中国安全研究人员在 4 月 18 日披露了甲骨文刚刚修复的一个高危漏洞：Weblogic 反序列化漏洞（CVE-2018-2628）。安全研究人员是在去年 11 月将漏洞报告给了甲骨文，漏洞允许攻击者在未授权的情况下远程执行任意代码。

漏洞影响 Weblogic 10.3.6.0、12.1.3.0、12.2.1.2 和 12.2.1.3。研究人员公开了漏洞细节，随后该漏洞观察到被攻击者利用挖掘数字货币，以及安装勒索软件，整个过程无需任何点击或互动。

Cisco Talos 的研究人员报告，该漏洞至少从 4 月 21 日起就被活跃利用。攻击者被发现在尚未修复的计算机上安装一种新的勒索软件叫 Sodinokibi，除了加密重要的数据，该勒索软件还尝试毁掉备份，防止受害者简单利用备份恢复加密的数据。

奇怪的是，攻击者随后还利用相同的漏洞安装了另一种勒索软件叫 GandCrab。

来源：solidot.org

更多资讯

英国防大臣因泄露有关华为信息被开除，曾扬言派航母到南海

参考消息网 5 月 2 日报道 英媒称，英国首相特雷莎·梅办公室1日表示，英国国防大臣加文·威廉姆森因泄露有关中国电信公司华为的信息而被解雇。

来源： 参考消息

详情： http://t.cn/ESR5q9D

俄总统签署防范紧急状态下外部“断网”风险的法律

俄罗斯总统普京 5 月 1 日签署法律文件，以确保俄罗斯互联网在遭遇外部“断网”等冲击时仍能稳定运行。俄罗斯媒体 1 日报道说，根据普京签署的法律，俄罗斯将建立本国的域名系统，即存储和获取网络地址及域名信息的系统。

来源： 新华网
详情： http://t.cn/ESR5Ioo

日本欲开发电脑病毒来抵御网络攻击

据外媒报道，消息人士称，日本将在明年 3 月之前开发出首个用于抵御网络攻击的电脑病毒。消息人士周一表示，日本防卫省正在考虑一种能够侵入电脑系统的恶意软件，希望借此起到威慑网络攻击的作用。

来源： cnBeta.COM

详情： http://t.cn/ESRtwEF

助力线上隐私保护：DuckDuckGo提出《请勿追踪》立法草案

注重用户隐私安全的 DuckDuckGo，刚刚宣布了一份《2019 请勿追踪》草案。尽管不会很快成为正式的法律，但 DuckDuckGo 还是希望此举能够敦促网站尊重用户的“Do-Not-Track”选项设置，成为国内外立法机构通过此类隐私法案的一个参考起点。今年早些时候，DuckDuckGo 进行了一项研究，发现 1/4 的用户已经开启了“请勿追踪”的设置，约为 7500 万美国人和 1.15 亿欧盟公民。

来源： cnBeta.COM

详情： http://t.cn/ESRtGiC

（信息来源于网络，安华金和搜集整理）

近日， 黑鸭软件 （ Black Duck Software ） 发布了开源安全与风险分析（OSSRA）年度报告，报告对 2018 年以来 1200 多个商业代码库的匿名数据进行了分析和研究。对当今的企业来说，开源软件、库和组件往往起着重要的作用。开源代码采用率高有许多原因，其中包括开源社区的许多程序员愿意为项目贡献时间、项目代码的透明性、以及比开发内部系统更少的实现时间等。

在黑鸭审查的所有代码库中，有 96% 包含了开源组件，而大多数没有开源代码的代码库其实包含不到 1000 个文件。在超过 1000 个文件的代码库中，开源代码的采用率高达 99%。

开源代码有着它的安全优势，但也存在着安全漏洞未修补的隐患，开发人员可能没意识到项目正在被安全漏洞影响。在报告审查的代码库中，至少包含一个漏洞的代码库占 60% ，这个数字比 2017 年统计的结果 78% 有所下降。

黑鸭认为，发现的漏洞有 40% 都是关键级的。“事实上，开源并不总是更安全。”报告指出，无论项目源码是专有的还是开源的，都可能因为漏洞的存在，安全性变得薄弱。项目人员应该及时加以识别和修补这些漏洞。

报告中发现漏洞的平均“年龄”为 6.6 岁。其中，最老的 CVE-2000-0388 是 FreeBSD libmytinfo 库中的缓冲区溢出漏洞，在 28 年前被披露。报告结果显示，有 43% 的代码库包含一个超过 10 年的 bug。这表明不少企业可能没意识到开源的用处，也没有对组件目录进行系统管理，这些软件没有打新的补丁，更容易被攻击。

