根据 ASRC 研究中心 (Asia Spam-message Research Center) 与守内安的观察,2019 年第二季度,电子邮件安全趋势基本为第一季度情况的延续。有更多的合法域名遭到滥用;诈骗邮件的数量比第一季度上升了 250% 以上,其中以无差别攻击的尼日利亚诈骗邮件占比最高;针对型的商务电子邮件诈骗虽然占比低,背后隐藏的信息安全问题却不容忽视;而 Office 的漏洞,仍是稳定、易触发、全版本都可用,最被攻击者青睐。
安全公司 Lookout 的研究人员披露了(PDF)由一家俄罗斯国防承包商开发的功能完整的先进移动监视软件。被称为 Monokle 的 Android 间谍软件的使用至少从 2016 年 3 月就开始了,它采用了多种新颖的技术,包括修改 Android 信任证书储存区,其指令控制网络能通过 TCP 端口、电子邮件、短信或电话呼叫进行通信。换句话说,Monokle 的监视功能在没有网络的情况下仍然能正常工作。它的功能包括获取日历信息,对 HTTPS 流量和 TLS 保护的通信发动中间人攻击,能收集 WhatsApp、Instagram、VK、Skype 和 imo 的账号信息和消息,能向攻击者指定的号码发送短信,记录电话呼叫,拍摄照片、视频和屏幕截图,等等。
美国62岁程序员David Tinley因在雇主软件里植入逻辑炸弹而被判刑十年,罚款25万美元。Tinley是西门子美国分布的合同工,为公司提供管理电子设备订单的自动化电子表格程序。但是,他在软件中植入了逻辑炸弹,从而使得该软件每过数年会产生问题。一旦发生问题,西门子公司则不得不花钱让Tinley去修复这些问题。而Tinley的行为在一次紧急订单的处理中被发现:因当时的情况,西门子公司有权向Tinley获得了他的电脑密码,从而发现了程序中的逻辑炸弹。
弹性搜索 (ElasticSearch) 是目前流行的基于 Java 开源技术的分布式搜索引擎,被云服务提供商广泛使用,如亚马逊弹性云计算 (EC)、微软 Azure、谷歌云引擎等均采用此种技术。
英国政府的网络安全中心 (NSCS) 已向各组织发出了严厉警告,建议他们需要在 DNS 劫持攻击不断增加的情况下实施额外的安全措施,否则将面临惨痛的后果。
近日,研究者在派拓网络、Fortinet与Pulse Secure的VPN解决方案中发现漏洞,该漏洞能够被攻击者利用,不需要用户名和密码的验证即可进入网络。Fortinet在申明发布后更新了自己的固件以修复该漏洞,而Pulse Secure表示自己在四月份的更新中就修复了此漏洞。对于派拓网络而言,这个漏洞只存在于较老版本当中,但是该版本的服务却依然被Uber广泛使用。申明发布后,Uber对自己的软件进行了更新;而派拓网络则督促自己的客户尽快进行补丁修复次漏洞。
流行浏览器诸如广告拦截等扩展功能,已经遭利用而让数以百万计使用Chrome和火狐(Firefox)的消费者个人数据泄露。遭遇泄露的这些个人数据,不仅涉及他们的浏览历史,而且还包括他们存放在相关网络公共服务上的纳税申报单、医疗记录、信用卡信息和其他敏感数据。
微软于周二发布了7月安全更新补丁,修复了79个从简单的欺骗攻击到远程执行代码的安全问题
近日,有安全人员发现Fastjson的多个版本补丁修复存在问题。攻击者仍然可以通过发送精心制造的请求包, 在使用Fastjson的服务器上远程执行代码。该问题影响Fastjson 1.2.47以及之前的版本,而且无需开启Autotype选项。
当地时间7月9日,Adobe官方发布了7月安全更新,修复了Adobe 多款产品的多个漏洞,包括Adobe Bridge CC、Adobe Experience Manager和Adobe Dreamweaver等