freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    FreeBuf周报 | Gartner发布2022年新兴技术成熟度曲线;两款红米手机存在安全漏洞;I...
    2022-08-19 13:49:36

    各位Buffer周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

    热点资讯

    1、Gartner 发布 2022 年新兴技术成熟度曲线

    Gartner 2022 年新兴技术成熟度曲线列出了 25 项值得关注的新兴技术,这些技术正在推动沉浸式体验的发展和扩展、加速人工智能(AI)自动化并优化技术人员交付。

    2、网信办发布国内互联网算法备案清单,含微信、淘宝、抖音等30款App

    8月12日,根据《互联网信息服务算法推荐管理规定》,国家网信办公开发布了境内互联网信息服务算法名称及备案编号。包括多个大型企业和产品的相关算法,比如网易、360、快手、微博、美团、优酷、百度、抖音、小米、天猫、淘宝、苏宁易购、富途牛牛、微信、腾讯等。

    3、“五眼”联盟国家参与美国网络司令部大型年度演习

    美国网络司令部举行年度大型演习“网络旗帜22”,“五眼”联盟国家的网络保护团队(CPT)均参与了此次演习。

    4、Instagram 被曝通过 App 内浏览器跟踪用户网络活动

    IT之家 8 月 14 日消息,对 Meta 旗下 Instagram 应用程序的一项新分析表明,每次用户点击应用程序内的链接时,Instagram 都能够监控他们的所有交互、文本选择,甚至是文本输入,例如内部网站内密码和私人信用卡详细信息应用程序。

    5、《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》发布

    《指南》依据有关政策法规要求,做好支撑疫情防控工作,防止健康码伪造安全风险,对健康码防伪提供技术实践参考。

    安全事件

    1、黑客组织 Lazarus 冒充 Coinbase 针对 IT 求职者发起攻击

    黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件,冒充 Coinbase 招聘信息并吸引金融技术领域的员工。

    2、研究人员在Intel、AMD处理器中发现了ÆPIC和SQUIP漏洞

    一组研究人员透露了一个影响英特尔 CPU 的新漏洞的详细信息,该漏洞使攻击者能够从处理器获取加密密钥和其他秘密信息。

    3、两款红米手机存在安全漏洞,可能被利用来禁用移动支付

    Check Point发现,红米Note 9T和红米 Note 11型号中存在安全漏洞,这些漏洞可能被利用来禁用移动支付机制,甚至通过设备上安装的流氓Android应用程序进行交易。

    4、利用macOS端Zoom安装器漏洞,黑客可接管用户Mac

    一名安全专家近日发现利用 macOS 端 Zoom 应用程序,掌控整个系统权限的攻击方式。上周五在拉斯维加斯召开的 Def Con 黑客大会上,Mac 安全专家帕特里克·沃德尔(Patrick Wardle)在演讲中详细介绍了这个漏洞细节。

    5、首批针对星链卫星网的攻击手法曝光:篡改接入终端执行任意代码

    研究人员只需要花费25美元,就能用小零件制作出硬件入侵工具,在星链卫星天线上运行任意代码。

    一周好文共读

    1、聊聊新版风险评估的变化

    经过15年时间,和2007版相比,新版《信息安全风险评估方法》(以下简称“风评”)有了较大的变化。

    新版风评简化了要素关系,只保留了资产、脆弱性、威胁、安全措施和风险要素,本以为这将一定程度减少风评整体工作量,但实际上并没有,反而增加了很多需要计算的过程。

    2、数据出境安全合规路径梳理

    企业要开展数据出境合规工作,需要掌握和了解多部法律法规及技术标准,还是有一定难度的(必要时需要借助专业的机构进行梳理),因此作者在实践过程中,总结了现阶段的数据出境合规路径。合规路径一:数据出境安全评估;二:个人信息安全认证;三:按照国家网信部门制定的标准合同与境外接收方订立合同。

    3、Redis未授权漏洞蜜罐模拟与捕获分析

    文章主要分析Redis未授权漏洞的原理及形成原因,使用vulhub靶场进行漏洞复现,在了解漏洞原理并复现的基础上使用golang编写蜜罐代码进行模拟,开放端口在网上捕获真实存在的恶意攻击行为,对恶意样本进行分析,总结出威胁情报。

    安全工具

    1、如何使用SilentHound枚举活动目录域

    SilentHound是一款针对活动目录域安全的检测工具,该工具可以通过LDAP解析用户、管理员和组信息,并以此来在后台悄悄枚举活动目录域。该工具由Layer8 Security的NickSwink开发和维护,基于纯Python开发。

    2、如何使用truffleHog敏感数据以保护代码库安全

    truffleHog是一款功能强大的数据挖掘工具,该工具可以帮助广大研究人员轻松从目标Git库中搜索出搜索高熵字符串和敏感数据,我们就可以根据这些信息来提升自己代码库的安全性了。该工具可以通过深入分析目标Git库的提交历史和代码分支,来搜索出潜在的敏感信息。

    3、LAUREL:一款功能强大的Linux事件日志审计和转换工具

    LAUREL是一款功能强大的Linus事件日志处理插件,可以帮助广大研究人员处理Linux系统事件日志,并对其进行后续处理,以便将日志应用到其他现代安全监控系统之中。

    本文作者:, 转载请注明来自FreeBuf.COM

    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    评论 按热度排序

    登录/注册后在FreeBuf发布内容哦

    相关推荐
    \
    • 0 文章数
    • 0 评论数
    • 0 关注者
    文章目录
    登录 / 注册后在FreeBuf发布内容哦