“一般只有少数开源漏洞，比如那些影响 ApacheStruts 或 OpenSSL 的漏洞，有可能被广泛利用。”研究人员表示，项目组织应该把他们的开源漏洞管理和缓解工作的重点放在 cvss 评分和漏洞的可用性上，在关注 “0day” 的同时，也应该关注开源组件的生命周期。

来源：开源中国

更多资讯

黑客届“奥斯卡”来了！国际安全技术大牛 5 月底齐聚北京

随着网络安全问题越来越引发全球关注，对黑客、安全漏洞等话题感兴趣的极客和技术爱好者们将在北京迎来盛会。有黑客界“奥斯卡”之称的 DEF CON 近日宣布，即将举办 DEF CON CHINA Baidu 安全行业国际峰会，5月31日至6月2日，数千名全球安全技术大牛将齐聚北京 751D·PARK，同台切磋技艺。

来源： 北京日报客户端
详情： http://t.cn/ESl6YeJ

还在随便下载软件？CNCERT 公布 116 个高危恶意程序

2019 年 2 月期间，国家互联网应急中心（简称“CNCERT”）在全国范围内继续开展计算机恶意程序传播渠道安全监测工作，对已备案的计算机软件下载站进行安全监测，判定计算机恶意程序 216 个，其中高危恶意程序 116 个，涉及 8 个省份的 11 家软件下载站及应用商店。2019 年 4 月下旬，CNCERT 将本次监测结果形成报告对外发布。

来源： FreeBuf.COM

详情： http://t.cn/ESl6mGB

阿桑奇在英被判 50 周监禁处罚

据英国“天空新闻”刚刚消息，维基解密创始人阿桑奇在英被判50个星期监禁。“你曾有一个选择，你选择的行动就是犯罪，”该法院法官德博拉·泰勒在法庭上说，“你没有心甘情愿地投向......你不会自愿到法院来。”随后，泰勒宣布阿桑奇被判“50 周监禁”。

来源： 环球科技

详情： http://t.cn/ESlXhc5

Windows 10 的安全功能使得基于 Chromium 的浏览器运行慢了三倍多

正如 Vivaldi 开发人员所揭示的那样，Windows 10 中内置的安全功能使基于 Chromium 的浏览器在测试环境中的速度降低了三倍多。Yngve Pettersen 在博客文章中解释说，开发人员在将 Windows 10 测试人员添加到 Windows 单元测试集群时发现了这个性能问题。

来源： cnBeta.COM

详情： http://t.cn/ESlXLjD

（信息来源于网络，安华金和搜集整理）

本月早些时候，微软透露它的 Outlook.com、Hotmail 和 MSN 服务遭到未知攻击者入侵。现在，部分受害者声称黑客窃取了他们的加密数字货币。一位受害者提供了屏幕截图，称黑客访问了他的收件箱，重置了他的 Kraken [dot] com 账号，撤回了比特币。

Kraken 是一个受欢迎的数字货币交易所。这位受害者展示了微软的通知以及黑客在其邮箱设置的转发规则：所有提到 Kraken 的邮件都被转发到了黑客控制的 Gmail 邮箱。

但目前还无法确认此次入侵是否真的针对数字货币。

来源：solidot.org

更多资讯

破解版电视盒调查：隐藏在盗版资源背后的严重安全隐患

援引安全机构 Sophos 报道，互联网安全组织数字公民联盟（DCA）近日发布报告称很多深受盗版用户青睐的破解版流媒体设备充斥着各种恶意软件。这些破解设备通过 eBay、Craigslist 或暗网等渠道进行销售，价格在 75 美元到 100 美元之间。

来源： cnBeta.COM

详情： http://t.cn/ESoeu6x

阿联酋领衔全球加密货币市场 今年前四月销售超 2.1 亿美元

彭博援引 CoinSchedule 的报告称，阿联酋刚刚成为了全球数字代币市场的一枝独秀。在截止今年 4 月初的募资总额中，该国就贡献了 1/4 以上。数字货币市场追踪者 CoinSchedule 上周公布的数据显示，阿联酋的销售额已超 2.1 亿美元，从市场的长期领导者（美国）手中夺过了第一的名号。作为对比，自 2018 年以来，美国市场在最近几个月，首次跌到了第 7 位。

来源： cnBeta.COM

详情： http://t.cn/ESoeDSZ

2018 年近 40% 网络流量来自机器人

网络安全服务商 Distil Networks 近期发布了关注自动化网络流量现状的 2019 年 Bad Bot 报告，该报告指出在 2018 年，由机器人产生的网络流量占到了所有流量的 37.9％。报告中提及的机器人流量包含两种情况：合法机器人与恶意机器人产生的流量。

