全球动态

1. WhatsApp的漏洞可能使黑客能够远程入侵移动设备

WhatsApp修复了其Android应用程序中的两个安全漏洞，这些漏洞可能已被利用来远程攻击受害者的设备。攻击者通过操纵应用程序与外部存储之间交换的某些数据来破坏应用程序。[外刊-阅读原文]

2. FireEye：2020年追踪了650个新型威胁团伙

FireEye发布了名为M-Trend 2021的年度报告，该报告基于对其管理的安全事件进行调查期间收集的数据。曼迪安（Mandiant）在2020年调查的大多数事件（59％）最初都是由受害者发现的，这一数据比2019年增加了12％。[外刊-阅读原文]

3. 同性交友网站Manhunt遭遇黑客入侵，超10%用户受到影响

Manhunt 是一款宣称拥有 600 万用户的同性交友应用，但该公司已于近日证实其服务器曾在今年 2 月份遭到黑客入侵，并且被攻击者拿到了用户账户数据库的访问权限。在向华盛顿州检察长办公室提交的通告中，Manhunt 透露黑客下载了部分用户的 ID、电子邮件和密码等信息。[阅读原文]

4. CSGO 漏洞允许黑客通过 Steam 邀请控制电脑

通过诱骗受害者点击 Steam 邀请玩 CS:GO 游戏，黑客能控制对方的电脑。这个漏洞早在 2019 年 6 月就报告给了 Valve，但这家以扁平化管理著称的公司在修复游戏漏洞上十分迟钝。[阅读原文]

5. Vivaldi、Brave、DuckDuckGo屏蔽了Google的FLoC广告跟踪技术

上个月，Google宣布了计划针对Chrome浏览器和广告投放网站推出一项新的针对隐私的功能，称为“联合学习联合会（FLoC）”。该技术旨在取代广告网络和分析平台在网络上跟踪用户所使用的更为传统的第三方Cookie，这可能不利于保护用户隐私。[外刊-阅读原文]

6. 方法披露：FBI破解 San Bernardino 枪手的 iPhone 手机

近日，针对早年FBI和苹果就罪犯手机隐私事件，《华盛顿邮报》披露了 FBI 的破解方法。破解是一家澳大利亚安全公司 Azimuth Security 的两名技术人员完成的。他们首先利用了 Mozilla 开发的一个软件模块漏洞，该模块被 iPhone 用于支持使用 Lightning 端口的配件。[阅读原文]

安全事件

1. 配送平台Mercato发生数据泄漏，却没向用户发出提醒

援引外媒 TechCrunch 报道，在线杂货配送初创公司 Mercato 在今年 1 月发生了用户数据泄漏事件，导致数万用户的个人隐私被窃取。[阅读原文]

2. 新的JavaScript利用现在可以进行DDR4 Rowhammer攻击

阿姆斯特丹弗里耶大学和苏黎世联邦理工学院的学者发表了一篇新的研究论文，描述了Rowhammer攻击的另一种变化。尽管制造商在过去七年中已采取了许多措施，但该技术被称为SMASH（同步单面锤击），可用于成功触发JavaScript对现代DDR4 RAM卡的攻击。[外刊-阅读原文]

3. 安全研究人员在Twitter上分享了Chromium零日漏洞的概念验证代码

印度安全研究人员 Rajvardhan Agarwal，刚刚在 Twitter 上分享了影响基于 Chromium 内核的诸多浏览器的零日漏洞。可知 Google Chrome、Microsoft Edge、Opera 和 Brave 等均受到影响，且 @r4j0x00 附上了 GitHub 的概念验证代码传送门。[阅读原文]

4. SAP修复了Business Client，Commerce和NetWeaver中的严重漏洞

SAP本月的安全更新解决了多个关键漏洞。其中最严重的，最严重的评分最高，会影响公司的Business Client产品。该公司的另外两个产品收到了针对严重严重性漏洞的补丁程序，这些漏洞使未经授权的用户可以访问配置对象并允许远程执行代码。[外刊-阅读原文]

5. 谷歌浏览器90以HTTPS作为默认协议发布

4月14日，Google向稳定桌面版发布了Chrome 90，其中包括安全性改进，新的AV1编码器以及默认协议更改为HTTPS。[外刊-阅读原文]

6. 本周第二个Google Chrome 0day漏洞在Twitter上发布

本周第二个Chromium零日远程代码执行漏洞已经在Twitter上发布，该漏洞会影响当前版本的Google Chrome，Microsoft Edge和其他可能基于Chromium的浏览器。[外刊-阅读原文]

优质文章

1. 数据安全要火？2021年RSAC创新沙盒大赛10强名单出炉

受全球疫情的影响，全球网络安全顶级大会RSA Conference 2021不出所料的改为了线上大会，于2021年5月17日—20日召开。4月15日，官网上发布了备受瞩目的Innovation Sandbox（沙盒）大赛的Finallist。[阅读原文]

2. CCSIP 2021中国网络安全产业全景图（第二版）正式发布 | FreeBuf咨询

随着网络安全产业快速、规模化发展，企业难免对网络安全领域有“不知全貌”的困扰。2020年11月16日，FreeBuf咨询基于79个细分领域定义、数百家厂商调研，发布《CCSIP 2020中国网络安全产业全景图》（第一版），受到业内关注与认可。面对2021年网络安全的新形势，为紧跟网络安全市场发展趋势，关注企业发展现状，保证CCSIP全景图对业内人士的长期参考价值，FreeBuf咨询正式发布《CCSIP 2021中国网络安全产业全景图》（第二版）。[阅读原文]

3. 一种面向边缘计算的可扩展网络I/O框架

作为当前的研究热点，边缘计算可以在网络边缘部署计算、存储和网络资源，为用户提供云化服务，以满足新兴应用的处理需求。但是，当前网络I/O模型的扩展性问题使得运行在边缘节点上的边缘应用难以有效地利用丰富的边缘物理资源处理海量用户的网络请求。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。