全球动态

1. 欧洲药品管理局遭到网络攻击

欧洲药品管理局（EMA）宣布遭受了网络攻击。EMA没有提供有关攻击的技术细节，也没有提供它在评估和批准COVID-19疫苗时是否对其运营产生影响的详细信息。[外刊-阅读原文]

2. Mozilla等公司敦促欧盟加强用户控制权限以解决“合法但有害”内容问题

Automattic、Mozilla、Twitter和Vimeo已经向欧盟立法者写了一封公开信敦促他们确保欧盟数字法规重启不会以威胁网络言论自由而结束。据悉，欧盟委员会将于下周公布《数字服务法案(Digital Services Act，简称DSA)》和《数字市场法案(Digital Markets Act，简称DMA)》的草案，不过欧盟的立法程序意味着，这两项法案成为法律可能需要数年时间。[阅读原文]

3. 俄罗斯APT28黑客使用COVID-19诱饵交付Zebrocy恶意软件

一位以其恶意软件活动而闻名的俄罗斯威胁行动者以威胁诱饵的形式再次出现在威胁领域，利用网络诱饵诱使COVID-19再次发动攻击，这再次表明了对手如何熟练地利用当前热点事件。[外刊-阅读原文]

4. DHS-CISA敦促管理员修补OpenSSL DoS漏洞

OpenSSL本周发布了针对严重影响拒绝开源项目的严重拒绝服务（DoS）漏洞的修复程序。美国国土安全部（DHS）网络安全和基础架构安全局（CISA）已警告管理员立即升级其易受攻击的OpenSSL实例。[外刊-阅读原文]

5. 法国宣布对加密货币公司实施强制性KYC规则，以打击恐怖主义

法国财政部周三公布了对所有在该国运营和服务的加密货币公司的全面了解你的客户（KYC）要求，此举可能最终剥夺法国加密领域的任何半点匿名性。根据法国财政部长Bruno Le Maire的新闻稿，所有虚拟资产服务提供商必须立即开始检查客户的身份，核实“实际所有人”，并禁止匿名加密账户。[阅读原文]

6. 黑客捐赠勒索来的比特币：慈善机构犯难却无法退款

据英国卫报报道，黑客组织Darkside把勒索获得的0.88比特币捐给了Children International和Water Project两家慈善机构，价值1万美元。捐款后，Darkside在暗网公布了得到捐款的这两家慈善机构的收据。[阅读原文]

安全事件

1. 星巴克移动平台中发现了远程执行代码漏洞

星巴克的一个移动域中已修补了潜在的远程代码执行（RCE）错误。这家美国咖啡巨头在HackerOne上运行一个漏洞赏金平台。由Kamil“ ko2sec” OnurÖzkaleli提交的新漏洞报告于11月5日首次提交，并于12月9日公开。[外刊-阅读原文]

2. 2020年披露的计算机安全漏洞数量预计将超过2019年

根据 Risk Based Security 公布的最新报告[PDF]，虽然在今年第一季度披露的漏洞数量同比有所下降，但全年漏洞数量达到甚至超过 2019 年的水平。虽然第一季度已披露的漏洞数量同比下降了 19.2%，不过根据 Risk Based Security 的 VulnDB 团队对今年前三季度的统计，累计披露漏洞数量为 17129 个，和去年同期相比仅差 4.6%。[阅读原文]

3. Cloudflare和苹果等合作推出ODoH 改进DNS隐私保护

传统的 DNS 查询是明文的，其隐私问题越来越引起关注。为了保护用户隐私 IETF 标准化了两种协议 DNS over HTTPS (DoH) 和 DNS over TLS (DoT)去加密 DNS。Firefox 等已经加入了对 DoH 的支持，而云服务商 Cloudflare 是一个主要的公共 DoH/DoT 服务商。[阅读原文]

4. Chrome为开发者提供诸多新功能：扩展程序将新增隐私权限规则

在昨日召开的 Chrome 开发者峰会上，谷歌 Chrome 团队面向开发者分享了非常多的新功能；包括针对扩展开发者更新了规则，以及进一步提高浏览器的整体性能等等。[外刊-阅读原文]

5. 苹果回应质疑：Apple Books等官方应用也遵循隐私保护新规

苹果公司昨日宣布，App Store 针对隐私信息的新规范将适用于所有 iOS 应用程序，而这其中就包括自家应用程序。这就意味着通过 App Store 提供的数十个苹果应用程序（例如 Apple Books 和 Apple Podcasts）将会和第三方应用程序一样显示“营养标签”。[阅读原文]

6. 苹果、谷歌将对把数据卖给美国军方的X-Mode采取行动

据外媒报道，苹果和谷歌将采取措施以禁止位置数据经纪公司X-Mode进入其平台，此前该公司跟美国军方承包商的关系被曝光。据悉，X-Mode会从App Store和Google Play Store上的应用中获取位置数据，并将这些信息卖给跟美国军方和国家安全行业有关的承包商。[阅读原文]

优质文章

1. 18项App个人信息保护团体标准发布：按最小必要原则制定

12月9日消息，工信部日前组织中国信息通信研究院、电信终端产业协会制定发布了《App用户权益保护测评规范》10项标准和《App收集使用个人信息最小必要评估规范》8项系列标准。[阅读原文]

2. 前端无秘密：看我如何策反JS为我所用

近日，参加金融行业某私测项目，随意选择某个业务办理，需要向客户发送短信验证码，响应报文中包含大段加密数据，全站并非全参数加密，加密必可疑！尝试篡改密文，页面提示“实名认证异常”，猜测该密文涉及用户信息，且通过前端 JS 解密，验证之。[阅读原文]

3. 国内外最新网络安全发展态势

12月4日，中国科学技术大学宣布，该校中国科学技术大学潘建伟、陆朝阳等组成的研究团队与中科院上海微系统所、国家并行计算机工程技术研究中心合作，构建了 76 个光子 100 个模式的量子计算原型机 “九章”。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。