全球动态

1.苹果缩短网站安全证书有效期提案遭部分站长反对

苹果缩短网站安全证书有效期从 398 天到 45 天的提议，引起了部分站长和系统管理员的公开反对。【阅读原文】

2.美国陆军网络部队TIAD将专注于应对全球信息威胁

美国陆军网络司令部新成立的战区信息优势分队（TIAD）将专注于跨区域威胁，聚焦美军在信息空间面临的全球威胁，并将通过权力协调和跨机构合作为作战指挥官提供作战支持。【阅读原文】

3.芬兰查封“Sipultie”暗网毒品市场的服务器

芬兰海关关闭了该网站并没收了暗网市场“Sipulitie”的服务器，犯罪分子在那里匿名出售非法麻醉品。该机构今天早些时候的公告称，该网站同时迎合并用芬兰语和英语用户，其运营商声称营业额为 130 万欧元。【外刊-阅读原文】

4.思科机密开发数据疑遭大规模泄漏

根据IntelBroker的帖子，窃取的数据包括Github和Gitlab上的项目代码、SonarQube分析结果、硬编码凭证、证书、客户源代码文件、思科机密文件等。【阅读原文】

5.大众汽车集团遭遇8Base勒索软件攻击

8Base黑客组织声称已经窃取了大量大众集团机密信息，包括发票、合同、员工文件以及其他敏感公司信息。 【阅读原文】

6.泄露国家公共数据泄露的 USDoD 黑客在巴西被捕

一位名叫 USDoD 的臭名昭著的黑客与国家公共数据和 InfraGard 泄露事件有关，已在“数据泄露行动”中被巴西 Polícia Federal 逮捕。【外刊-阅读原文】

安全事件

1. SolarWinds Web Help Desk曝出严重漏洞，已遭攻击者利用

近日，CISA 在其 “已知漏洞”（KEV）目录中增加了三个漏洞，其中一个是 SolarWinds Web Help Desk (WHD) 中的关键硬编码凭据漏洞，供应商已于 2024 年 8 月底修复了该漏洞。【外刊-阅读原文】

2.恶意广告利用 Internet Explorer 零日漏洞来投放恶意软件

朝鲜黑客组织 ScarCruft 于 5 月发起了一次大规模攻击，利用 Internet Explorer 零日漏洞感染了 RokRAT 恶意软件的目标并泄露了数据。【外刊-阅读原文】

3.关键的 Kubernetes Image Builder 漏洞为虚拟机提供 SSH 根访问权限

Kubernetes 中的一个严重漏洞可能允许对运行使用 Kubernetes Image Builder 项目创建的映像的虚拟机进行未经授权的 SSH 访问。【外刊-阅读原文】

4.Jetpack 插件修补严重漏洞，致使数百万人面临风险

由 Automattic 开发的 Jetpack WordPress 插件最近推出了一项重要的安全更新，以解决影响大约 2700 万个网站的漏洞。此 Jetpack 漏洞允许登录用户访问使用该插件的网站上提交的表单，从而对用户和网站所有者构成潜在的隐私风险。【外刊-阅读原文】

5. FIDO 联盟起草新协议以简化跨不同平台的密钥传输

FIDO 联盟表示，它正在努力使通行密钥和其他凭据更容易在不同提供商之间导出，并提高凭据提供商的互操作性，因为超过 120 亿个在线帐户可以通过无密码登录方法访问。【外刊-阅读原文】

6.Apache CloudStack 在最新版本中修补了重大安全漏洞

Apache CloudStack 项目宣布发布 LTS 安全版本 4.18.2.4 和 4.19.1.2，以解决四个安全漏洞，其中两个被评为 “重要”。CloudStack 是一个流行的开源平台，用于构建和管理基础设施即服务（IaaS）云。 【阅读原文】

优质文章

1.以目标和场景为导向的安全规划分析思路

整体治理思路需要遵循PDCA的方法论，开展全方位的评估与规划，建立和完善信息安全治理体系，确保安全内控的重点落地，促进体系化建设，最终实现信息安全的持续改进和优化。【阅读原文】

2. 指针分析与Java反序列化利用链挖掘实践（一）

本系列文章将以SAST引擎开发者的视角，讲述笔者如何在实际的漏洞挖掘场景下，利用指针分析等程序分析手段，实现半自动化的Java反序列化利用链挖掘方案。本文是该系列文章的第一篇，主要讲述必要的概念、核心原理、核心思路和算法。【阅读原文】

3. 等保2.0测评 — 容器安全扩展要求（安全计算环境）

使用该扩展要求后，还需对整个集群内涉及的各类系统进行安全通用要求测评。例如管理平台Rancher v2.8.2，还需要作为系统管理软件进行测评，容器宿主机（节点） 当作主机测评对象、 容器管理平台作为系统管理、软件测评对象、 集群网络作为网络测评对象、 业务应用软件（可能是独立容器镜像， 也可能是多个容器镜像共同组成） 作为应用测评对象。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。