全球动态
1. 谷歌Project Zero团队披露了GitHub Actions中存在的严重安全漏洞
最新消息是,谷歌 Project Zero 团队刚刚披露了影响 GitHub 开源代码托管平台的一个“高度严重”的安全漏洞。据悉,问题源于 GitHub Actions 中的工作流命令极易受到注入攻击。[阅读原文]
2. 俄罗斯黑客因僵尸网络数据收集计划而入狱
一名俄罗斯网络犯罪分子因参与一个造成至少1亿美元经济损失的僵尸网络计划而被判入狱8年。 据悉,该犯罪分子“拥有”超过200000台未经授权的访问设备。[外刊-阅读原文]
3. 恶意npm库可在计算机上建立后门
Npm是所有编程语言中最大的软件包存储库。近期i,npm安全团队已从其存储库中删除了一个名为“ twilio-npm ”的恶意JavaScript库,因为其中包含了恶意代码,可用来建立后门。[外刊-阅读原文]
4.黑客组织使用Solaris零日漏洞破坏公司网络
Mandiant发布了一个名为UNC1945的新威胁组织的详细信息 ,该安全公司表示,该组织入侵Oracle企业网络时使用了Oracle Solaris操作系统中的零日漏洞。[外刊-阅读原文]
5. 香港证监会行政总裁:需要将所有加密货币交易平台纳入监管
香港证监会行政总裁欧达礼表示,香港将监管在这个金融体系内运营的所有加密货币交易平台,以防止任何类型的虚拟资产平台洗黑钱。所有于香港营运、或以香港投资者为目标客户的虚拟平台,都必须申请牌照,受当局监管。[阅读原文]
6. NAT滑流:访问恶意站点可能使本地网络服务遭受远程攻击
一种新发现的攻击方法可以绕过网络地址转换(NAT)和防火墙,从而使攻击者可以远程访问受害人内部网络上的TCP / UDP服务。[外刊-阅读原文]
安全事件
1.100000台设备仍然容易受到SMBGhost攻击
最新研究表明,在推出补丁程序的半年多之后,仍有超过100,000台计算机受到Windows漏洞SMBGhost的影响。[外刊-阅读原文]
2. Oracle为WebLogic服务器发布了罕见的带外安全更新
在发布PoC之后,Oracle第二次发布了修补程序,以修复Oracle WebLogic服务器中最近披露的漏洞。据悉,攻击者只要向WebLogic服务器的管理控制台发送诱骗的HTTP GET请求即可利用该漏洞。[外刊-阅读原文]
3.诈骗者滥用Google云端硬盘发送恶意链接
网络犯罪分子通过Google云端硬盘通知向数十万用户发送通知,邀请他们在文档上进行协作,然而文档中包含恶意链接。[外刊-阅读原文]
4. 骗了71万人77个亿 “币圈大佬”用传销把韭菜们都忽悠瘸了
原本我以为自己对各类骗局已经见怪不怪了,但是看完这个 WoToken 还是虎躯一震。发展会员71万,层级达501层,涉案金额达到77亿元。[阅读原文]
5. 警方破获一起利用数字货币的洗钱案
上海警方通报破获了一起利用数字货币的洗钱案,参与的八名洗钱者遭到起诉。据悉,是8名小伙为赚“好处费”利用虚拟货币协助诈骗分子转移钱款,短短三四个月转移赃款1500余万元。[阅读原文]
6. 工信部:公开征求110项团体标准应用示范项目的意见,涉及网络安全共18项
按照《工业和信息化部办公厅关于开展2020年百项团体标准应用示范项目申报工作的通知》(工信厅科函〔2020〕160号)的程序和要求,经社会团体申请、地方或行业推荐、初审、专家评审等环节,拟将《信息技术 人工智能 面向机器学习的系统框架和功能要求》等110项团体标准列入2020年“百项团体标准应用示范项目”。[阅读原文]
优质文章
1. 智能合约漏洞与安全审计手段浅析
智能合约为区块链技术的核心,区块链的正常工作,依赖于缜密的智能合约。然而智能合约本身往往存在着漏洞,漏洞提供了攻击的可能性。[阅读原文]
2.安全策略该如何梳理
安全策略梳理工作,是不是真的无从下手,没法实施呢?本文以参与过几次安全策略梳理的经验,讨论安全策略梳理的难点,同时对应的解决方式。[阅读原文]
3. 云备份的下一步是什么?
2020年电子商务数据保护调查发现,四分之一的企业已经遭受了数据丢失,这些数据丢失立即影响了销售和运营。[外刊-阅读原文]
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。
*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。