[240704] 苹果获得 OpenAI 董事会观察员席位 | mySCADA myPRO 发现可在设备上远程执行代码漏洞

目录

• • [苹果获得 OpenAI 董事会观察员席位](#苹果获得 OpenAI 董事会观察员席位)
  • [mySCADA myPRO 使用硬编码密码（CVE-2024-4708）](#mySCADA myPRO 使用硬编码密码（CVE-2024-4708）)
  • • [mySCADA myPRO 介绍](#mySCADA myPRO 介绍)
    • 漏洞影响性
    • 漏洞相关信息
    • 知识库拓展

苹果获得 OpenAI 董事会观察员席位

苹果公司在与人工智能巨头 OpenAI 达成里程碑式协议的一部分内容中，获得了一个董事会观察员席位。

该协议使苹果与 OpenAI 最大的支持者微软处于平等地位，引发了关于这两家竞争对手如何在 OpenAI 董事会中共存的新问题。

此前，苹果在上个月宣布，作为其在人工智能领域更大规模推进的一部分，将在未来的设备中整合 OpenAI 的 ChatGPT。据此前报道，不希望使用 ChatGPT 的用户可以选择退出该功能。

据彭博社报道，苹果应用商店主管、前营销总监菲尔·席勒被选中担任该职位。席勒将担任观察员角色，这意味着 他没有投票权，但他可以列席 OpenAI 的会议，这将使苹果能够深入了解这家 AI 公司的内部运作。

苹果和 OpenAI 均未立即回应置评请求。

韦德布什分析师丹·艾夫斯表示："考虑到 OpenAI 对苹果更广泛的人工智能愿景的重要性，这对苹果来说将是一个明智之举。"

该协议的细节仍在敲定中，预计将于今年晚些时候开始实施，席勒尚未参加任何会议。

长期以来，微软一直是 OpenAI 最大的支持者和关键业务合作伙伴，已向这家 AI 公司投资了数十亿美元。据 The Information 报道，在苹果与 OpenAI 整合的消息宣布之前，微软首席执行官萨蒂亚·纳德拉曾与 OpenAI 首席执行官萨姆·奥特曼会面，讨论了对即将达成的苹果协议的担忧。

然而，Venture Beat 上个月报道称，苹果与 OpenAI 的合作最终也可能有利于微软。这笔交易可以为微软提供类 似"特洛伊木马"式的机会，让其洞察其主要竞争对手之一苹果的内部情况，并为这两家竞争对手之间建立更友好的关系铺平道路。

董事会观察员在讨论敏感信息时离开会议的情况并不少见，微软可以要求苹果这样做，反之亦然。

与苹果的合作标志着 OpenAI 取得了巨大胜利，这对奥特曼来说是一个关键时刻，此前该公司发生了一系列丑闻，包括公司政变、对人工智能安全的日益担忧，以及与斯嘉丽·约翰逊就使用其肖像权发生的争执。

来源：

https://www.businessinsider.com/apple-openai-board-observer-seat-microsoft-report-bloomberg-2024-7

mySCADA myPRO 使用硬编码密码（CVE-2024-4708）

mySCADA myPRO 介绍

SCADA（监控和数据采集）系统将直观的用户界面与强大的功能无缝集成，促进工业过程的实时监控和控制。它具有可扩展的模块化架构，可适应不同的行业和应用。该系统确保数据的准确性、可靠性和安全性，同时提供高级分析以做出明智的决策。凭借易于使用的设计环境、全面的组件库和高效的通信协议，SCADA 系统可优化运营效率、增强系统弹性并无缝适应不断发展的技术环境。

漏洞影响性

受影响的应用程序使用硬编码密码，可能允许攻击者在受影响的设备上远程执行代码。

漏洞相关信息

CVE 编号	发布日期	可远程利用	影响力得分	可利用性得分	综合得分
CVE-2024-4708	2024年7月2日晚上11:15	✅︎	5.9	3.9	9.8

感兴趣的用户可以通过 shodan 模块查看详细信息

# 根据漏洞 ID 查看漏洞的详细信息
x shodan cve CVE-2024-4708

用户还可以结合 AI 功能，寻求缓解措施

# 根据漏洞 ID 查看漏洞的详细信息，结合 AI 进行分析
x shodan cve CVE-2024-4708 | @gemini '有什么缓解措施？'

🚨 受影响的用户可根据实际情况，参考 AI 提供的缓解措施建议，尽快处理相关问题。

知识库拓展

CWE-259: 硬编码密码的使用

硬编码密码通常会导致严重的身份验证失败，系统管理员很难检测到该失败。一旦检测到，就很难修复，因此管理员可能被迫完全禁用该产品。有两个主要变体：

入站： 该产品包含检查硬编码密码的身份验证机制。
出站： 产品连接到另一个系统或组件，并且包含用于连接到该组件的硬编码密码。

在入站变体中，将创建一个默认管理帐户，并将一个简单的密码硬编码到产品中并与该帐户关联。该硬编码密码对于产品的每次安装都是相同的，并且系统管理员通常无法在不手动修改程序或以其他方式修补产品的情况下更改或禁用它。如果密码被发现或公开（互联网上常见的情况），那么任何知道该密码的人都可以访问该产品。最后，由于该产品的所有安装都将具有相同的密码，即使在不同的组织中也是如此，这使得蠕虫等大规模攻击得以发生。

出站变体适用于通过后端服务进行身份验证的前端系统。后端服务可能需要一个容易被发现的固定密码。程序员可以简单地将这些后端凭证硬编码到前端产品中。该程序的任何用户都可以提取密码。具有硬编码密码的客户端系统构成更大的威胁，因为从二进制文件中提取密码通常非常简单。

来源：

https://cvefeed.io/vuln/detail/CVE-2024-4708

更多内容请查阅 : blog-240704

---

关注微信官方公众号 : oh my x

获取开源软件和 x-cmd 最新用法