官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

• 资讯

全球动态

1. 美国国土安全部将启动新的漏洞赏金计划

美国国土安全部部长亚历杭德罗·马约卡斯当地时间12月14日表示，国土安全部正在启动一项漏洞赏金计划，拟邀请研究人员挖掘其系统的漏洞。[阅读原文]

2. 还有下一个吗？Log4j再爆第二个漏洞CVE-2021-45046

媒体最新报道，在全球网络安全专家试图修补或缓解史上最严重漏洞CVE-2021-44228之际，12月14日发现了第二个涉及Apache Log4j的漏洞。[阅读原文]

3. Log4j漏洞可能需要数月甚至数年时间才能妥善解决

网络安全专家认为 CVE-2021-44228 的普遍性以及容易被利用，这个 Log4j 中的远程代码执行漏洞可能需要数月甚至数年时间才能得到妥善解决。[阅读原文]

4. 在财务和诉讼压力下 NSO考虑中止运营Pegasus间谍软件

用于攻击记者、人权活动家和被压迫者使用的iPhone的Pegasus（飞马座）间谍软件背后的安全公司NSO集团，正在考虑通过关闭有关项目来摆脱丑闻的影响。[阅读原文]

5. 国内APP收集使用个人信息不断规范

APP过度收集使用个人信息、启动弹窗索要无关权限等问题困扰着许多人的日常信息通信生活。[阅读原文]

6. 黑客利用 Log4Shell 在 Windows 系统上投放 Khonsari 勒索软件

研究人员发现，攻击者正试图利用 Log4Shell 漏洞在 Windows 机器上传播新的 Khonsari 勒索软件。[外刊-阅读原文]

安全事件

1. 黑客利用 Log4J 漏洞发动大规模网络攻击

自上周五广泛使用的 Java 日志库 Log4J 曝出高危漏洞以来，黑客对全世界的企业发动了超过 84 万次攻击。[阅读原文]

2. FBI 意外发现HelloKitty 勒索软件团伙疑似在乌克兰境外活动

在调查一家医疗保健组织遭受的数据泄露事件时，联邦调查局意外透露，它认为 HelloKitty 勒索软件团伙在乌克兰境外开展活动。[外刊-阅读原文]

3. 小鹏汽车道歉：采集人脸数据全部删除，不存在泄露或违法使用情况

小鹏汽车发布道歉声明称，关于近期微博上的某媒体报道的小鹏汽车6个月采集43万张人脸照片一事，引起了用户的担心，对此深表歉意。[阅读原文]

4. 电信运营商成为近期间谍活动的目标

近日，赛门铁克Threat Hunter团队发布安全报告称，有不法组织正在对中东和亚洲地区电信运营商和IT服务商发起网络攻击。[外刊-阅读原文]

5. BHG遭网络攻击，大量居家治疗患者遭殃

阿片类药物治疗网络 Behavioral Health Group（简称“BHG”）遭受了一次攻击，迫使其关闭了部分 IT 网络以防止攻击蔓延，导致其 IT 系统和患者护理中断近一周。[外刊-阅读原文]

6. 弗吉尼亚州立法部门遭受勒索软件攻击

勒索软件团伙袭击了弗吉尼亚州立法机关内的机构和委员会。[外刊-阅读原文]

优质文章

1. 后记：菠菜站点的攻克之旅

骗子服务器的最高权限虽然已经拿到，但这也只是技术层面的掌控，想要立案，需要提供尽量多的人员相关信息，如手机、银行卡等，但这些目前都并未采集到（前面虽然提到了某次源码有个银行账户，但后面发现那只是个测试号，百度出来一堆在用的…），所以还需要通过一些额外的手段去获取有用的信息。[阅读原文]

2. 从业余挖洞到微软漏洞研究员，我的遗憾、惊喜和建议

作为审计人员我们需要关注的是重入漏洞的特征：所有涉及到外部合约调用的代码位置都是不安全的。[阅读原文]

3. 老牌安卓银行恶意软件Anubis正对多款金融应用构成威胁

据BleepingComputer网站报道，Anubis Android银行恶意软件近期活动频繁，对近400家金融客户构成了威胁。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。