今天是7月2日星期一,今天早餐铺的主要内容有:Facebook再曝数据丑闻:1.2亿用户数据面临泄露风险;自2012年以来,所有Android设备都受到RAMpage漏洞的影响;Gentoo GitHub镜像被黑客攻击;浙江破获新型网络犯罪:嫌疑人控数十万网吧电脑挖矿;雄安新区与360集团签署合作,共建大安全生态。

安全资讯早知道,两分钟听完最新安全快讯~

gbvSZvNQuHNMklhiWPWw_bulk-breakfast-burritos-9030.jpg

【国际时事】

Facebook再曝数据丑闻:1.2亿用户数据面临泄露风险

facebook-data-breach.png

继剑桥分析事件后,facebook又被爆出数据泄露丑闻。这次出问题的是一款流行的问答app,名叫NameTests。这款软件由NameTests.com开发,同时还开发了诸多社交问答,比如“你是哪个迪士尼公主”,这款尤其在全球有12000万月活用户,他们会从facebook快速登陆。登陆后,应用可以从facebook获取用户的资料信息。

但安全研究员发现,由于错误的安全配置,这些用户信息可以被其他网站轻易获取。攻击者只需要利用浏览器的CORS策略就可以读取用户的资料信息。

[THN]

【漏洞攻击】

自2012年以来,所有Android设备都受到RAMpage漏洞的影响

Rampage.png新的这个RAMpage漏洞应该是Rowhammer攻击的一个变种。RAMpage可以破坏用户app和操作系统的隔离。虽然一般来说一款应用不能获取其他应用的数据,但利用RAMpage漏洞,攻击者可以获得管理员权限,获取设备中的机密信息。

机密信息可能包括密码管理器或者浏览器中存储的密码,你的个人照片、邮件、即时消息或者是工作文件。

对RAMpage的研究还停留在早期阶段,然研究人员称,RAMpage也可以被用来攻击苹果、PC设备以及虚拟机。

[BleepingComputer]

Gentoo GitHub镜像被黑客攻击

gentoo-linux_1_orig.png

Linux发行版Gentoo在GitHub的镜像被黑客入侵并接管,GitHub页面和ebuild被篡改。Gentoo表示,黑客在6月28日20:20分控制了其GitHub账号。这段时间内来自GitHub的代码都是不安全的。不过Gentoo表示它自己的渠道没有受到影响,通过rsync或者webrsync从gentoo.org下载了相关资源的用户不用担心。

有人发现黑客尝试篡改相关程序,从而删除用户系统上的所有文件。Gentoo没有提及攻击的实施过程。

[ZDNet]

【国内新闻】

浙江破获新型网络犯罪:嫌疑人控数十万网吧电脑挖矿

1933644-c590ebe9d6f48e00.png

利用维护网吧电脑之机,暗中在电脑植入特殊程序“挖崛”网络货币,程序控制方则在背后“抽水”分成牟取利益。全国30多个城市数十万台网吧计算机被幕后黑手“挟持”用于“挖矿”,涉案金额高达510万元左右,被公安部列为挂牌督办案件。

浙江省温州瑞安市警方经过半年艰苦侦查,转战全国多个省市开展专案攻坚,最终成功抓获犯罪嫌疑人16名,将该特大新型网络犯罪团伙彻底摧毁。

[CnBeta]

雄安新区与360集团签署合作 共建大安全生态

1530236823147.jpg

雄安新区与360集团正式签署战略合作,双方从规划设计、关键技术研发与部署、网络安全体系运营维护等方面入手,在多个领域开展全方位、深层次网络空间安全战略合作。河北省省长许勤、360集团董事长周鸿祎等出席了签约仪式。

此次战略合作达成后,360集团将充分发挥其在网络安全、大数据、人工智能、区块链等技术领域的优势,为建设安全可靠的“数字雄安”提供全面的网络安全服务。

[赛迪网]

