美国国防部将开展更多安全众测活动
美国国防部发布消息,称刚与位于硅谷的三家私营公司(HackerOne、Synack和Bugcrowd)签订总金额高达3400万美元的合同,将在已成功举办“入侵五角大楼”系列活动的基础上进行拓展,进一步提升开展“漏洞奖励计划”安全众测活动的能力,以期加强对国防部资产的安全防护。
由于网络安全威胁持续存在且不断演进,美国防部致力于以创新方式加强网络安全、应对恶意行为,并与私营机构加强合作。美国的很多知名技术公司,包括许多位列《财富》500强的大公司,都采用漏洞打赏这种低成本众测方式加强自身网络安全,向报告漏洞的任何人发放奖金——而不是挑选某些厂商进行测试——已成为一种常见的商业模式。
参考链接:https://www.easyaq.com/news/671188552.shtml
Satori僵尸网络作者因违反审前释放条款再次入狱
ZDNet了解,涉嫌创建Satori物联网僵尸网络的嫌疑犯因违反审前有条件释放条款,再次入狱。 尚不清楚尼克斯·泽塔(Nexus Zeta)做了什么,但其目前受押于SetTac的拘留中心。
20岁的嫌疑犯肯尼斯·柯林·舒奇曼(KennethCurrin Schuchman)来自华盛顿本德市,于今年八月首次被捕,因利用恶意软件破坏计算机而受《计算机欺诈和滥用法案(Computer Fraud and Abuse Act)》中两项罪名指控。
参考链接:https://www.easyaq.com/news/2116231097.shtml
微软移除必应中的虚假谷歌Chrome广告
近期,据某推特用户揭露,微软必应搜索引擎含恶意广告,推广虚假的谷歌Chrome网址,在微软将其移除前,少数用户已看到这些广告。
据该推特用户发表的报告可知,必应一直在提供虚假、恶意的谷歌Chrome广告。当使用必应作为搜索引擎的用户在浏览器地址栏输入“下载Chrome”时,便会出现该广告。
参考链接:https://www.easyaq.com/news/439040604.shtml
Word+YouTube视频,无感攻击技术被曝光
cymulate 的研究团队发现了一种滥用微软 Word 的在线视频功能来执行恶意代码的方法。专家们使用嵌入在武器化的 Microsoft Office 文档中的 YouTube 视频链接创建了概念验证攻击。攻击者可以将其用于恶意的目的, 如网络钓鱼。
Cymulate 研究团队发布了一个在线视频POC: 当用户点击一个YouTube 视频(嵌入在一个恶意的office文档中),可执行JavaScript代码。而,这一切可以做到用户无感。
在 Word 文档中嵌入视频时, 将创建一个 HTML 脚本, 并在单击文档中的缩略图时由 IE浏览器执行它。恶意文档将显示嵌入的在线视频与 YouTube 的链接, 同时伪装隐藏的 html/javascript 代码将在后台运行, 可能会导致进一步代码执行。
参考链接:https://www.t00ls.net/articles-48284.html
思科Webex在线视频会议软件曝命令注入漏洞
两名安全研究人员于近日发布消息称,思科的WebEx在线视频会议软件受到一个严重漏洞的影响,该漏洞可以被利用来提供权限并执行任意命令。
这个安全漏洞由来自Counter Hack的Ron Bowes和Jeff McJunkin发现,并被命名为“WebExec”。为了让公众能够更加清楚地了解该漏洞,两名安全研究人员还为它专门建立了一个网站(webexec.org)。
参考链接:https://www.hackeye.net/threatintelligence/16964.aspx
法国现“科技盗贼” 利用黑客技术盗取燃油
中新网10月29日电据欧联网援引意大利欧联通讯社报道,日前,法国北部瓦兹省加油站不断遭到黑客入侵,盗窃团伙通过技术手段“遥控”加油站,操纵油价,盗取大量汽车燃料。目前,法国警方已经拘捕了一名涉案嫌疑人。
据报道,大约在一年左右的时间内,法国瓦兹省加油站计算机系统经常被黑客入侵,加油站因此损失了数千加仑燃油。警方接到报案后,开始对案件展开调查,并于几天前在当地一家自助加油站成功抓捕了一名疑犯。
云天安全订阅号
云天安全服务号
鲁公网安备 37010202002190号