国内外简报industry briefing

国内外信息安全简报2017年第四周

admin

1. 史上导致数百万美元损失的10大计算机漏洞

在IT时代,计算机漏洞或编程错误(Bug)是一种常见现象,任何软件在其生命周期内都会存在漏洞或缺陷,而那些未被发现的漏洞、缺陷、错误或0-day将会对软件本身及其应用系统产生严重的信息安全威胁,或造成巨大的经济损失,软件开发的安全性设计和测试工作应该得到更多重视。 (详情链接 )

2. 美国食品药物管理局证实:心脏医疗设备可被黑客入侵

美国食品药物管理局(FDA)本周一证实,圣犹达医疗公司出品的心脏移植设备存有可供黑客访问的漏洞。一旦入侵发生,黑客可以耗尽设备的电量、设置错误的跳动节奏和震击。 (详情链接 )

3. 无需连接命令控制服务器的Spora 有可能成为勒索软件之王

安全研究人员发现了一种新式勒索软件,该软件被命名为Spora,能够进行强离线文件解密,赎金支付模式也有了许多创新。目前为止,该恶意软件针对的是俄语用户,但其作者也开发了英语版的解密门户,意味着他们有可能不久之后就将业务扩张到其他国家。 (详情链接 )

4. 2017年全球最火爆网络安全大会日程(附:全球信息安全会议 Top 50)

2017年全球最火爆网络安全大会日程(附:全球信息安全会议 Top 50)。 (详情链接 )

5. 前一阵极度活跃的黑客Kapustkiy最近又入侵了属于委内瑞拉政府的一家网站

前一阵极度活跃的黑客Kapustkiy最近又入侵了属于委内瑞拉政府的一家网站,主要是为了针对Nicolas Maduro的独裁政权,Kapustkiy表示这位总统毁了普通人的生活。攻击后泄露的数据已经公布在了Pastebin,攻击利用了一个本地文件包含漏洞。 (详情链接 )

6. 【安全预警】知名搜索引擎Elasticsearch成为勒索软件敲诈目标

根据国外媒体的最新报道,继大量MongoDB数据库遭到大规模勒索攻击之后,现在又有数百台存在安全缺陷的Elasticsearch服务器在过去的几个小时之内遭到了勒索攻击,并被擦除了服务器中的全部数据。安全研究专家Niall Merrigan估计,目前已经有超过2711台Elasticsearch服务器实例遭到了攻击。 (详情链接 )

7. “自动填充”功能可能已经泄露了个人信息

大多数用户在填写网页表单时,曾为填写重复信息而苦恼。为满足用户需求,Google Chrome 等主流浏览器提供了“自动填充”功能,它能记录下你曾填写过的信息,例如姓名、身份证号码、银行卡卡号和密码等。 (详情链接 )

8. 安全研究人员最近发现一种非常有效的Gmail钓鱼手机手法,用来对付老司机都是完全可行的

安全研究人员最近发现一种非常有效的Gmail钓鱼手机手法,用来对付老司机都是完全可行的。攻击者构造了URL欺骗用户在钓鱼页面提供其Gmail登录凭证。这类攻击表明登录的双重认证还是很有必要的。 (详情链接 )

9. 国家发改委和工信部印发《信息基础设施重大工程建设三年行动方案》

通信世界网消息(CWW) 1月12日,国家发展改革委和工业和信息化部印发《信息基础设施重大工程建设三年行动方案》的通知,到2018年将投资1.2万亿元,来基本建成覆盖城乡、服务便捷、高速畅通、技术先进、安全可控的宽带网络基础设施。 (详情链接 )

10. 【国际快讯】利用伪造的“附件”对Gmail用户进行钓鱼攻击

根据安全研究专家的最新发现,网络犯罪分子们目前正在利用一种经过特殊设计的URL链接来对Gmail用户进行网络钓鱼攻击。当用户点击了恶意链接之后,攻击者会诱使他们输入自己的Gmail邮箱凭证,然后获取到目标用户的邮箱密码。需要注意的是,它与之前那些网络钓鱼攻击不同,这是一种非常复杂的新型网络钓鱼攻击,即使是一些专业的安全技术人员也有可能会被攻击者欺骗。 (详情链接 )