今天是6月26日星期二,今天早餐铺的主要内容有:WebAssembly的修改会使得Meltdown和Spectre补丁失效;英国税务局记录了510万英国人的声音;苹果回应iPhone密码被暴力破解:测试是错误的;58同城回应招聘陷阱:将联合警方打击“网络黑产”;拒不履行网络安全管理义务,宿豫一网络公司被罚10万。

安全资讯早知道,两分钟听完最新安全快讯~

menu_items_springfy18_farmerschoice.jpg

【国际时事】

英国税务局记录了510万英国人的声音

Recorded-voice.jpg

英国隐私小组发现,英国税务局悄悄收集了超过510万英国人的声音信息。收集声音的项目名为Voice ID,从2017年1月开始启动,英国公民可以用这个服务在拨打税务局电话时验证身份。

去年启动项目时税务局表示用户还是可以关闭Voice ID功能,使用常规方式验证身份。

但现实情况是,电话服务没有提供关闭Voice ID的选项,反之所有拨打电话的公民都被强迫录制一段音频,唯一能够阻止录制的方法是在开始时念三遍“no”,但是即便如此系统并不会记录,下次打电话时还是会提示录制音频。隐私小组表示,税务局的做法已经违反GDPR法案。

[BleepingComputer]

【漏洞攻击】

WebAssembly的修改会使得Meltdown和Spectre补丁失效

WebAssembly-logo.png

WebAssembly是去年引入的新技术,大多数主流浏览器都支持这个技术,包括Chrome, Edge, Firefox和Safari。浏览器会把WA的相关代码转换成机器码直接在CPU运行。

但Forcepoint的研究员John Bergbom表示,WebAssembly中的新特性会使得Meltdown和Spectre补丁失效。研究员提出一种时间攻击,这是边信道攻击的一种。造成的后果是直接使用户的Meltdown和Spectre补丁失效。

攻击者需要做的是精确控制攻击时间段、控制相关参数,还有从加密的数据中恢复出部分信息,以便进行攻击。

[BleepingComputer]

苹果回应iPhone密码被暴力破解:测试是错误的

7b3ae2799417636.png

之前安全研究人员 Matthew Hickey 分享了一段 iPhone 锁屏密码暴力破解视频。这种方法绕过了 “若连续 10 次输入错误密码,将抹掉此 iPhone 上的所有数据” 限制,当 iPhone 或 iPad 与电脑连接后,可以将所有密码尝试发送至 iPhone,也就是 0000 至 9999 ,实现暴力破解。

今天,苹果对这个问题作出了回应:“最近有关于 iPhone 锁屏密码可以被暴力破解的报告是错误的,是错误测试的结果。”

[CnBeta]

【国内新闻】

58同城回应招聘陷阱:将联合警方打击“网络黑产”

7-1402232123031a.png

近日有媒体报道称,58同城、赶集网等平台现招聘陷阱。从中国裁判文书网搜索到近年60起通过58同城、赶集网发布虚假招聘信息的诈骗案例中,248名被告人通过发布虚假招聘信息诈骗,超过5500名被害人受骗,诈骗金额近亿元,甚至有人落入卖淫窝点、诈骗集团。

58同城6月24日通过其官方微博回应称,针对中国判决文书网上互联网平台虚假招聘信息判例一事,第一时间引起58同城、赶集网高度重视。58同城称,在58同城、赶集网上发布信息,都需要通过营业执照、组织机构代码以及手机号、人脸识别、身份证验证、芝麻信用认证、银行卡等综合资质进行审核。

声明称,将联合公安司法部门,严厉打击“网络黑产”。呼吁求职者一起,重视求职安全,重视平台防骗提示,对于平台外的欺诈行为不要抱有侥幸心理,积极留存证据并向投诉举报。

[CnBeta]

