各位 Buffer 周末好,以下是本周「FreeBuf周报」,我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具,保证大家不错过本周的每一个重点!
1. 国家新闻出版署发布《网络游戏管理办法(草案征求意见稿)》
为加强行业规范管理,推动高质量可持续发展,2023年12月22日,国家新闻出版署起草了《网络游戏管理办法(草案征求意见稿)》,向社会公开征求意见。
根据Recorded Future在去年发布的报告,2022年,在暗网平台上出售、由窃密器导致的支付信息泄露已达 4560 万条,而在2023年度的报告中,研究人员指出这一数据在迅速上升,被盗的支付卡数量将达1.19亿张,其中有5000万张来自美国。
具有俄罗斯背景的黑客组织UAC-0099正在利用WinRAR中的一个零日漏洞(已修复,编号CVE-2023-38831)对乌克兰传播LONEPAGE恶意软件。
俄亥俄州彩票公司在圣诞节前夕遭到严重勒索软件攻击,一些内部应用程序受到严重影响,导致其被迫关闭了一些关键内部网络系统。
自2019年以来,“三角定位行动”(Operation Triangulation)间谍软件持续对iPhone设备进行攻击。该软件利用苹果芯片中未记录的特性绕过基于硬件的安全保护措施。
Mint 是一家移动虚拟网络运营商 (MVNO),专为用户提供经济型预付费移动计划,此前 T-Mobile 曾提议以 13 亿美元收购该公司。
一旦成功实施网络攻击活动,Akira 勒索软件组织要求受害者支付的赎金从 20 万美元到数百万美元不等,具体取决于被入侵组织的规模。
Chrome的安全检查功能于2020年12月推出,能够检测弱密码和易于猜测的密码,这些密码会使用户遭受暴力攻击或密码破解尝试,同时支持把用户的登录凭证与数据泄露中暴露的凭证进行比较。
上个月,Carbanak通过被入侵网站冒充各种商业相关软件进行传播,其冒充的工具包括流行的业务相关软件,如 HubSpot、Veeam 和 Xero。
遭受攻击后,圣文森特健康澳大利亚立即向地方当局报告了此次安全事件,并与澳大利亚政府达成合作,以减轻这一安全事件的影响。同时,该医疗保健提供商还聘请了外部安全专家来调查此次入侵,确定攻击的范围。
据 GTA Focal 报道,《GTA 5》的源代码在圣诞节前夕遭泄露,该文件包大小约为 4GB,包含大量 RAGE 引擎文件、概念和参考图像,还有《GTA5》圣安地列斯的早期地图。
不少车主表示,这不仅仅是理想汽车的问题,而是所有智能汽车存在的通病,特斯拉维权事件就曾引发“是否侵犯用户隐私”的大讨论,而今又轮到了理想汽车。
首先,先明确一点,零信任只是一种网络安全架构设计理念,正如我们过去传统的网络安全架构设计理念,也就是等级保护里面提到的“分区分域、边界防护”设计理念,还包括一些其他的各种各样的设计理念,例如“纵深防御”、“动态防御“主动防御”等,其实本质上都是一种网络安全设计范式。
PatchaPalooza使用了微软MSRC CVRF API的强大功能来获取、存储和分析安全更新数据。它专为网络安全专业人员设计,可以帮助广大研究人员快速而详细地了解漏洞信息和漏洞利用状态等信息。
SecuSphere是一款功能强大的一站式高效DevSecOps解决方案,DevSecOps作为一个经过针对性设计的集中式平台,可以帮助广大研究人员管理和优化漏洞管理、CI/CD管道集成、安全评估和DevSecOps实践。
ModuleShifting是一款针对Module Stomping和Module Overloading注入技术的安全测试工具,该工具基于Python ctypes实现其功能,因此可以通过Python解释器或Pyramid在内存中完整执行,这样就可以避免使用编译加载器了。