美国国务卿：美国不会与使用华为系统的国家合作

据外媒报道，美国国务卿迈克·蓬佩奥（Mike Pompeo）于周四称，出于安全担忧，美国将无法与采用华为系统的国家进行信息合作或共享信息。

蓬佩奥在接受福克斯商业网（Fox Business Network）采访时表示，欧洲和其他地区的国家需要了解使用华为电信设备的风险，一旦他们了解清楚，就不会使用该公司的系统。

蓬佩奥说：“如果哪个国家把华为设备放在一些关键的信息系统中，那美国就无法与他们分享信息，也无法进行合作了。我们不会把美国的信息置于危险之中。”

当被问及欧洲国家拒绝美国禁止华为的呼吁时，蓬佩奥表示，美国一直在与其他国家进行对话，让他们能清楚将华为技术应用于其IT系统上的风险，并称“当他们清楚这种风险时，将会做出明智的决定”。 

参考链接:https://www.easyaq.com/news/549854755.shtml

美国K2公司称研发了攻克零日攻击的新技术

据外媒报道，美国K2网络安全公司研发了一种技术，该技术能够在几分钟内为每个应用程序创建一个执行映射，然后进行实时监控且没有误报。

K2的首席执行官PravinMadhani表示，这是一项全新的技术，是第一个针对零日攻击检测的真正解决方案。目前K2已经申请了7项专利来保护其知识产权。

新技术在优化控制流完整性（CFI）方面做得比较出色，它能够实施操作控制，防止恶意软件改变应用程序的执行，这也适用于企业中公共和私有云中使用的微服务。

传统的CFI方法依赖于对潜在恶意行为的精确定位，但这种检测方法有时会失败。传统方法还会对IT性能造成巨大的开销，可能需要额外的硬件。该技术只是关注应用程序的执行情况，并根据对应用程序的一次性分析进行验证操作。

参考链接:https://www.easyaq.com/news/1038232964.shtml

Drupal 被曝RCE 漏洞，可导致网站被劫持

Drupal 中被曝潜在的严重的远程代码执行漏洞，可导致攻击者黑掉并劫持网站。网站管理员们应尽快更新。该漏洞的编号是 CVE-2019-6340，是由 Drupal 未能正确检查 RESTful web服务的数据造成的。如漏洞被成功利用，可导致黑客在目标网站的服务器上远程运行恶意代码并控制网站。Drupal 将该漏洞评级为“高危”，并建议管理员尽快打补丁。Drupal 团队披露该漏洞时表示，“某些字段类型并未正确地清洁非表单来源数据。在某种情况下可导致任意 PHP 代码执行。” 

参考链接:http://codesafe.cn/index.php?r=news/detail&id=4720

印度458388名公民个人数据遭泄露

据外媒报道，一个包含印度德里约458388名市民的高度敏感信息的数据库，在没有任何密码保护的情况下向公众开放。

安全研究员Bob Diachenko用Shodan检索后，发现了公开的数据库名为“GNCTD”，文件大小为4.1GB。 BobDiachenko分析内容后得出，泄露的数据库属于Transerve公司。

参考链接：https://www.easyaq.com/news/792353290.shtml

全球性的DNS劫持活动：大规模DNS记录操控

FireEye的Mandiant应急响应和情报团队识别出了一波DNS劫持攻击，这波攻击影响了大量域名，其中包括中东、北非、欧洲和南美地区的政府机构、通信部门以及互联网基础设施。研究人员目前还无法识别此次活动背后的攻击者身份，但初步研究表明，攻击者与伊朗有关。与此同时，研究人员也在积极与相关受害者、安全组织以及执法机构密切合作，以尽可能缓解攻击所带来的影响。

虽然此次活动使用了很多传统的攻击策略，但它和其他利用了DNS劫持的伊朗攻击活动有所不同，接下来我们一起看一看攻击者都使用了那些新型的攻击策略。

初步研究表明此次攻击活动与伊朗有关

目前，针对此次活动的研究分析正在进行中。此次攻击活动中涉及到的DNS记录篡改操作非常的复杂，而且攻击跨越了不同的时间段、基础设施和服务提供商，因此完成此次攻击活动的绝非一人。

1.该活动中涉及到多个攻击集群，并从2017年1月份开始活跃至今。

2.攻击活动涉及到了多个域名以及IP地址。

3.攻击者使用了大量不同供应商的加密证书以及VPS主机。

根据初步研究所得到的技术证据，研究人员认为此次活动是在伊朗境内发动的，而且该活动的确符合伊朗政府的利益链。

参考链接：https://www.freebuf.com/articles/network/195791.html

人脸识别系统联网打击号贩子，限制其乘坐高铁、贷款

2016年，东北姑娘怒斥医院号贩子，一句“300块钱的号，他要4500，我天！这是北京，首都啊。”引发多少人的共鸣。从票贩子到号贩子，老百姓何苦为难老百姓？

日前，央视新闻报道称，北京市已经将2100多名号贩子的信息录入北京各大医院人脸识别系统，一旦号贩子进入医院，系统就能立刻监控到，对其行动进行密切关注。

科技、互联网的进步，最基本的目标之一还是服务人类。无论是铁路建设还是医院服务水平升级，对于普通人来说都是利好消息。但因为这些“黄牛”的存在，钻法律空子给越来越多的人造成困扰，徒增生活成本。 

参考链接:https://www.freebuf.com/news/196479.html