拒不履行网络安全管理义务,宿豫一网络公司被罚10万

W020180625395220659895.jpg

2018年4月,宿豫公安分局接到上级公安机关通报,辖区一互联网数据中心涉嫌存在违法违规内容。宿豫民警在调查核实时,该公司拒不配合调查。宿豫公安分局组织民警对该数据中心接入的网站、平台域名、备案信息等现场检查,查处存在违法违规内容网站的服务器46台,关闭“僵尸网站”1008个,清理备案资料不准确、实名制落实不到位的网站百余个,关停涉嫌网络赌博、私服等违法游戏59款。6月23日,记者从宿豫警方获悉,该网络有限公司被罚款10万元,公司法人和技术主管分别被罚款2万元。

[江苏网]

今天是6月25日星期一,今天早餐铺的主要内容有:使用Kardon Loader构建恶意软件分发网络非常简单;思科安全更新修复NX-OS软件中的5个严重漏洞;谷歌将让Android P的生物识别认证机制变得更加安全;中消协在京启动APP信息收集与隐私政策测评活动;厦门组建首批网络安全志愿者队伍。

安全资讯早知道,两分钟听完最新安全快讯~

homestead_bfast_core_winterFY17.jpg

【漏洞安全】

使用Kardon Loader构建恶意软件分发网络非常简单

研究人员在地下论坛发现了一款新的黑客工具,名叫Kardon Loader。用户可以用它创建恶意软件进行传播。这款工具最早出现在今年4月,昵称Yattaze的用户发帖,以50美元的价格出售这款软件。软件可以用来传播勒索软件、银行木马、挖矿软件。研究人员认为Kardon Loader是ZeroCool的新版本,来自同一个作者。

Kardon Loader的广告非常专业,发布者创建了自己的logo并提供免责声明,声明该软件不应用于恶意目的。 他还发布了一个展示该平台管理面板的演示视频。

工具的功能如下:

Bot功能

下载并执行任务

更新任务

卸载任务

用户模式Rootkit

RC4加密(尚未实施)

调试和分析保护

TOR支持

域生成算法(DGA)

[SecurityAffairs]

思科安全更新修复NX-OS软件中的5个严重漏洞

Screen-Shot-2015-05-19-at-08.08.39.png

思科最近发布了针对超过30个漏洞的补丁,漏洞包括5个严重任意代码执行漏洞,影响的范围包括NX-OS软件中的NX-API功能

以及FXOS和NX-OS软件中的服务组件。漏洞可以由无权限的攻击者轻易执行,攻击者可以触发缓冲区溢出,以root身份执行恶意代码,进而导致DoS攻击或者读取敏感的内存内容。

除此之外,这批补丁还包括针对Cisco Nexus 4000、3000、9000系列交换机中的漏洞。

[SecurityAffairs]

【行业新闻】

谷歌将让Android P的生物识别认证机制变得更加安全

c24cdf0e267f0d3.jpg

随着指纹扫描和面部解锁等生物解锁等身份验证机制在 Android 用户群体中变得越来越受欢迎,Google 必须作出提升安全性的改进,以便为用户提供更好的隐私保护。Google刚刚宣布,其计划在即将推出的 Android P 版本中,改进这款基于 Linux 的移动操作系统中现有的生物识别身份验证机制,以尝试为用户提供更好的安全和隐私特性。

Google 表示,其计划定义一个更好的模型,来衡量生物识别的安全性。作为该公司手机操作系统的下一个重大版本,今夏到来的 Android P 会率先部署大幅改进,且弱化其认证方法。

[CnBeta]

【国内新闻】

中消协在京启动APP信息收集与隐私政策测评活动

messaging-apps.jpg

近日,中消协宣布在京启动APP信息收集与隐私政策测评活动,以帮助消费者了解各类APP消费者个人信息收集以及隐私保护措施情况。

近年来,各类手机APP应用发展迅猛,极大地丰富和方便了消费者的互联网生活。然而,一些APP软件有的告知消费者信息收集类别不明确,有的强制或变相强制收集消费者信息,有的不当分享、转让甚至非法交易消费者个人信息,使消费者个人信息安全受到严重挑战。

