全球动态

1. 网信办就《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》公开征求意见

9月14日，网信办发布了关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定（征求意见稿）》意见的通知。【阅读原文】

2. 没隐私钱赚了，报告称苹果 App 追踪透明度导致 iPhone 应用内购价格涨了 40%

一份报告显示，自去年以来，苹果 iOS 上的应用内购买的平均价格上涨了 40%，其中一个主要原因是苹果的 App 追踪透明度（App Tracking Transparency，ATT）隐私功能，该限制使得应用的获客成本变高了。【阅读原文】

3. 吹哨人指控Twitter“重利润，轻安全”：为马斯克弃购提供新理由

据报道，Twitter前安全主管指控这家社交媒体公司的领导层“重利润，轻安全”，为埃隆·马斯克（Elon Musk）弃购Twitter提供了重要借口。 佩特·扎特克（Peiter Zatko）在美国参议院司法委员会举行的听证会上表示，Twitter“十多年来始终落后于行业安全标准”。【阅读原文】

4. IDC：2022上半年中国IT安全硬件市场规模同比下降2%

IDC《2022年第二季度中国IT安全硬件市场跟踪报告》显示，2022年第二季度中国IT安全硬件市场厂商整体收入约为6.9亿美元（约合45.6亿元人民币），规模同比下降12%。综合上半年数据，2022上半年中国IT安全硬件市场规模达到12.3亿美元，同比下降2%。【阅读原文】

5. Google 和 Meta 因非法收集个人信息被韩国罚款千亿韩元

Google 和 Meta 涉嫌在韩国未经用户同意收集个人信息并将此用于在线投放个性化广告，分别被罚 692 亿韩元和 308 亿韩元。【阅读原文】

6. 安全研究人员警告称，一技术缺陷能让黑客成功盗窃特斯拉汽车

安全研究人员揭示了汽车制造商特斯拉用于解锁其汽车的技术中一个潜在缺陷，该缺陷使车辆容易被黑客盗取。【外刊-阅读原文】

安全事件

1. 加州极端高温使Twitter失去了一个关键数据中心

9月5日，由于极端天气，Twitter经历了其萨克拉门托（SMF）数据中心区域的损失。这一前所未有的事件导致SMF的物理设备完全关闭。 【阅读原文】

2. 黑客正使用“袜子木偶”进行更逼真的网络钓鱼攻击

一个与伊朗结盟的黑客组织使用一种新的、精心设计的网络钓鱼技术，他们使用多个角色和电子邮件帐户来引诱目标认为这是一个真实的电子邮件对话。【外刊-阅读原文】

3. WPGateway Wordpress 插件中的零日漏洞在攻击中被积极利用

Wordfence 威胁情报团队9月13日警告说，WordPress 网站是针对 WPGateway 高级插件中零日漏洞攻击的积极目标。【外刊-阅读原文】

4. 荷兰警方逮捕一名洗钱数千万被盗加密货币的男子

荷兰警方逮捕了一名 39 岁的男子，他涉嫌清洗在网络钓鱼攻击中被盗的价值数千万欧元的加密货币。【外刊-阅读原文】

5. 趋势科技警告被积极利用的 Apex One RCE 漏洞

安全软件公司趋势科技9月13日警告客户，要尽快修补积极利用的 Apex One 安全漏洞。

【外刊-阅读原文】

6. 与伊朗有关的 TA453 在最近的攻击中使用了新的多人模拟技术

该活动针对专门从事中东事务、核安全和基因组研究的个人。攻击者在一个电子邮件线程中使用至少两个参与者控制的角色来瞄准他们的受害者。【外刊-阅读原文】

优质文章

1. 利用 OLE 对象漏洞的 HWP 恶意文件浮出水面

ASEC 分析人员发现了一个利用 OLE 对象的恶意 HWP 文件，尽管其使用了 2020 年就被识别的恶意 URL，但仍然使用了 Flash 漏洞（CVE-2018-15982），需要用户谨慎对待。【阅读原文】

2. Tomcat Servlet 型内存马流程理解与手写 EXP

Servlet 内存马难度实在是不小，光是不同 Tomcat 获取 Context 就需要不少，而且 Servlet 还有动态注册一说。本文还是从流程 ——> 分析 ——> PoC 这一角度来看内存马。【阅读原文】

3. App“如影随形”，经营者如何把控个人信息保护合规要点？

互联网时代，App收集个人信息的规模逐渐增大的同时也带来了各类个人信息安全隐患，监管与执法日益加强，结合《个人信息保护法》以及《App违法违规收集使用个人信息行为认定方法》，本文将着重关注经营者合规要点。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。