FreeBuf早报，安全圈值得关注的每日大事件

【全球动态】

1.诺基亚员工意外泄露了俄罗斯电信运营商SORM监控设备的秘密

外媒刚刚揭示了俄罗斯电信运营商机房中神秘的 SORM 监控设备，据说它们被安插在各个城市的带锁房间，并且直连该国某些大型电信运营商的电话和互联网络。这些设备的大小与一台洗衣机相当，可容纳来自俄罗斯安全部门的特殊设备，收集来自数以百万计的用户的电话和信息。[阅读原文]

2.时隔8年，MITRE再次发布CWE Top 25榜单

本周二，专注政府、行业和学术信息安全内容的非营利性组织 MITRE CWE 团队发布了 CWE Top 25 榜单，列出了25个最危险的软件错误。这些 CWE 代表着软件中最常见的关键弱点，它们是软件实现中出现的bug、设计缺陷或其它错误，包括缓冲区溢出、路径名称遍历错误、不必要的随机化或可预测性、代码评估和注入、缺乏数据验证等等。[阅读原文]

3.中国信通院：《IPv6网络安全白皮书》

中国信息通信研究院在第六届国家网络安全宣传周电信日主题论坛发布《筑牢下一代互联网安全防线—IPv6网络安全白皮书》，中国信通院副院长王志勤对白皮书进行了现场解读。[阅读原文]

4.新报告称人工智能无法保护人们免受Deepfakes技术的影响

来自Data & Society的一份新报告引发了人们对视频欺骗性改变的自动化解决方案的疑虑，包括机器学习改变的视频deepfakes等。作者Britt Paris和Joan Donovan 认为，虽然deepfakes是新的，但却是媒体操纵历史悠久的一部分 - 需要社会和技术修复。依靠人工智能实际上可以通过将更多数据和权力集中在私营公司手中来使事情变得更糟。[阅读原文]

5.美国人讨厌互联网巨头？2/3调查者希望拆分它们

据国外媒体报道，在美国，拆分大型科技公司的主意可谓深得民心，尤其是如果这意味着亚马逊和谷歌等公司不再优先展示有利于自己谋利的搜索结果。[阅读原文]

6.朝鲜正在开发自己的加密货币 以规避国际制裁

据悉，朝鲜目前正处于开发自己的加密货币的早期阶段，以避免受到严重的国际制裁，并规避美国主导的全球金融体系。[阅读原文]

7.加拿大一最高级别情报官员被挖出是间谍

日前，皇家加拿大骑警（RCMP）宣布，他们逮捕了加拿大最高级别的情报官员之一，此人的职位是加拿大警方国家情报协调中心主任。奥尔蒂斯面临七项来自刑法和《信息安全法》（SOIA）的指控。SOIA是有关国家安全问题的法律，是只在处理涉外间谍案件时才涉及的少见法律。[阅读原文]

【安全事件】

1.Harbor任意管理员注册漏洞

Harbor是一个用于存储和分发Docker镜像的企业级Registry服务器，通过添加一些企业必需的功能特性，例如安全、标识和管理等，扩展了开源Docker Distribution。近日Harbor曝出一个垂直越权漏洞，因注册模块对参数校验不严格，可导致任意管理员注册。[阅读原文]

2.比特币钱包Electrum遭受黑客钓鱼攻击 至少1450枚比特币遭窃

黑客通过恶意服务器向Electrum客户端广播消息，提示用户更新至v4.0.0版本，如果用户按照提示安装了此“携带后门的客户端”，则私钥会遭到窃取，所有的数字资产将被盗。截至发稿时，伪造Electrum升级提示的钓鱼攻击已盗窃至少1450枚BTC（被盗数量由一名用户、反恶意软件公司Malwarebytes和Electrum官方统计而来），总价值约1160万美元。[阅读原文]

3.RHEL 6和CentOS 6分支迎来重要Linux内核安全更新

Red Hat Enterprise Linux 6和CentOS Linux 6发行版本分支今天收到了重要的Linux内核安全更新，修复了两个关键漏洞和其他问题。Red Hat Product Security 团队将该安全更新标记为“重要”，修复了CVE-2018-9568和CVE-2019-11810两个严重错误。[阅读原文]

4.安全更新导致Microsoft Defender无法正常执行快速／全盘扫描

微软近期发布的累积更新令人担忧，在KB4515384导致开始菜单和内置搜索功能无法使用、玩游戏时声音过小和不协调、网络适配器无法启用、PIN码登录系统障碍之后，又一项适用于Windows 10的安全更新导致Windows Defender的手动扫描功能。[阅读原文]

5.Github收购代码分析平台公司Semmle 致力于查找零日漏洞及其变种

已被微软纳入麾下了开源代码托管平台 Github，刚刚宣布收购了一家名叫 Semmle 的代码分析平台公司。后者致力于查找零日漏洞，并对其变体展开自动化分析。Semmle 的语义代码分析引擎，允许开发者编写查询、识别大型代码库中的编程模式、搜索漏洞及其变种。[阅读原文]

6.升级漏洞被攻击者“青睐” 阿里旺旺被利用进行病毒投放

安全团队在用户现场截获一起利用阿里旺旺升级漏洞，通过HTTP劫持植入病毒的攻击事件，攻击者可利用该漏洞下发任意代码。截止到目前，从阿里官方下载的阿里旺旺新、旧两个版本（买家版）均存在此漏洞。[阅读原文]

7.暴露在公网的PACS服务器泄露了超过4亿张医学放射图像

Greenbone Networks漏洞分析公司的研究人员发现，公网上存在600台不安全的PACS服务器，导致4亿张医疗放射图像被泄露。这项数据泄露研究从2019年7月中旬起，2019年9月初才算完结。[外刊-阅读原文]

【优质文章】

1.风险分析是工业互联网安全的基础

工业互联网的安全风险分析主要还是集中在网络安全风险分析层面，对于工业安全风险的需求考虑尚欠缺。工业安全风险分析和网络安全风险分析还是相对独立的两套体系在运行，需尽快打破边界限制，建立统一的风险分析框架和方法论，迈出工业互联网安全贯彻落实最坚定的一步。[阅读原文]

2.大型互联网企业威胁情报运营与实践思考

通过对各种角度上的威胁进行梳理后，我们可以把整个互联网企业可能面临的安全威胁分为三大类，一类是以通用组件漏洞、僵木蠕为首的面向基础设施的威胁，第二类是以业务系统缺陷、越权漏洞为代表的面向业务系统的威胁，第三类是以POI/UGC爬取、欺诈流量（也就是刷差评/好评的）等面向业务数据层面的威胁。有了威胁，才能去谈威胁的情报。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。