中国安全研究人员在 4 月 18 日披露了甲骨文刚刚修复的一个高危漏洞：Weblogic 反序列化漏洞（CVE-2018-2628）。安全研究人员是在去年 11 月将漏洞报告给了甲骨文，漏洞允许攻击者在未授权的情况下远程执行任意代码。

漏洞影响 Weblogic 10.3.6.0、12.1.3.0、12.2.1.2 和 12.2.1.3。研究人员公开了漏洞细节，随后该漏洞观察到被攻击者利用挖掘数字货币，以及安装勒索软件，整个过程无需任何点击或互动。

Cisco Talos 的研究人员报告，该漏洞至少从 4 月 21 日起就被活跃利用。攻击者被发现在尚未修复的计算机上安装一种新的勒索软件叫 Sodinokibi，除了加密重要的数据，该勒索软件还尝试毁掉备份，防止受害者简单利用备份恢复加密的数据。

奇怪的是，攻击者随后还利用相同的漏洞安装了另一种勒索软件叫 GandCrab。

来源：solidot.org

更多资讯

英国防大臣因泄露有关华为信息被开除，曾扬言派航母到南海

参考消息网 5 月 2 日报道 英媒称，英国首相特雷莎·梅办公室1日表示，英国国防大臣加文·威廉姆森因泄露有关中国电信公司华为的信息而被解雇。

来源： 参考消息

详情： http://t.cn/ESR5q9D

俄总统签署防范紧急状态下外部“断网”风险的法律

俄罗斯总统普京 5 月 1 日签署法律文件，以确保俄罗斯互联网在遭遇外部“断网”等冲击时仍能稳定运行。俄罗斯媒体 1 日报道说，根据普京签署的法律，俄罗斯将建立本国的域名系统，即存储和获取网络地址及域名信息的系统。

来源： 新华网
详情： http://t.cn/ESR5Ioo

日本欲开发电脑病毒来抵御网络攻击

据外媒报道，消息人士称，日本将在明年 3 月之前开发出首个用于抵御网络攻击的电脑病毒。消息人士周一表示，日本防卫省正在考虑一种能够侵入电脑系统的恶意软件，希望借此起到威慑网络攻击的作用。

来源： cnBeta.COM

详情： http://t.cn/ESRtwEF

助力线上隐私保护：DuckDuckGo提出《请勿追踪》立法草案

注重用户隐私安全的 DuckDuckGo，刚刚宣布了一份《2019 请勿追踪》草案。尽管不会很快成为正式的法律，但 DuckDuckGo 还是希望此举能够敦促网站尊重用户的“Do-Not-Track”选项设置，成为国内外立法机构通过此类隐私法案的一个参考起点。今年早些时候，DuckDuckGo 进行了一项研究，发现 1/4 的用户已经开启了“请勿追踪”的设置，约为 7500 万美国人和 1.15 亿欧盟公民。

来源： cnBeta.COM

详情： http://t.cn/ESRtGiC

（信息来源于网络，安华金和搜集整理）

近日， 黑鸭软件 （ Black Duck Software ） 发布了开源安全与风险分析（OSSRA）年度报告，报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说，开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因，其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。

在黑鸭审查的所有代码库中，有 96% 包含了开源组件，而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中，开源代码的采用率高达 99%。

开源代码有着它的安全优势，但也存在着安全漏洞未修补的隐患，开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中，至少包含一个漏洞的代码库占 60% ，这个数字比 2017 年统计的结果 78% 有所下降。

黑鸭认为，发现的漏洞有 40% 都是关键级的。“事实上，开源并不总是更安全。”报告指出，无论项目源码是专有的还是开源的，都可能因为漏洞的存在，安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。

报告中发现漏洞的平均“年龄”为 6.6 岁。其中，最老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞，在 28 年前被披露。报告结果显示，有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处，也没有对组件目录进行系统管理，这些软件没有打新的补丁，更容易被攻击。