中消协提醒各类APP开发和应用的企业及相关人员,严格遵守有关消费者个人信息保护的法律规定,确保APP开发和应用符合消费者个人信息保护要求,为消费者提供更加安全、可靠、实用的APP应用软件。

[中国经济网]

厦门组建首批网络安全志愿者队伍

zhedi.jpg

为创新新时代互联网群防群治工作,广泛发动群众参与网络治理,厦门警方大力开展网络安全志愿活动,组建成立了首批网络安全志愿者队伍,并于近日举办了网络安全志愿活动启动仪式。

此项活动是厦门市公安局将网下群防群治工作向网上延伸的创新举措。首批网络安全志愿者队伍主要由热点网站管理员、微博大V、热门微信公众号、互联网服务商安全员、专家学者、高校学生、社会团体及热心网络安全的普通群众共计40人组成。

[福建省政府]

原本高考查分就是一件让众多考生忐忑不安的事,而似乎还有黑客在给这群可爱的考生们添堵。黑龙江高考成绩原定于6月24日0点开放查询。但是就在入口开放的前两个小时,考试院官网网络阻塞,无法打开。

草图2.png

不少用户在微博上表示,黑龙江查分网站打不开,连查分公众号网页也被封了。被怀疑是因为网页打不开或者打开过慢万人被多名用户投诉,导致微信官方判定其为不良网页而被封禁。

草图.png

黑龙江考试院发表声明,查分网站进不去是因为遭到了恶意攻击,并表示已经启动应急预案,考生可以线下查询或电话查询。小编推测,如果真是黑客所为,查分网站可能是遭到了DDoS攻击,导致网站服务器崩溃。

截至笔者发稿之时,黑龙江招生信息港微信公众号的查分页面依然没有上线。按照常理来说,黑客攻击行为要么为了勒索,要么因为商业竞争,攻击查分网站却似乎有点不可理喻了,除非是真有黑客有这闲心冒险进行恶作剧。

InkedCg-4WlO1VoKIXNw3AAGTfIZKLcAAAPPOQCfXMoAAZOU758 (1)_LI.jpg

如果排除黑客攻击行为,由于同时访问查分网站的人数过多导致服务器承受不住压力而崩溃也不是不可能,在大学为了抢选修课而网页经常打不开很多人也都经历过。2018年黑龙江参加高考的学生人数也到到了16.9万人,如果只是因为服务器问题,那么问题就变得简单多了。

*参考来源:新浪,转载请注明来自FreeBuf.COM

“安全+”确定于2018年6月22日(周五)在杭州市举办第8期沙龙。本次活动是继第七期“安全+”沙龙深圳站之后举办的又一次线下讨论沙龙,届时约有40位左右来自于各行业的企业信息安全负责人、安全专家出席本次沙龙。

报名链接: https://www.bagevent.com/event/1519380       

沙龙议程

微信截图_20180620105358.png

参会咨询, 媒体合作:

联系人:Grace FU

T:+86 139 1795 7949

E:[email protected]

微信:

1.jpg

“安全+”确定于2018年6月22日(周五)在杭州市举办第8期沙龙。本次活动是继第七期“安全+”沙龙深圳站之后举办的又一次线下讨论沙龙,届时约有40位左右来自于各行业的企业信息安全负责人、安全专家出席本次沙龙。

报名链接: https://www.bagevent.com/event/1519380       

沙龙议程

微信截图_20180620105358.png

参会咨询, 媒体合作:

联系人:Grace FU

T:+86 139 1795 7949

E:[email protected]

微信:

1.jpg

“安全+”确定于2018年6月22日(周五)在杭州市举办第8期沙龙。本次活动是继第七期“安全+”沙龙深圳站之后举办的又一次线下讨论沙龙,届时约有40位左右来自于各行业的企业信息安全负责人、安全专家出席本次沙龙。