来源： 开源中国

详情： http://t.cn/ESoD7YJ

网络交易监督管理办法征求意见：收集消费者个人信息不得用一次性授权方式

4 月 30 日，网络交易监督管理办法公开征求意见，征集意见的时间至 5 月 29 日。《电子商务法》已于 2019 年 1 月 1 日起正式实施，市场监管总局在修改《网络交易管理办法》（原工商总局令第60号）基础上，起草了《网络交易监督管理办法（征求意见稿）》。《办法（征求意见稿）》共6章70条，包括总则、网络交易经营者、消费者权益保护、监督管理、法律责任、附则，重点对“用户信息收集使用保护问题”等进行了修改、补充、完善。

来源： 北青网

详情： http://t.cn/ESoDUzy

（信息来源于网络，安华金和搜集整理）

Apache 基金会（ASF）正式宣布，该基金会已经将其旗下的 350 多个项目、多达 2 亿行的代码从内部的 Git 基础设施迁移至 GitHub。

作为全球最大的开源基金会，ASF 拥有 730 名个人 ASF 成员 （ Member ） 和超过 7000 名的 Apache 代码 提交者 （ Commiter ） ，在其 20 年的历史当中，已经通过 300 万个代码提交累计贡献了多达 10 亿行的代码。

Apache 项目最初在 ASF 基础设施中提供了两种版本控制服务：Apache Subversion 和 Git。而多年来，越来越多的项目及其社区希望在 GitHub 上看到他们的源代码。但是由于这些代码在 GitHub 只是只读的镜像，因此在这些代码存储库上只能使用有限的 GitHub 工具。

“2016 年，基金会开始将 GitHub 的代码存储库和工具与我们自己的服务集成在一起。这使得部分选定的项目能够使用 GitHub 的优秀工具，”ASF 基础设施管理员 Greg Stein 说。 “随着时间的推移，我们改进、调试并巩固了这种集成。在 2018 年末，我们要求所有项目从我们内部的 git 服务转移到 GitHub 提供的服务。这种转变会将 GitHub 所有的工具带到我们的项目中，而我们在我们的基础设施上维护一个备用镜像。”

GitHub CEO Nat Friedman 表示：“我们很自豪能让开源社区这么长期的成员转移到 GitHub。……无论是与个人开源维护者和贡献者，还是与一些世界上最大的开源基金会（如 Apache）合作，GitHub 的使命是通过支持开源社区，满足他们的独特需求和帮助开源来成为所有开发人员的家，让项目茁壮成长。”

在 2019 年 2 月，迁移到 GitHub 的工作已经完成，ASF 自己的 git 服务退役。

“我们将继续试验和扩展 GitHub，以根据我们自己的需求和要求为我们的社区提供服务，”Stein 补充道。 “基金会已经开始与 GitHub 管理层密切合作，探索实现这一目标的方法，以及将来可能实现的目标。”

补充：Apache 基金会的项目并未“迁移”至 GitHub，而是做了个双主镜像

经过多位 Apache 基金会的贡献者解释，这则消息存在一定的误读，特此做个澄清。

据 Apache 基金会官方的解释，之前，Apache 基金会“有两个不同的 git 服务：gitbox 和 git-wip-us，后者是自 2010 年以来一直可用的最初的 git 服务”，而通常会在 GitHub 上建立一个只读镜像。

随着 Apache 基金会旗下各个项目表示出对利用 GitHub 基础设施服务的兴趣，从 2016 年中期，Apache 基金会建立了 gitbox，以使项目能够正常使用 GitHub 服务。gitbox 提供的是一种双主镜像的仓库，即使用者可以在 GitHub 上进行提交、处理 PR 和工单等，也可以采用 Apache 内部账户进行相同的操作——而无论在任何一端的操作都是双向同步的。

到了 2018 年，基金会决定将所有使用 git 服务项目都迁移至 gitbox，使之可以利用 GitHub 生态的更多工具，并将 git-wip-us 服务废弃。这个工作已于 2019 年 2 月完成。

所以，现在的状态是：Apache 基金会旗下采用 git 作为版本仓库的项目，都迁移至 gitbox 了。这些项目既可以使用 GitHub 的基础设施和工具，也可以使用 Apache 基金会账户在 gitbox 上进行相同的操作。因此，这就是“通过集成了 GitHub 而扩展了 Apache 基金会的基础设施”（原新闻标题）。

感谢 Apache 基金会的贡献者“吴晟@skywalking”、“刘天栋Ted.开源社”和华为的姜宁提供的信息。

据外媒 Neowin 报道，网络钓鱼并不是一个关于网络安全的新话题，尽管经常会发现新的和创造性的方法来实施这种做法。其中一种方式是新发现并巧妙地被命名为“盗梦空间栏”的网络钓鱼方法。