“一般只有少数开源漏洞，比如那些影响 ApacheStruts 或 OpenSSL 的漏洞，有可能被广泛利用。”研究人员表示，项目组织应该把他们的开源漏洞管理和缓解工作的重点放在 cvss 评分和漏洞的可用性上，在关注 “0day” 的同时，也应该关注开源组件的生命周期。

来源：开源中国

更多资讯

黑客届“奥斯卡”来了！国际安全技术大牛 5 月底齐聚北京

随着网络安全问题越来越引发全球关注，对黑客、安全漏洞等话题感兴趣的极客和技术爱好者们将在北京迎来盛会。有黑客界“奥斯卡”之称的 DEF CON 近日宣布，即将举办 DEF CON CHINA Baidu 安全行业国际峰会，5月31日至6月2日，数千名全球安全技术大牛将齐聚北京 751D·PARK，同台切磋技艺。

来源： 北京日报客户端
详情： http://t.cn/ESl6YeJ

还在随便下载软件？CNCERT 公布 116 个高危恶意程序

2019 年 2 月期间，国家互联网应急中心（简称“CNCERT”）在全国范围内继续开展计算机恶意程序传播渠道安全监测工作，对已备案的计算机软件下载站进行安全监测，判定计算机恶意程序 216 个，其中高危恶意程序 116 个，涉及 8 个省份的 11 家软件下载站及应用商店。2019 年 4 月下旬，CNCERT 将本次监测结果形成报告对外发布。

来源： FreeBuf.COM

详情： http://t.cn/ESl6mGB

阿桑奇在英被判 50 周监禁处罚

据英国“天空新闻”刚刚消息，维基解密创始人阿桑奇在英被判50个星期监禁。“你曾有一个选择，你选择的行动就是犯罪，”该法院法官德博拉·泰勒在法庭上说，“你没有心甘情愿地投向......你不会自愿到法院来。”随后，泰勒宣布阿桑奇被判“50 周监禁”。

来源： 环球科技

详情： http://t.cn/ESlXhc5

Windows 10 的安全功能使得基于 Chromium 的浏览器运行慢了三倍多

正如 Vivaldi 开发人员所揭示的那样，Windows 10 中内置的安全功能使基于 Chromium 的浏览器在测试环境中的速度降低了三倍多。Yngve Pettersen 在博客文章中解释说，开发人员在将 Windows 10 测试人员添加到 Windows 单元测试集群时发现了这个性能问题。

来源： cnBeta.COM

详情： http://t.cn/ESlXLjD

（信息来源于网络，安华金和搜集整理）

本月早些时候，微软透露它的 Outlook.com、Hotmail 和 MSN 服务遭到未知攻击者入侵。现在，部分受害者声称黑客窃取了他们的加密数字货币。一位受害者提供了屏幕截图，称黑客访问了他的收件箱，重置了他的 Kraken [dot] com 账号，撤回了比特币。

Kraken 是一个受欢迎的数字货币交易所。这位受害者展示了微软的通知以及黑客在其邮箱设置的转发规则：所有提到 Kraken 的邮件都被转发到了黑客控制的 Gmail 邮箱。

但目前还无法确认此次入侵是否真的针对数字货币。

来源：solidot.org

更多资讯

破解版电视盒调查：隐藏在盗版资源背后的严重安全隐患

援引安全机构 Sophos 报道，互联网安全组织数字公民联盟（DCA）近日发布报告称很多深受盗版用户青睐的破解版流媒体设备充斥着各种恶意软件。这些破解设备通过 eBay、Craigslist 或暗网等渠道进行销售，价格在 75 美元到 100 美元之间。