报名链接: https://www.bagevent.com/event/1519380       

沙龙议程

微信截图_20180620105358.png

参会咨询, 媒体合作:

联系人:Grace FU

T:+86 139 1795 7949

E:[email protected]

微信:

1.jpg

今天是6月12日星期二,今天早餐铺的主要内容有:FBI提出对Marcus Hutchins的新指控;思科四个月第四次删除后门账号;韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅;F-Secure修复杀毒软件中的严重漏洞;湖北90后黑客攻击某购物平台 “一元购”买走800万金饰。

安全资讯早知道,两分钟听完最新安全快讯~

all_day_big_cooked_breakfast.jpg

【国际时事】

FBI提出对Marcus Hutchins的新指控

marcus-hutchins-wannacry-malware.png

阻断WannaCry传播的安全研究员被FBI指控了新的罪名。这名研究员在从DefCon大会返回英国时被捕,当时的罪名是传播了银行木马软件Kronos。而最近FBI指控他创建了另一个恶意软件UPAS Kit,并且面对FBI质问时撒了谎。

研究员反复否认从事任何违法活动,并且把指控成为胡扯,他呼吁twitter粉丝捐款,用以支付法律费用。

[THN]

【漏洞攻击】

思科四个月第四次删除后门账号

Cisco-device.jpg

思科在最近4个月中第四次删除了产品中的硬编码账号,这一次密码被存放在了思科的WAAS软件中,WAAS可以优化WAN流量管理。

即便拥有管理员权限,设备的拥有者还是看不到这个硬编码的密码,也就没有办法修改或者找到这个密码。

研究人员在三月份向思科报告了问题,而思科在本周发布了更新,包含28个补丁,其中也移除了硬编码密码。

[BleepingComputer]

韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅

20180323163550525052.jpg

上周日,韩国加密货币交易所Coinrail称系统遭遇“网络入侵”,致使比特币连续三天下跌。彭博社援引Bitstamp数据显示,截止到下午4点,纽约市场比特币价格已跌至6840美元,创出自3月14日以来的最大跌幅,将比特币今年的亏损幅度扩大到52%。

同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。

Coinrail官网上的一份声明证实,该交易所一些数字货币似乎已被黑客窃取,但未提及具体金额。Coinrail只是说,正在与调查机构及其它交易所合作,以便追捕肇事者并挽回损失。

[CnBeta]

F-Secure修复杀毒软件中的严重漏洞

f-secure-logo.png

F-Secure修复了家庭企业杀毒软件中的严重漏洞,攻击者可以在用户的电脑上执行恶意代码,感染控制电脑。有趣的是,漏洞并不来自F-Secure,而是来自其所使用的7-Zip。

7-zip被用来解压压缩包,然后扫描病毒,然后重新打包。黑客构造一个恶意的rar文件,用户在用7-zip解压的时候就会触发恶意代码。

F-Secure在执行扫描的过程中会自动解压部分文件,也就是的漏洞的利用过程变得异常简单。

【国内新闻】

湖北90后黑客攻击某购物平台 “一元购”买走800万金饰

11071-32133-heike4.jpg

湖北省公安厅在近日通报的“净网 2018 ”专项行动阶段性成效中,披露了一起黑客攻击某购物平台,用 106 元骗走价值 800 余万元的黄金钻石的案例。去年 11 月,安陆市公安局接网商报案:有黑客攻击购物平台,在去年 10 月 17 日至 24 日一周内,被人以“1元购”价格下单 106 笔,用 106 元骗走价值 800 余万元的黄金钻石。

黑客采取攻击后台的方式,每笔仅支付 1 元就让后台系统认为其支付了对应的数万元货款,使得订单通过了审核并发货。由于是月底结算,该网购平台直至 11 月才发觉被骗取 800 余万元黄金、手链、裸钻等贵重商品。

[CnBeta]

