全球上网流量不到5%，因此美国ISP的批评并未提及Mozilla。但是今年7月，Mozilla也是因为DoH计划，被英国ISP点名为首要网络恶棍。Mozilla则回应说，不会在英国推行这项服务。