来源： cnBeta.COM

详情： http://t.cn/ESoeu6x

阿联酋领衔全球加密货币市场 今年前四月销售超 2.1 亿美元

彭博援引 CoinSchedule 的报告称，阿联酋刚刚成为了全球数字代币市场的一枝独秀。在截止今年 4 月初的募资总额中，该国就贡献了 1/4 以上。数字货币市场追踪者 CoinSchedule 上周公布的数据显示，阿联酋的销售额已超 2.1 亿美元，从市场的长期领导者（美国）手中夺过了第一的名号。作为对比，自 2018 年以来，美国市场在最近几个月，首次跌到了第 7 位。

来源： cnBeta.COM

详情： http://t.cn/ESoeDSZ

2018 年近 40% 网络流量来自机器人

网络安全服务商 Distil Networks 近期发布了关注自动化网络流量现状的 2019 年 Bad Bot 报告，该报告指出在 2018 年，由机器人产生的网络流量占到了所有流量的 37.9％。报告中提及的机器人流量包含两种情况：合法机器人与恶意机器人产生的流量。

来源： 开源中国

详情： http://t.cn/ESoD7YJ

网络交易监督管理办法征求意见：收集消费者个人信息不得用一次性授权方式

4 月 30 日，网络交易监督管理办法公开征求意见，征集意见的时间至 5 月 29 日。《电子商务法》已于 2019 年 1 月 1 日起正式实施，市场监管总局在修改《网络交易管理办法》（原工商总局令第60号）基础上，起草了《网络交易监督管理办法（征求意见稿）》。《办法（征求意见稿）》共6章70条，包括总则、网络交易经营者、消费者权益保护、监督管理、法律责任、附则，重点对“用户信息收集使用保护问题”等进行了修改、补充、完善。

来源： 北青网

详情： http://t.cn/ESoDUzy

（信息来源于网络，安华金和搜集整理）

据外媒 Neowin 报道，网络钓鱼并不是一个关于网络安全的新话题，尽管经常会发现新的和创造性的方法来实施这种做法。其中一种方式是新发现并巧妙地被命名为“盗梦空间栏”的网络钓鱼方法。

由开发人员 James Fisher 提供，这个相当简单的技巧已在 Chrome 移动版中得到证明，并利用了浏览器在地址栏方面的行为。当用户向下滚动时，为了给网页留出更多空间，Chrome 会隐藏地址栏，而这正是这个所谓的“盗梦空间栏”的用武之地。

如上所述，概念证明使用汇丰网站作为用户所在的真实网站的替代品。这是通过 Fisher 称之为“滚动监狱”的东西来完成的，其中页面的整个内容被困在一个带有 overflow：scroll 的新元素中，从而在浏览器中创建一种浏览器 —— 对 2010 年的《盗梦空间》的“梦中梦”的概念的引用。虚假地址栏甚至可以进行交互。

为了创造一个更精细的错觉，开发人员表示，具有恶意意图的人可能会在“滚动监狱”的顶部添加“非常高的填充元素”。这样做是为了防止 Chrome 在用户向上滚动时重新显示地址栏的正常行为。实际上，这看起来像页面刷新。

虽然通过简单地导航到 Chrome 的一个菜单就可以打破错觉，但这仍然被认为是一种令人不安的实施网络钓鱼攻击的方式。

来源：cnBeta.COM

更多资讯

涉案金额 2.3 亿 春节档电影侵权盗版系列专案侦破

公安部今天在江苏扬州召开新闻发布会，通报公安部部署开展打击春节档电影侵权盗版违法犯罪活动、成功办“2·15”系列专案工作情况。今年春节期间《流浪地球》《飞驰人生》《疯狂的外星人》等几部热播电影上映后，出现了大规模盗版，不仅严重侵害了影视作品制作方、出品人的合法权益，而且严重影响了我国影视行业提质升级发展。