今天是6月12日星期二,今天早餐铺的主要内容有:FBI提出对Marcus Hutchins的新指控;思科四个月第四次删除后门账号;韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅;F-Secure修复杀毒软件中的严重漏洞;湖北90后黑客攻击某购物平台 “一元购”买走800万金饰。

all_day_big_cooked_breakfast.jpg

【国际时事】

FBI提出对Marcus Hutchins的新指控

marcus-hutchins-wannacry-malware.png

阻断WannaCry传播的安全研究员被FBI指控了新的罪名。这名研究员在从DefCon大会返回英国时被捕,当时的罪名是传播了银行木马软件Kronos。而最近FBI指控他创建了另一个恶意软件UPAS Kit,并且面对FBI质问时撒了谎。

研究员反复否认从事任何违法活动,并且把指控成为胡扯,他呼吁twitter粉丝捐款,用以支付法律费用。

[THN]

【漏洞攻击】

思科四个月第四次删除后门账号

Cisco-device.jpg

思科在最近4个月中第四次删除了产品中的硬编码账号,这一次密码被存放在了思科的WAAS软件中,WAAS可以优化WAN流量管理。

即便拥有管理员权限,设备的拥有者还是看不到这个硬编码的密码,也就没有办法修改或者找到这个密码。

研究人员在三月份向思科报告了问题,而思科在本周发布了更新,包含28个补丁,其中也移除了硬编码密码。

[BleepingComputer]

韩国一交易所遭黑客攻击:比特币创近三个月最大跌幅

20180323163550525052.jpg

上周日,韩国加密货币交易所Coinrail称系统遭遇“网络入侵”,致使比特币连续三天下跌。彭博社援引Bitstamp数据显示,截止到下午4点,纽约市场比特币价格已跌至6840美元,创出自3月14日以来的最大跌幅,将比特币今年的亏损幅度扩大到52%。

同属加密货币的以太坊和瑞波币的交易价格分别下跌10%和11%。

Coinrail官网上的一份声明证实,该交易所一些数字货币似乎已被黑客窃取,但未提及具体金额。Coinrail只是说,正在与调查机构及其它交易所合作,以便追捕肇事者并挽回损失。

[CnBeta]

F-Secure修复杀毒软件中的严重漏洞

f-secure-logo.png

F-Secure修复了家庭企业杀毒软件中的严重漏洞,攻击者可以在用户的电脑上执行恶意代码,感染控制电脑。有趣的是,漏洞并不来自F-Secure,而是来自其所使用的7-Zip。

7-zip被用来解压压缩包,然后扫描病毒,然后重新打包。黑客构造一个恶意的rar文件,用户在用7-zip解压的时候就会触发恶意代码。

F-Secure在执行扫描的过程中会自动解压部分文件,也就是的漏洞的利用过程变得异常简单。

【国内新闻】

湖北90后黑客攻击某购物平台 “一元购”买走800万金饰

11071-32133-heike4.jpg

湖北省公安厅在近日通报的“净网 2018 ”专项行动阶段性成效中,披露了一起黑客攻击某购物平台,用 106 元骗走价值 800 余万元的黄金钻石的案例。去年 11 月,安陆市公安局接网商报案:有黑客攻击购物平台,在去年 10 月 17 日至 24 日一周内,被人以“1元购”价格下单 106 笔,用 106 元骗走价值 800 余万元的黄金钻石。

黑客采取攻击后台的方式,每笔仅支付 1 元就让后台系统认为其支付了对应的数万元货款,使得订单通过了审核并发货。由于是月底结算,该网购平台直至 11 月才发觉被骗取 800 余万元黄金、手链、裸钻等贵重商品。

[CnBeta]

今天是6月7日星期四,今天早餐铺的内容有:MyHeritage族谱网站9200万账号信息泄露;Sigrun勒索软件免费解密俄罗斯受害者文件;Zip Slip漏洞影响大量项目,范围横跨多个生态系统;两个月后超过115,000个Drupal网站仍然可以被Drupalgeddon 2攻击;中国人民银行:筑牢网络安全和金融安全防线。

