全球动态

1. 美国参议员称政府通过手机通知监视苹果和谷歌用户

应用程序开发者必须使用苹果和谷歌的通知网关，这使得科技巨头可以深入了解客户的应用程序使用模式，也让美国或国际政府更容易通过数据请求监控相关个人。【外刊-阅读原文】

2.Linux基金会提出软件安全开发十项指导原则

这些原则涵盖了一系列已被实践验证的安全保障措施，从安全功能融入设计到实现应用软件可观察性等不一而足。【阅读原文】

3.美国知名基因测试公司被黑，或泄露30万华人血缘数据

攻击者通过撞库攻击，窃取了23andMe公司约1.4万用户的账号访问权，可以访问这些账号下的用户基因和健康数据，并还可以通过共享功能访问近700万用户的个人信息（DNA相似度、双方血缘关系预测等）。【阅读原文】

4. 德国住房协会的裁决将导致 GDPR 罚款增加

法律专家警告说，欧洲法院（ECJ）的一项 "里程碑式 "裁决可能会对违反 GDPR 的组织造成重大经济损失。【外刊-阅读原文】

5.中国台湾发布关键技术清单，网络主动防御技术受管控

12月5日，中国台湾地区国科发布核心关键技术清单公告，22项技术上榜，涉及国防、农业、半导体、太空、资通安全等五大领域。【阅读原文】

6.美国政府近十年发生1283起数据泄露事件，涉及超2亿条记录

据统计，近十年来美国各级政府机构发生了1283起泄露事件，涉及超过2亿条数据记录，经估算已经给政府造成了将近304亿美元的损失。【阅读原文】

安全事件

1. Sierra 安全漏洞严重影响关键基础设施

研究人员发现了 21 个安全漏洞，这些漏洞会严重影响 Sierra OT/IoT 路由器，威胁攻击者能够利用漏洞，通过远程代码执行、未授权访问、跨站脚本、身份验证绕过和拒绝服务攻击袭击关键基础设施。【外刊-阅读原文】

2.针对泰国电信公司的新型隐形“Krasue”Linux 木马

该恶意软件的核心功能是通过 rootkit 实现的，该 rootkit 允许它在主机上保持持久性而不会引起任何注意。rootkit 派生自 Diamorphine、Suterusu 和 Rooty 等开源项目。【外刊-阅读原文】

3. 警报：威胁参与者可以利用 AWS STS 渗透云帐户

AWS STS 是一项 Web 服务，使用户能够请求临时的有限权限凭证，以便用户无需创建 AWS 身份即可访问 AWS 资源。这些 STS 令牌的有效期可以从 15 分钟到 36 小时不等。【外刊-阅读原文】

4. 黑客利用 ColdFusion 漏洞入侵联邦机构服务器

seed.properties 文件包含用于加密密码的种子值和加密方法。种子值还可用于解密密码。在受害系统上未发现恶意代码，表明威胁行为者试图使用 seed.properties 文件中的值解码任何密码。【外刊-阅读原文】

5.Krasue RAT 恶意软件隐藏在使用嵌入式 rootkit 的 Linux 服务器上

据网络安全公司 Group-IB 的研究人员称，该恶意软件的主要功能是保持对主机的访问，这可能表明它是通过僵尸网络部署的，或者由初始访问代理出售给寻求访问特定目标的威胁行为者。【外刊-阅读原文】

6.新的SLAM攻击从AMD和Intel CPU中窃取敏感数据

学术研究人员开发了一种名为 SLAM 的新型侧信道攻击，利用英特尔、AMD 和 Arm 即将推出的 CPU 为提高安全性而设计的硬件功能，从内核内存中获取根密码哈希值。【外刊-阅读原文】

优质文章

1. Caracal：一款功能强大的Starknet智能合约静态分析工具

Caracal是一款功能强大的Starknet智能合约静态分析工具，广大安全研究人员或区块链技术人员可以使用该工具来对Starknet智能合约执行静态分析。【阅读原文】

2. 企业安全实践 | 从零开始学做整体安全规划

在乙方时说的最多的就是技术层面的各种问题，倾向于用技术可以解决问题，然而真正的进入到甲方才发现，技术只是其中很少的一部分，甲方面对的是一个很复杂的环境，很多时候技术并不是解决问题的最好方案，因此需要从其它的方面去解决问题。【阅读原文】

3. RCE系统交互条件与受限环境下的利用

实际安全领域的讨论中，"RCE" 通常被广泛用来指代远程代码执行漏洞。这种漏洞的危害较大，因为攻击者可以通过远程手段在目标系统上执行任意代码，从而完全控制受影响的系统。【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。