FreeBuf周报 | Gartner发布2022年新兴技术成熟度曲线;两款红米手机存在安全漏洞;Instagram跟踪用户网络活动
2022-8-19 13:49:36 Author: www.freebuf.com(查看原文) 阅读量:6 收藏

各位Buffer周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!

热点资讯

1、Gartner 发布 2022 年新兴技术成熟度曲线

Gartner 2022 年新兴技术成熟度曲线列出了 25 项值得关注的新兴技术,这些技术正在推动沉浸式体验的发展和扩展、加速人工智能(AI)自动化并优化技术人员交付。

2、网信办发布国内互联网算法备案清单,含微信、淘宝、抖音等30款App

8月12日,根据《互联网信息服务算法推荐管理规定》,国家网信办公开发布了境内互联网信息服务算法名称及备案编号。包括多个大型企业和产品的相关算法,比如网易、360、快手、微博、美团、优酷、百度、抖音、小米、天猫、淘宝、苏宁易购、富途牛牛、微信、腾讯等。

3、“五眼”联盟国家参与美国网络司令部大型年度演习

美国网络司令部举行年度大型演习“网络旗帜22”,“五眼”联盟国家的网络保护团队(CPT)均参与了此次演习。

4、Instagram 被曝通过 App 内浏览器跟踪用户网络活动

IT之家 8 月 14 日消息,对 Meta 旗下 Instagram 应用程序的一项新分析表明,每次用户点击应用程序内的链接时,Instagram 都能够监控他们的所有交互、文本选择,甚至是文本输入,例如内部网站内密码和私人信用卡详细信息应用程序。

5、《网络安全标准实践指南——健康码防伪技术指南(征求意见稿)》发布

《指南》依据有关政策法规要求,做好支撑疫情防控工作,防止健康码伪造安全风险,对健康码防伪提供技术实践参考。

安全事件

1、黑客组织 Lazarus 冒充 Coinbase 针对 IT 求职者发起攻击

黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件,冒充 Coinbase 招聘信息并吸引金融技术领域的员工。

2、研究人员在Intel、AMD处理器中发现了ÆPIC和SQUIP漏洞

一组研究人员透露了一个影响英特尔 CPU 的新漏洞的详细信息,该漏洞使攻击者能够从处理器获取加密密钥和其他秘密信息。

3、两款红米手机存在安全漏洞,可能被利用来禁用移动支付

Check Point发现,红米Note 9T和红米 Note 11型号中存在安全漏洞,这些漏洞可能被利用来禁用移动支付机制,甚至通过设备上安装的流氓Android应用程序进行交易。

4、利用macOS端Zoom安装器漏洞,黑客可接管用户Mac

一名安全专家近日发现利用 macOS 端 Zoom 应用程序,掌控整个系统权限的攻击方式。上周五在拉斯维加斯召开的 Def Con 黑客大会上,Mac 安全专家帕特里克·沃德尔(Patrick Wardle)在演讲中详细介绍了这个漏洞细节。

5、首批针对星链卫星网的攻击手法曝光:篡改接入终端执行任意代码

研究人员只需要花费25美元,就能用小零件制作出硬件入侵工具,在星链卫星天线上运行任意代码。

一周好文共读

1、聊聊新版风险评估的变化

经过15年时间,和2007版相比,新版《信息安全风险评估方法》(以下简称“风评”)有了较大的变化。

新版风评简化了要素关系,只保留了资产、脆弱性、威胁、安全措施和风险要素,本以为这将一定程度减少风评整体工作量,但实际上并没有,反而增加了很多需要计算的过程。

2、数据出境安全合规路径梳理

企业要开展数据出境合规工作,需要掌握和了解多部法律法规及技术标准,还是有一定难度的(必要时需要借助专业的机构进行梳理),因此作者在实践过程中,总结了现阶段的数据出境合规路径。合规路径一:数据出境安全评估;二:个人信息安全认证;三:按照国家网信部门制定的标准合同与境外接收方订立合同。

3、Redis未授权漏洞蜜罐模拟与捕获分析

文章主要分析Redis未授权漏洞的原理及形成原因,使用vulhub靶场进行漏洞复现,在了解漏洞原理并复现的基础上使用golang编写蜜罐代码进行模拟,开放端口在网上捕获真实存在的恶意攻击行为,对恶意样本进行分析,总结出威胁情报。

安全工具

1、如何使用SilentHound枚举活动目录域

SilentHound是一款针对活动目录域安全的检测工具,该工具可以通过LDAP解析用户、管理员和组信息,并以此来在后台悄悄枚举活动目录域。该工具由Layer8 Security的NickSwink开发和维护,基于纯Python开发。

2、如何使用truffleHog敏感数据以保护代码库安全

truffleHog是一款功能强大的数据挖掘工具,该工具可以帮助广大研究人员轻松从目标Git库中搜索出搜索高熵字符串和敏感数据,我们就可以根据这些信息来提升自己代码库的安全性了。该工具可以通过深入分析目标Git库的提交历史和代码分支,来搜索出潜在的敏感信息。

3、LAUREL:一款功能强大的Linux事件日志审计和转换工具

LAUREL是一款功能强大的Linus事件日志处理插件,可以帮助广大研究人员处理Linux系统事件日志,并对其进行后续处理,以便将日志应用到其他现代安全监控系统之中。


文章来源: https://www.freebuf.com/articles/342403.html
如有侵权请联系:admin#unsafe.sh