来源： 央视财经

详情： http://t.cn/ESI1T1M

法国新区块链法规定银行不能随意拒绝为虚拟货币初创公司提供服务

据外媒报道，在发达国家中，法国对加密货币和区块链公司监管的新做法可以说是前卫的。或许最引人注目的例子就是，法国金融市场监管机构（AMF）起草的监管框架，其目的是消除此类初创企业长期以来面临的一个争议点：银行关系。

来源： cnBeta.COM
详情： http://t.cn/ESI1u95

iPod 之父：苹果屏幕时间功能存在很多漏洞和不足

4 月 29 日消息，据国外媒体报道，苹果近日在屏幕时间应用方面陷入了麻烦之中，其被外媒报道对大量的第三方这一类应用进行了限制，部分还被其从 App Store 中移除，部分开发商认为苹果此举是为了打压竞争对手，以扶持自家的屏幕时间控制功能，两款应用的开发商还因此而将苹果投诉至欧盟的竞争办公室。

来源： TechWeb

详情： http://t.cn/ESI1Dkh

GoDaddy 宣布移除 1.5 万个涉嫌销售假冒产品的欺诈子域名

网络托管服务提供商和域名注册商 GoDaddy 宣布已删除下架超过 15000 个子域名。这些子域名被黑客用于发送垃圾邮件，向消费者出售假冒伪劣产品。用户通常会收到各种宣传产品的垃圾邮件，如果受害者点击这些电子邮件中的链接，就会跳转访问托管在合法网站下的子域名，在该网站合法所有者不知情的情况下牟取利益。

来源： cnBeta.COM

详情： http://t.cn/ESIBZxB

（信息来源于网络，安华金和搜集整理）

Tobii 是一家专注于眼动追踪技术的科技企业，周五的时候，该公司宣布了可以让你的视线离开计算机时，保护屏幕信息隐私的新软件“Aware”。据悉，其适用于任何配备了 Windows Hello 功能的设备，当用户视线暂时离开屏幕时，它将模糊并锁定屏幕。该公司称，当您回头与他人交谈、望向窗外、或者临时出去喝一杯咖啡的时候，Aware 可以及时地帮你保护显示器上的信息隐私。

这项技术还可以让屏幕变暗，以节省电量。通过多显示器设置，Aware 能够瞬间将光标（甚至窗口）发送到另一台屏幕。最后，软件会记录屏幕使用时间，并在必要时给出休息提醒。

软件适配方面，其支持几乎任何运行 Windows RS5+ 操作系统、且配备了 Windows Hello 摄像头的系统。

来源：cnBeta.COM

更多资讯

俄媒：阿桑奇可能受到美《间谍法》指控

在美国已提出引渡要求的情况下，5 月 2 日，现年 47 岁的维基解密网站创始人阿桑奇将在英国出庭接受引渡听证。俄罗斯 RT 电视台 27 日消息说，美国司法部一份文件显示，阿桑奇可能会因泄露机密材料而受到 《1917 年间谍法》 （ Espionage Act ） 指控。而根据该法案被定罪的人，可能会被处以死刑。

来源： 环球科技

详情： http://t.cn/ES7of9G

在美 100 辆共享奔驰车遭黑客入侵被盗，中国暂停运营

近日，据美国科技网站 TheVerge 报道，德国汽车租赁公司 Car2Go 在遭遇“黑客袭击”后，丢失了多达 100 辆奔驰豪华轿车。到目前为止，已有 21 人因涉嫌参与劫持汽车，并将其用于各种犯罪的计划而受到指控。

来源： 北京时间财经

详情： http://t.cn/ES7oX5S

联通移动发声：对涉嫌营销扰民电话号码依法处置

4 月 27 日，部分用户接收到中国联通发送的短信：根据国家有关规定，未经用户同意，任何组织和个人不得擅自向用户拨打商业营销电话。为维护用户合法权益，我们将对涉嫌营销扰民的电话号码进行依法处置。中国联通呼吁广大用户与我们携手抵制骚扰电话，共同营造清朗的通信环境。

