?

各位下午好，今天是 2020年 6月 1號，星期一

今天的內(nèi)容主要有：

?

?

l? Java庫fastjson被曝存“高?！边h(yuǎn)程代碼執(zhí)行漏洞；

l? NSA發(fā)警告：俄黑客組織Sandworm滲入電子郵件軟件；

l? 研究人員發(fā)現(xiàn)“Apple 登錄”安全漏洞：某些用戶帳戶可能被接管

?

?

?

?

?

?

?

?

? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?

?

【全球態(tài)勢】

?

?

1.NSA發(fā)警告：俄黑客組織Sandworm滲入MTA Exim已有數(shù)月時間

據(jù)外媒報(bào)道，上周，美國安局(NSA)警告公眾，俄羅斯軍方網(wǎng)絡(luò)攻擊者至少已經(jīng)利用一個版本的電子郵件軟件長達(dá)數(shù)月之久。據(jù)悉，這個受影響的郵件系統(tǒng)是用于基于Unix的系統(tǒng)的MTA軟件–Exim mail。該軟件默認(rèn)安裝在許多Linux發(fā)行版中。

2.思科VPN服務(wù)器遭黑客入侵

思科披露六臺用于提供VPN服務(wù)的服務(wù)器遭黑客入侵，攻擊者利用了4月底公開的 Salt 組件漏洞。思科的Virtual Internet Routing Lab Personal Edition (VIRL-PE) 和Cisco Modeling Labs Corporate Edition都整合了Salt管理框架，而Salt在四月底披露了兩個高危漏洞。

3.GitHub警告開源供應(yīng)鏈攻擊Octopus Scanner

GitHub安全博客警告了針對的Apache NetBeans IDE項(xiàng)目的開源供應(yīng)鏈攻擊Octopus Scanner。GitHub 稱它在3月9日收到了被稱為 JJ 的安全研究人員發(fā)來的警告，稱發(fā)現(xiàn)一組感染了惡意程序Octopus Scanner的開源庫。

4.西部數(shù)據(jù)因在NAS存儲產(chǎn)品中混入SMR盤而遭到起訴

上個月，三大硬盤制造商西部數(shù)據(jù)、希捷和東芝都公開承認(rèn)機(jī)械硬盤產(chǎn)品混用了SMR技術(shù)。今天流行的機(jī)械硬盤主要采用兩種技術(shù)：CMR/PMR（垂直磁記錄）和SMR（疊瓦式磁紀(jì)錄），其中SMR技術(shù)寫入性能較差，能在降低成本的同時將存儲容量提升 20%。

5.Clearview AI因未經(jīng)授權(quán)收集人像數(shù)據(jù)而遭到起訴

鑒于伊利諾伊州率先在美啟用了有關(guān)生物特征測定的隱私保護(hù)法律，ACLU已將未經(jīng)授權(quán)收集人像數(shù)據(jù)的Clearview AI公司告上了法庭。據(jù)悉，Clearview AI涉及在幾個月的時間里，從互聯(lián)網(wǎng)上收集了超過 30 億張人臉照片。

6.新加坡研究人員利用量子密碼技術(shù)增強(qiáng)網(wǎng)絡(luò)加密

新加坡理工大學(xué)和新加坡國立大學(xué)正在尋求利用量子密碼技術(shù)來構(gòu)建網(wǎng)絡(luò)加密工具。因此，這些工具將可以緩解量子計(jì)算成為主流趨勢時可能出現(xiàn)的安全風(fēng)險(xiǎn)。

7.Gartner發(fā)布云安全能力評估報(bào)告：阿里云全球第二，僅次于微軟

近日，Gartner發(fā)布《Solution Comparison for the Native Security Capabilities 》報(bào)告，首次全面評估全球TOP云廠商的整體安全能力。據(jù)IT之家了解，阿里云是亞洲唯一入圍廠商，其整體安全能力拿下全球第二，11項(xiàng)安全能力被評估為最高水平（High），超過亞馬遜，僅次于微軟。

?

?

?

【安全事件】

1.研究人員發(fā)現(xiàn)“Apple 登錄”安全漏洞：某些用戶帳戶可能被接管

據(jù)外媒報(bào)道，研究人員 Bhavuk Jain 在四月份發(fā)現(xiàn)了一個嚴(yán)重的「使用 Apple 登錄」漏洞，該漏洞可能導(dǎo)致某些用戶帳戶被接管。值得一提的是，這個 Bug 特定于使用“通過Apple登錄”功能且未實(shí)施其它安全措施的第三方應(yīng)用。]

2.Java庫fastjson被曝存“高危”遠(yuǎn)程代碼執(zhí)行漏洞

fastjson 當(dāng)前版本為1.2.68發(fā)布于3月底，日前某安全運(yùn)營中心監(jiān)測到，fastjson <= 1.2.68版本存在遠(yuǎn)程代碼執(zhí)行漏洞，漏洞被利用可直接獲取服務(wù)器權(quán)限，漏洞等級定為“高?！?。

3.黑客泄露了暗網(wǎng)托管提供商的數(shù)據(jù)庫

黑客泄漏了Daniel’s Hosting（DH）的數(shù)據(jù)庫，該數(shù)據(jù)庫是提供暗網(wǎng)服務(wù)最大的免費(fèi)網(wǎng)絡(luò)托管提供商。泄漏的數(shù)據(jù)包含電子郵件地址，站點(diǎn)管理員密碼和.onion域私鑰。

4.出于安全方面考慮OpenSSH宣布放棄對SHA-1認(rèn)證方案的支持

OpenSSH在公告中引用了SHA-1散列算法中存在的安全問題，被業(yè)內(nèi)認(rèn)為是不安全的。該算法在2017年2月被谷歌密碼學(xué)專家破解，可利用SHAttered技術(shù)將兩個不同文件擁有相同的SHA-1文件簽名。

5.中國信通院啟動云服務(wù)IPv6支持度評測項(xiàng)目

為深入貫徹落實(shí)《工業(yè)和信息化部關(guān)于開展2020年IPv6端到端貫通能力提升專項(xiàng)行動的通知》，大幅提升云服務(wù)平臺IPv6業(yè)務(wù)承載能力，中國信息通信研究院于2020年5月25日在京組織召開“IPv6評測監(jiān)測工作組暨IPv6規(guī)模部署專項(xiàng)協(xié)同推進(jìn)工作組會議”，全面開啟云服務(wù)IPv6支持度評測項(xiàng)目。

?

?

?

?

HXnetwork----你的私人網(wǎng)絡(luò)安全通報(bào)中心！

資料來源網(wǎng)絡(luò)，HXnetwork整理；希望對你有所幫助！

?

?

?

?

?

?

?