由开发人员 James Fisher 提供，这个相当简单的技巧已在 Chrome 移动版中得到证明，并利用了浏览器在地址栏方面的行为。当用户向下滚动时，为了给网页留出更多空间，Chrome 会隐藏地址栏，而这正是这个所谓的“盗梦空间栏”的用武之地。

如上所述，概念证明使用汇丰网站作为用户所在的真实网站的替代品。这是通过 Fisher 称之为“滚动监狱”的东西来完成的，其中页面的整个内容被困在一个带有 overflow：scroll 的新元素中，从而在浏览器中创建一种浏览器 —— 对 2010 年的《盗梦空间》的“梦中梦”的概念的引用。虚假地址栏甚至可以进行交互。

为了创造一个更精细的错觉，开发人员表示，具有恶意意图的人可能会在“滚动监狱”的顶部添加“非常高的填充元素”。这样做是为了防止 Chrome 在用户向上滚动时重新显示地址栏的正常行为。实际上，这看起来像页面刷新。

虽然通过简单地导航到 Chrome 的一个菜单就可以打破错觉，但这仍然被认为是一种令人不安的实施网络钓鱼攻击的方式。

来源：cnBeta.COM

更多资讯

涉案金额 2.3 亿 春节档电影侵权盗版系列专案侦破

公安部今天在江苏扬州召开新闻发布会，通报公安部部署开展打击春节档电影侵权盗版违法犯罪活动、成功办“2·15”系列专案工作情况。今年春节期间《流浪地球》《飞驰人生》《疯狂的外星人》等几部热播电影上映后，出现了大规模盗版，不仅严重侵害了影视作品制作方、出品人的合法权益，而且严重影响了我国影视行业提质升级发展。

来源： 央视财经

详情： http://t.cn/ESI1T1M

法国新区块链法规定银行不能随意拒绝为虚拟货币初创公司提供服务

据外媒报道，在发达国家中，法国对加密货币和区块链公司监管的新做法可以说是前卫的。或许最引人注目的例子就是，法国金融市场监管机构（AMF）起草的监管框架，其目的是消除此类初创企业长期以来面临的一个争议点：银行关系。

来源： cnBeta.COM
详情： http://t.cn/ESI1u95

iPod 之父：苹果屏幕时间功能存在很多漏洞和不足

4 月 29 日消息，据国外媒体报道，苹果近日在屏幕时间应用方面陷入了麻烦之中，其被外媒报道对大量的第三方这一类应用进行了限制，部分还被其从 App Store 中移除，部分开发商认为苹果此举是为了打压竞争对手，以扶持自家的屏幕时间控制功能，两款应用的开发商还因此而将苹果投诉至欧盟的竞争办公室。

来源： TechWeb

详情： http://t.cn/ESI1Dkh

GoDaddy 宣布移除 1.5 万个涉嫌销售假冒产品的欺诈子域名

网络托管服务提供商和域名注册商 GoDaddy 宣布已删除下架超过 15000 个子域名。这些子域名被黑客用于发送垃圾邮件，向消费者出售假冒伪劣产品。用户通常会收到各种宣传产品的垃圾邮件，如果受害者点击这些电子邮件中的链接，就会跳转访问托管在合法网站下的子域名，在该网站合法所有者不知情的情况下牟取利益。

来源： cnBeta.COM

详情： http://t.cn/ESIBZxB

（信息来源于网络，安华金和搜集整理）

Big News

根据 BuzzFeed 报道， Google 开始清除 Play Store 中由 DO Global 公司开发的应用程序。此前一项调查显示，DO Global 曾对用户进行广告欺诈，并向用户隐瞒了应用程序的所有权细节。

Do Global 是一家由百度持股（约 34%）的公司，它是目前在谷歌 Play 商店上线应用程序的最大开发者之一。目前 Do Global 公司官网已经关闭所有功能，仅显示一个 Statement 声明。【BuzzFeed】

总是想着在框架内做一些超出规范的事情，来赚取利润，这似乎成为了百度、百度系的标志了。

Quick News

MIT 许可证的神秘历史

红帽工程师 Gordon Haff 在 OpenSource 上发布了一篇文章，说明了为什么 MIT 协议没有办法很容易的说明何时创建的。【OpenSource】

Google 的新项目 Project Euphonia，可能会让手机替人说话。

今年的 Google I/O 大会上，Google 将会推出一个新的帮助残障人士的服务 Project Euphonia，这个项目将用于为语言障碍者提供声音的支持。【9to5Google】

开源面临的 Working For Free 的问题

自由软件工程师，前红帽工程师，现 Tidelift 联合创始人 Havoc Pennington 说，我们需要放弃开源只是慈善事业的观念，并给出了一些如何让开源项目更好的建议。 
【Tidelift】