来源： 中新网
详情： http://t.cn/ES7oKqk

凌晨 4 小时，三个“黑客”疯狂盗转 30 多万

今年 1 月 24 日，杭州某电商公司发现公司账户的钱被转走，根据系统显示，1 月 24 日凌晨 4 点多，先后有三位用户注册了他们公司的 APP，并通过技术手段篡改积分数据，先后盗转资金 30 多万元，简单说，公司的 APP 平台被“黑客”攻击了。

来源： 钱江晚报

详情： http://t.cn/ES7oNU1

（信息来源于网络，安华金和搜集整理）

恶意软件开发人员通过将恶意代码嵌入到硬件固件中让其更加狡猾，但北卡罗来纳州立大学和德克萨斯大学奥斯汀分校的研究人员已经开发出一种可靠的识别此类入侵的方法。通过测量系统及其中每个组件的功耗，可以确定存在恶意软件的类型。研究由洛克希德马丁公司和国家科学基金会赞助。

微架构攻击的本质使它们很难被发现，但研究人员找到了一种方法来检测它们。台式电脑不是这种创新的主要应用。物联网设备和工业嵌入式系统是重要的用例，这多这种设备没有操作系统，并且仅执行存储在非易失性存储器的一小部分机器代码。在部署到现实世界的大多数嵌入式系统中，防病毒软件甚至都不实用。

监控电源使用本身并不是一个新概念，但是能够与各种系统一起工作的即插即用解决方案的想法很有趣。唯一需要注意的是，写得非常仔细的恶意软件可以尝试表现出正常的功耗。在这些情况下，有时研究人员的工具无法检测到恶意软件的存在。然而，恶意软件窃取数据的速度会减慢 86% 至 97%，这对善于掩盖其踪迹的黑客来说是一个重大损失。

来源：cnBeta.COM

更多资讯

人民日报海外版：对 App 乱象“零容忍”

不同意授权某 App（移动互联网应用程序），许多功能就无法使用；在某 App 留下个人信息后很快收到骚扰电话；打开一款社交软件却看到大量涉黄信息……部分 App 乱象令许多用户苦不堪言。日前，国家网信办等相关部门果断出手，对 App 乱象“零容忍”，为网民营造风清气正的网络空间。

来源： 人民日报海外版

详情： http://t.cn/EaFhRjx

泄露 5 千万用户数据？京东回应：请勿造谣传谣

昨今日京东官方微博@京东发言人针对外界谣传“京东泄露的 5 千万用户数据”一事，回应称：这些数据不是京东账号数据，请勿造谣传谣。京东称，经过示例数据查验，确认这些数据不是京东账号数据，另外还提醒：买卖公民个人隐私数据涉嫌触犯刑法。

来源： 凤凰网科技

详情： http://t.cn/EaFhE3e

美军警告日本：F35 或遭黑客攻击，飞行员驾机会昏迷

日本首架坠毁的 F-35A 隐身战斗机和机上飞行员至今仍未找到，但由美国方面主导的事故调查却取得重大进展。日本经济新闻社 4 月 25 日披露，美国军方向日本防卫省发出紧急警告，称 F-35 战机可能受到了黑客攻击。目前美方已将战机坠毁的原因归结为“突发性系统故障”，其中机载氧气生成系统出问题的可能性最大。也就是说，至今仍失联的 41 岁空自少校飞行员在驾机时可能因缺氧而昏迷，F-35A 战机在失去人工控制后坠毁。

来源：新浪军事

详情： http://t.cn/EaFhmyX

马国 VEP 网站漏洞 新加坡驾车人士资料或遭泄露

马来西亚陆路交通局的外国车辆入境准证（VEP）网站存在安全漏洞，包括新加坡驾车人士在内的数以千计的外籍驾车人士的个人资料，可能遭泄露。

来源： 联合早报

详情： http://t.cn/EaFhucK

（信息来源于网络，安华金和搜集整理）