安全资讯早知道,两分钟听完最新安全快讯~

Freezer-Breakfast-Burritos-LEAD-1.jpg【漏洞攻击】

MyHeritage族谱网站9200万账号信息泄露

MyHeritage-logo.jpg族谱DNA测试网站MyHeritage周一表示,自家的数据库遭到泄露,影响92,283,889名用户。公司在第三方网站服务器上发现了这些用户资料,从而得知了泄露情况。根据部分账号的创建时间,公司猜测泄露发生于2017年10月26日。目前尚不清楚是员工泄露了数据还是黑客攻击所致。

不过MyHeritage表示,数据库中的密码经过哈希加密,并非明文,用户无需过多担心。在遭遇数据泄露后,MyHeritage计划推出双因素认证机制。

[BleepingComputer]

Sigrun勒索软件免费解密俄罗斯受害者文件

ransomware-2321665_1920.pngSigrun勒索软件作者现在向俄罗斯的受害者免费提供解密密钥,而对于其他国家的用户则仍需要支付2500美元价值的比特币或者Dash来解密文件。

Sigrun会检测用户的键盘布局,从而检查用户来源的国家。具体来说,勒索软件运行时会查看HKEY_CURRENT_USER\Keyboard Layout\Preload,如果检测到的是俄语布局的键盘,Sigrun就不会加密文件,而是把自己删除。这种手段的目的可能是为了防止黑客被俄罗斯的执法部门追查。而由于政治原因,乌克兰的用户不使用俄语布局的键盘,但Sigrun作者还是打算为他们提供免费的解密服务。

[SecurityAffairs]

Zip Slip漏洞影响大量项目,范围横跨多个生态系统

ZipSlip.png研究人员发现了一个关键漏洞,能够影响众多涉及压缩文件的开源库。在软件解压压缩包时会受此漏洞影响,压缩文件的种类包括:tar、jar、war、cpio、apk、rar和7z。

Zip Slip漏洞是“任意文件覆盖”以及“目录遍历”的结合,攻击者可以把文件解压到敏感位置,从而覆盖掉系统文件或者服务器配置。各种编程语言的压缩库都收到影响,其中Java生态系统影响最为严重。不过这个漏洞更偏重理论而非一个真正的漏洞。

[BleepingComputer]

两个月后超过115,000个Drupal网站仍然可以被Drupalgeddon 2攻击

drupal_logo.png研究人员扫描了全网中运行Drupal 7.x CMS后发现,在超过50万个网站中,有11万仍然运行着旧版本,能被Drupalgeddon 2漏洞攻击。Drupalgeddon 2是今年3月的新漏洞被称为是自Drupalgeddon漏洞以来最严重的漏洞之一。

黑客只需要访问一个构造的URL地址无需认证就可以攻占系统。Drupal随后针对6.x, 7.x和8.x版本推出了补丁。

[BleepingComputer]

【国内新闻】

AsiaSecWest 2018开幕

Image

号称极客版“最强大脑”的“AsiaSecWest国际安全技术峰会—亚洲站”,在中国香港拉开帷幕。本届AsiaSecWest历时2天,秉承着技术至上、开放分享的极客精神和办会宗旨,吸引了来自世界各地最杰出的信息安全人才共同参与,以技术的力量共同开启全球网络安全守护的新动能。

“AsiaSecWest国际安全技术峰会—亚洲站”是CanSecWest首度移师香港,携手腾讯安全落地的全新中、西安全技术交流平台。作为一年一度的全球顶级信息安全峰会,在加拿大举办的CanSecWest一直以前瞻性、热点性、深度性的探讨视角著称。本届AsiaSecWest秉承了CanSecWest的传统,通过全球范围的开放议题申请,汇集了来自互联网、计算机、通信以及信息处理领域的前沿安全研究成果,多项重磅议题首次曝光。

[新浪]