各位Buffer早上好，今天是2018年4月13日星期五，农历二月廿八。今天的早餐铺内容主要有：AMD发布针对Spectre v2漏洞的最新补丁；扎克伯格听证会承认有数据被卖给恶意第三方；主流Web浏览器将迎来全新标准；2011年以来移动钓鱼攻击增长率平均每年达到85%；容器安全公司StqckRox获得2500万美元融资。

安全资讯早知道，两分钟听完最新安全快讯~

【数据安全】

扎克伯格听证会承认数据贩卖，并承诺FB永远有免费版本

Facebook公司CEO马克·扎克伯格在周二下午出席了美国国会参议院举行的听证会之后，在美国当地时间周三（4月11日）上午（北京时间4月11日晚10点）到美国众议院能源和商业委员会出席相关听证会。扎克伯格承认，有数据被卖给了有恶意的第三方，并表示，Facebook将对所有能够获取数据的应用进行审查。

针对参议员们的质询，扎克伯格对Facebook缺乏监管承担了个人责任，不仅限于“剑桥分析”用户数据泄露事件，也包括2016年美国总统选举时俄罗斯的干扰。他在听证会上说，“是我的错，我很抱歉。”

据悉，当被问及Facebook是否永久对用户免费时，扎克伯格称“永远会有免费的Facebook版本(供用户使用)。”

对此，外界认为扎克伯格实际上是给Facebook未来向用户收费留下了余地，并没有完全排除向用户付费的可能性，即一部分Facebook的服务和功能依然对用户免费，是免费的Facebook版本，另一部分功能或服务会相应收费。

在听证会结束之前，公众和危机公关专家都对扎克伯格的回应和表达给予了较高评价，Facebook的股价截至4月10日收盘上涨了4.5%。[来源：sohu]

【系统安全】

AMD发布针对Spectre v2漏洞的最新补丁 

AMD在最新通报中指出，对于Spectre v2，AMD处理器用户应尽快将Windows或Linux升级为最新版本，并升级来自OEM和主板厂商的微代码更新（也就是刷BIOS)。早前Linux系统的Spectre v2漏洞补丁已经放出，而针对Windows 10最新版本（Version 1709秋季创意者更新版）的补丁也已于今日全面推送。

这场处理器漏洞危机中，相比于Intel，其实AMD的处理器受到的冲击小的多。据悉，其中一个主要原因是，AMD处理器因架构设计不同，因此对Meltdown漏洞完全免疫。而Spectre漏洞此前已通过系统和软件更新进行妥善修复。

此外，AMD仍在准备上个月发布的RyzenFall、MasterKey、Fallout和Chimera漏洞的补丁，据悉这几个漏洞的威胁相比Meltdown及Spectre小的多，修复难度也较低。[来源：bleepingcomputer]

【Web安全】

安全性升级，主流Web浏览器将迎来全新标准

谷歌，微软和Mozilla的网络浏览器很快将为用户提供由FIDO联盟和万维网联盟（W3C）构建的新的无密码认证标准，目前正处于最终审批阶段。

W3C已将新的认证标准WebAuthn推进到候选推荐标准（CR）阶段，这是最终批准Web标准之前的最后一步。预计将为全球用户提供更强大的Web身份验证，它已经在Windows，Mac，Linux，Chrome OS和Android平台上实施。

W3C的WebAuthn API为每个站点提供强大的，唯一的基于公钥的证书，从而消除了一个站点上的密码被盗用在另一个站点上的风险。

该联盟表示，它很快将推出互用性测试，并计划为服务器，客户端和认证机构颁发符合FIDO2规范的认证。[来源：FreeBuf]

【终端安全】

2011年以来移动钓鱼攻击增长率平均每年达到85%

据移动安全公司Lookout报道，自2011年以来，用户在移动设备上接收和点击钓鱼网址的速度每年平均增长85％。该公司表示，更令人担忧的是，56％的用户收到并点击了绕过现有防护层的钓鱼网址。平均到个人，移动设备用户每年每人会点击六次钓鱼网址。

在分析移动网络钓鱼的现状的最新报告（PDF）中提到，攻击者已可以成功规避现有的网络钓鱼保护机制以瞄准移动设备，不法分子正以惊人的速度暴露敏感数据和个人信息。首次在移动设备上打开的电子邮件超过66％，并且电子邮件已经是钓鱼攻击的首要攻击点之一，移动设备上未受保护的电子邮件可能成为网络钓鱼最重要的攻击面。

此外，某些App在代码库中包含URL进行实时通信或获取信息，此举可能同样会导致遭受钓鱼攻击，企业应小心会访问恶意URL的“良性App”。

广告是App的主要盈利手段之一，为此，他们将广告SDK整合到代码中，这些SDK连接到URL向用户投放广告。如果“良性App”使用由攻击者运行的广告SDK，那么攻击者可能会使用SDK访问恶意URL，点击之后就会暴露用户的个人隐私。

[来源：securityweek]

【行业动态】

容器安全公司StqckRox获得2500万美元融资

容器安全公司StackRox本周宣布，其在B轮融资中获得了2,500万美元的资金，该公司迄今融资的总额已超过了3,900万美元。

此次融资由Redpoint Ventures领投，Sequoia Capital和Amplify Partners参与。据悉，本轮融资主要将用于加速产品开发及支持公司营运计划，包括招募新的营销和销售主管。

StackRox公司位于加利福尼亚州的山景城，专注于为企业提供运行在Docker和Kubernetes等容器上云程序的安全服务。 该公司的旗舰产品StackRox Detect and Respond旨在监控程序运行时的活动动态，侦测可能的攻击面并消除威胁。

StackRox公司表示，现已在解决方案中增加了性能测试与检测功能。[来源：securityweek]

【国内资讯】

上海某区块链峰会被紧急叫停

今日上海某金融科技与区块链峰会，临时遭到当地警方的突击检查，会议被紧急叫停，现场所有相关人员已被清场。

有传言称，峰会被叫停是因为有投资者因投资参会的ICO项目而损失惨重，所以举报大会维权。

对此，主办方回应称，叫停的原因只说了有安全隐患，会议具体的叫停原因他们也正在调查。关于会议的解决问题，会商量出一个方案，是改期或者别的方案，具体需要参会者等通知。

同时，该主办方在回应中强调，他们的会议是正规的，没有演讲项目涉及法律问题。[来源：Biannews]

*本文由Akane整理编译，转载请注明来自FreeBuf.COM