全球动态
1. 国家安全部:“格式转化、文件快传等可能有失泄密风险
即时交流、格式转化、文件快传、群组讨论等兼顾社会交流和办公工具属性的“黑科技”功能,成为广大上班族处理日常事务的首选。然而,近年来因使用网上办公程序而导致的失泄密案件屡屡发生,暴露出一系列风险隐患。【阅读原文】
2. 控TikTok“侵犯儿童隐私”,美政府再下黑手
美国司法部起诉TikTok“大规模侵犯儿童隐私”,并且允许13岁以下的儿童在未经父母同意的情况下创建账户;美国政府认为TikTok违反了《儿童网络隐私保护法》;美国联邦贸易委员会也加入司法部针对TikTok的原告队伍。TikTok否认美方指控,坚称已落实保护儿童措施。【阅读原文】
3. CrowdStrike 拒绝为达美航空航班取消买单,后者称损失达 5 亿美元
达美航空 CEO 埃德・巴斯蒂安(Ed Bastian)表示,此次故障给该航空公司造成了 5 亿美元的损失,并计划采取法律行动向 CrowdStrike 索赔。但 CrowdStrike 8月4日驳斥了达美航空的指控。【阅读原文】
4. 消息称美国拟禁止在自动驾驶汽车中使用中国软件
美国商务部发言人表示,该部门“担心与联网汽车中的联网技术相关的国家安全风险”。【阅读原文】
5. 美国 AI 安全机构将抢先体验 OpenAI 的下一个模型
OpenAI创始人Sam Altman表示,OpenAI“很高兴”能够向评估该技术安全性的美国联邦机构提供其下一个人工智能基础模型的早期访问权限。【外刊-阅读原文】
6. 黑客可以使用 HDMI 数据线来捕获用户密码
乌拉圭共和国大学的研究人员最近的一项研究详细介绍了该技术,它使用人工智能来解码来自HDMI连接的电磁辐射,并重建计算机屏幕上显示的内容。【外刊-阅读原文】
安全事件
1. 罗克韦尔自动化设备中的严重缺陷允许未经授权的访问
美国网络安全和基础设施安全局(CISA)在一份公告中表示:“受影响的产品中存在一个漏洞,允许威胁行为者绕过ControlLogix控制器中的受信任插槽功能。“【外刊-阅读原文】
2. Magniber 勒索软件攻击激增影响全球家庭用户
一场大规模的 Magniber 勒索软件活动正在进行中,对全球家庭用户的设备进行加密,并要求支付数千美元的赎金才能获得解密器。【外刊-阅读原文】
3. Cloudflare的免费隧道受到RAT和其他恶意软件的困扰
网络安全公司 Proofpoint 观察到越来越多的恶意行为者通过滥用 TryCloudflare 隧道提供远程访问木马 (RAT)。【阅读原文】
4. 泄露的壁纸漏洞让攻击者在 Windows 系统上提升权限
FakePotato 漏洞利用了 Windows 处理壁纸文件方式中的一个缺陷。通过操纵特制壁纸图像的某些属性,对系统具有有限访问权限的攻击者可以将其权限提升到 SYSTEM 帐户的权限,从而有效地获得对计算机的完全控制权。【外刊-阅读原文】
5. 安全公司警告黑客架设山寨微软 OneDrive 网站进行钓鱼攻击
安全公司 Trellix 发布报告指出近来有黑客架设山寨 OneDrive 网站,以“连不上服务”为幌子诱导用户运行 PowerShell 钓鱼命令,从而让受害者“自己给自己电脑装上木马”。【外刊-阅读原文】
6. Linux 内核受到新 SLUBStick 交叉缓存攻击的影响
一种名为 SLUBStick 的新型 Linux 内核交叉缓存攻击在将有限的堆漏洞转换为任意内存读写能力方面取得了 99% 的成功率,使研究人员能够提升权限或逃逸容器。【外刊-阅读原文】
优质文章
1. 研发安全视角 | 如何开发更安全的认证?
大多数师傅对认证应该很熟悉,常规的弱密码问题、认证类漏洞层出不穷,今天我主要是站在研发视角,去看待如何针对认证进行安全开发,或者说如何选取合适的认证场景来确保应用系统的安全认证。【阅读原文】
2. GPT4o Captcha Bypass :基于GPT4o 实现验证码绕过
该项目是一个 CLI 工具,用于使用 Python 和 Selenium 测试各种类型的验证码,包括谜题、文本、复杂文本和 reCAPTCHA。该工具还使用 OpenAI GPT-4 来帮助解决验证码。【阅读原文】
3. 网络身份认证公共服务开启网络空间治理新阶段
本文对《国家网络身份认证公共服务管理办法(征求意见稿)》作出了解读。【阅读原文】
*本文内容收集自全球范围内的媒体与刊物,制作者对其完整性负责,但不对其真实性和有效性负责。*标明为【外刊】的内容主要来源为英语国家的媒体与刊物,部分内容需要注册免费账号后方可阅读。