全球动态

1.日本网安巨头趋势科技将被私有化出售

趋势科技正在与投资银行家合作，向包括私募股权公司在内的潜在买家征集意向，但他们提醒说，目前还不能确定是否有交易。【阅读原文】

2.《联合国打击网络犯罪公约》顺利通过

纽约时间8月8日下午，联合国打击网络犯罪公约特委会顺利通过公约草案。公约系网络领域首个由联合国主持制定的普遍性国际公约，将在全球范围内为打击网络犯罪国际合作提供法律框架，对网络空间国际法发展也有重大意义。【阅读原文】

3.新恶意软件使用流氓 Chrome 和 Edge 扩展程序攻击 30万用户

ReasonLabs研究团队在一份分析中说：“特洛伊木马恶意软件包含不同的可交付成果，从劫持搜索的简单广告软件扩展到更复杂的恶意脚本，这些脚本提供本地扩展以窃取私人数据并执行各种命令。【阅读原文】

4.微软2024财年发放了约1.2亿元漏洞赏金

2020年至2023年间，微软每年通过漏洞赏金计划支付大约1300万美元。不过在过去一年，即2023年7月1日至2024年6月30日之间，这一金额增加到了1660万美元。【外刊-阅读原文】

5. ADT 家庭安全漏洞在黑客论坛上暴露客户数据

ADT 是美国领先的家庭安全公司之一，该公司透露，其系统在上周末的一次网络攻击中被攻破。现在，在流行的在线黑客市场BreachForums上发现了一个所谓的客户私人信息ADT数据库出售。【外刊-阅读原文】

6. 研究人员发现了 Google 文件传输工具 Quick Share 中的 10 个漏洞

在 Google 适用于 Android 和 Windows 的 Quick Share 数据传输实用程序中发现了多达 10 个安全漏洞，这些漏洞可能会被组装起来以在安装了该软件的系统上触发远程代码执行 （RCE） 链。【外刊-阅读原文】

安全事件

1.新型网络钓鱼欺诈利用 Google 图纸和 WhatsApp 快捷链接

网络安全研究人员发现了一种新颖的网络钓鱼活动，该活动利用 Google 绘图和通过 WhatsApp 生成的缩短链接来逃避检测并诱骗用户点击旨在窃取敏感信息的虚假链接。【外刊-阅读原文】

2.NHS 软件供应商因勒索软件故障面临 600 万英镑的罚款

ICO决定处以巨额罚款，旨在对处理敏感数据的组织起到威慑作用和警钟。信息专员约翰·爱德华兹（John Edwards）强调了对数据泄露的个人造成的痛苦，以及组织优先考虑网络安全的必要性。【阅读原文】

3.Windows 降级攻击有可能使已打补丁的系统遭受旧漏洞的攻击

Microsoft表示，它正在开发安全更新，以解决两个漏洞，据称这两个漏洞可能被滥用于对Windows更新架构进行降级攻击，并用旧版本替换当前版本的操作系统文件。【外刊-阅读原文】

4.黑客泄露了 27 亿条带有社会安全号码的数据记录

在一个黑客论坛上泄露了近 27 亿条美国人的个人信息记录，暴露了姓名、社会安全号码、所有已知的实际地址和可能的别名。【外刊-阅读原文】

5.Wipro在Cyble AI威胁情报交易中获利

合作伙伴关系将把Cyble的人工智能和机器学习驱动平台整合到Wipro的网络安全风险框架中，以提供实时威胁情报、主动攻击面管理和全面的风险评估，以帮助保护Wipro的商业客户免受高级网络威胁。【外刊-阅读原文】

6.网络钓鱼诈骗使用伪装成身份验证器应用程序的恶意软件针对 Google 用户

Cyble Research and Intelligence Lab （CRIL） 最近的一项调查揭示了 Latrodectus 和 ACR Stealer 采用的新网络钓鱼计划。【外刊-阅读原文】

优质文章

1. Java代码审计实战篇：超详细分享文件上传

近期HW中遇到一个通用的站点，扫描目录发现了fileserver以及fileserver.zip源码包，可能是运维人员直接解压到web目录，但忘记删除压缩包，从而导致了这一漏洞点的诞生。【阅读原文】

2. CVE-2023-44487漏洞复现

对于漏洞原理，简而言之，就是HTTP/2协议有一个bug，它使得用户单方面可以取消通信（耗时短），而服务器需要耗时来处理该响应（耗时长），从而导致拒绝服务。【阅读原文】

3. 渗透实战 | 一次代码审计拿下目标站点

原站黑盒测了半天，目录扫描会ban ip，后台账号密码和前台注册邀请码爆破失败，前端js翻的眼都快瞎了，毛都没测出来，只能说一有大动作就完了。转战思路，根据特征在网上找了好长时间，终于找到了源码。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。