全球动态

1.FTC警告：企业若未能修补Log4j漏洞则将可能要面临法律后果

美联邦贸易委员会(FTC)警告称，如果美国企业未能保护客户数据免受Log4Shell（广泛使用的Log4j Java日志库中的一个零日漏洞）的影响，那么可能要面临法律后果。 [阅读原文]

2.新型网络诈骗：受访者指出购物和网贷诈骗最常见

“电商刷单，让你在家动动手指就能赚钱”“跟着老师炒股赚大钱”……在网上，用户经常能从各类软件推送中收到类似的消息，这些诱人的“馅饼”背后，却是危险的“陷阱”。[阅读原文]

3.谷歌发布新的 Chrome 更新以修补数十个新的浏览器漏洞

谷歌已经在 2022 年推出了其 Chrome 网络浏览器的第一轮更新，以修复 37 个安全问题，其中一个安全问题的严重程度被评为严重，可被利用来传递任意代码并控制受害者的系统。[外刊-阅读原文]

4. 谷歌出手，5 亿美元“拿下”以色列网络安全公司 Siemplify   

路透社披露谷歌旗下云计算部门完成收购以色列网络安全公司 Siemplify。据悉，为了顺利收购，谷歌为 Siemplify 支付了约 5 亿美元现金。[外刊-阅读原文]

5.以隐私为中心的 Brave 浏览器在 2021 年实现大幅增长

随着公司在 2021 年首次达到 5000 万月活跃用户，专注于隐私的网络浏览器 Brave 继续快速增长。[外刊-阅读原文]

6.研究人员使用电磁信号对感染物联网设备的恶意软件进行分类

来自计算机科学与随机系统研究所 (IRISA) 的一组学者设计了一种新方法，分析来自物联网 (IoT) 的电磁场，以规避恶意软件设备。[外刊-阅读原文]

安全事件

1. 本田和讴歌汽车受千年虫影响，导航系统时钟倒退到2002年

本田和讴歌汽车遇到了 2022 年的错误，也就是 Y2K22，它将导航系统的时钟重置为 2002 年 1 月 1 日，而且无法更改。[外刊-阅读原文]

2. 诈骗者在网络冒充经纪商，骗取70名投资者5000万美元

美国一名加利福尼亚男子和他的同谋创建了欺诈网站，宣传各种投资机会，通过互联网向投资者招揽资金。在 2012 年至 2020 年 10 月之间的八年内从约70名投资者那里骗取了大约 5000 万美元。[外刊-阅读原文]

3.葡萄牙主要新闻网站在袭击后仍处于离线状态

在1 月 2 日的攻击之后，葡萄牙最大的媒体集团、葡萄牙报纸 Expresso 和 SIC 电视频道的母公司 Impresa Sociedade Gestora de Participacoes Sociais SA宣布，Expresso、SIC 和 Blitz 杂志的网站暂时无法使用，这阻碍了其报道葡萄牙新闻的能力。[外刊-阅读原文]

4. 恶意软件ZLoader利用微软的数字签名验证窃取敏感信息

据研究人员称，Zloader 恶意软件活动一直在利用微软的数字签名验证来窃取 cookie、密码和敏感信息。[外刊-阅读原文]

5.研究人员揭露了一个长期潜伏的金融盗窃团伙——Elephant Beetle

该团伙以交易处理系统为目标，从拉美地区的金融实体中窃取资金至少长达4年。[外刊-阅读原文]

6.iOS 恶意软件可假装 iPhone 关机并调用摄像头、麦克风

研究人员开发了一种新技术，可以伪造 iPhone 关机或重启，防止恶意软件被删除，并允许黑客秘密监听麦克风并通过实时网络连接接收敏感数据。[外刊-阅读原文]

优质文章

1. SDL：安全性非功能需求识别表

本需求表参考国标《GBT38674-2020信息安全技术 应用软件安全编程指南》、《OWASP安全编码规范快速参考指南》与业内实践创建，从数据清洗、数据加密与保护、访问控制、日志安全、资源使用安全、环境安全六个方面，梳理共200余项，供各位读者结合实际情况提取使用。[阅读原文]

2. 渗透测试之地基服务篇：服务攻防之框架Struts2（下）

学习Struts2-045至Struts2-061的全部远程代码执行攻击总结、实战武器Struts2的总结RCE使用经验等等操作。[阅读原文]

3. 网信办等四部门发布《互联网信息服务算法推荐管理规定》

《规定》明确“应用算法推荐技术”，是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。