【全球动态】

1.LineageOS、Ghost 和 DigiCert 服务器遭黑客入侵

过去几天，黑客利用了两个最近披露的 Salt 漏洞入侵了 LineageOS、Ghost 和 DigiCert 的服务器。Salt 是是一个监视和更新服务器状态的开源配置工具。上周安全公司 F-Secure 的研究人员披露了两个漏洞 CVE-2020-11651 和 CVE-2020-11652，允许远程攻击者绕过身份验证和授权控制，以 root 权限执行命令。[阅读原文]

2.个人健康信息码国家标准发布

国家市场监督管理总局日前发布《个人健康信息码》系列国家标准。该系列国家标准实施后，可实现个人健康信息码的码制统一、展现方式统一、数据内容统一，统筹兼顾个人信息保护和信息共享利用。[阅读原文]

3.印度政府将运用移动通信系统调查追踪9亿人的健康状况

印度政府将召集全国近9亿人，检查他们是否表现出COVID-19病毒的症状。此举是作为通过Aarogya Setu应用程序进行的联络追踪工作的一部分，该应用程序将在所有即将推出的手机上预装，并将强制注册。政府正计划与Bharti Airtel，Jio，Vodafone-Idea合作，以确保用户参与此项目。[阅读原文]

4.网信办展开恶意营销整治活动，百度、小米等公司启动专项行动

据网信办下发的《关于开展网络恶意营销账号专项整治行动的通知》显示，北京网信办将于5月1至6月30日开展为期两个月的网络恶意营销账号专项整治行动。[阅读原文]

5.任天堂遭史上最大规模黑客攻击 Wii完整源码和设计泄露

过去几周内的黑客活动因疫情隔离的影响变得更加活跃，索尼顽皮狗《最后的生还者2》泄密也被认为是黑客所为。隔壁任天堂在此前NNID账户被盗之后近日又被不法者盯上，导致了Wii主机的完整源码/设计方案和N64技术演示流出，可以说已经成为任天堂史上最大规模的泄露案件。[阅读原文]

6.Google 宣布对 Chrome Web Store 进行“大扫除”

Google 宣布对 Chrome Web Store 执行新的规定，减少商店里的低质量和重复递交扩展。新规定从 2020 年 8 月 27 日执行，扩展开发者将不再允许递交重复扩展。[阅读原文]

7.专家发布OpenSSL中的DoS漏洞CVE-2020-1967

最近，OpenSSL项目发布了针对OpenSSL的安全更新，该更新修补了一个高危漏洞，跟踪为CVE-2020-1967，攻击者可以利用该漏洞发起拒绝服务（DoS）攻击。[外刊-阅读原文]

【安全事件】

1.小米被指记录用户的 Web 和手机使用数据

安全研究员 Gabi Cirlig 发现小米公司在其手机设备上收集了惊人的数据，这些数据被发送到小米在世界各地租用的服务器上。小米手机默认的小米浏览器会记录用户访问的所有网站，通过 Google 或 DuckDuckGo 的所有搜索查询词，在新闻源浏览的所有条目，即使使用隐身模式小米仍然会跟踪用户。随后，小米否认了这一说法。[阅读原文]

2.专业黑客组织潜入Google Play至少四年

安全公司卡巴斯基报告，专业黑客组织至少从 2016 年就潜入到 Google Play，利用官方应用商店传播具有后门功能的恶意程序，悄悄窃取用户的敏感信息。[阅读原文]

3.WordPress 5.4.1发布 修复7个安全漏洞和多个问题

WordPress 5.4.1 已经发布，并且正式推送更新。该版本除了修复了7个安全漏洞外，还修复了17个错误，建议大家尽快更新。此外，自WordPress 3.7以来的所有版本也已更新了对应的子版本。[阅读原文]

4.新型Linux恶意软件Kaiji以物联网设备为目标

上周，安全研究人员MalwareMustDie和Intezer Labs的专家发现了一种名为Kaiji的新恶意软件，该恶意软件通过SSH暴力攻击物联网设备。该恶意代码针对基于Linux的服务器和物联网（IoT）设备，并将其用作DDoS僵尸网络的一部分。[外刊-阅读原文]

5.Intel十代桌面酷睿修复两个安全漏洞

Spectre幽灵、Meltdown熔断两个安全漏洞大家还没忘记吧？由于问题出现在硬件层面，修复起来也是相当麻烦，系统、固件打补丁只能部分解决，而且容易拖慢性能，尤其是在Intel身上相当尴尬。[阅读原文]

6.Popcorn 开源项目因 DMCA 通知被 GitHub 关闭

代表美国主要电影公司和流媒体公司的美国电影协会向 GitHub 递交了 DMCA 删除通知，称开源项目 Popcorn Time 广泛侵犯了电影和电视节目的版权。GitHub 之后根据要求关闭了 Popcorn Time 的开源库。[阅读原文]

7.多操作系统平台资产风险状况研究：微软漏洞最多

Kenna Security 发布了一份新的报告，其中对 Microsoft、Linux 和 Mac 资产的风险状况进行了研究。该报告基于 Kenna Security 来自 450 个组织的 900 万资产的数据。在整个研究期间，研究人员共发现了 Microsoft 资产中的 2.15 亿个漏洞，其中已完成修复的漏洞有 1.79 亿个，占比 83％。[阅读原文]

【优质文章】

1.2020国内外重大网络攻击及敲诈勒索事件一览

随着我国云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展，极大便利生活的同时，受黑产利益驱使的黑客也将魔爪伸向了这里，网络空间威胁和风险日益增多。[阅读原文]

2.配合格式化字符串漏洞绕过canary保护机制

我们知道，缓冲区溢出漏洞利用的关键处就是溢出时，覆盖栈上保存的函数返回地址来达到攻击效果。[阅读原文]

3.谁动了我的宽带？记一次HTTP劫持的发现过程

本文记录了自己家用宽带HTTP劫持的发现过程。相比DNS劫持，HTTP劫持则更为流氓，解决起来也比较棘手。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。