近日,微软研究院开发出了能在云里保障数据安全的加密技术——可验证保密云计算,而英国老牌科技开发企业“剑桥顾问”也于日前展出了一项在计算机之间加密传输文件的技术。另外,知名路由器D-Link、NETGEAR、TP-LINK上重要驱动组件NetUSB被曝存在严重的远程溢出漏洞,影响数以百万计的路由和嵌入式设备。下面,笔者将从加密技术、漏洞播报、技术分析方面带您回顾过去一周的安全要闻。
最新加密技术
真正的神出鬼没之功:微软研究院开发出安全技术,能在云里保障客户数据的安全。新技术名为可验证保密云计算(Verifiable Confidential Cloud Computing),微软的加密专家称之为“VC3”。VC3利用英特尔指令集建立一个“保密箱”(Lockbox),供运行MapReduce的客户在云里使用。保密箱可在未修改的Hadoop上运行。
英国老牌科技开发企业“剑桥顾问”于近日展出了一项在计算机之间加密传输文件的技术,有效避免了传统USB存诸设备的不安全性。该技术产品称为“影线”(Shadowire),像外表如同一个纺锤,两端是USB口,中间鼓起的地方容纳着一个微处理器,配有硬件加密引擎和闪存。
漏洞播报
知名路由器D-Link、NETGEAR、TP-LINK上重要驱动组件NetUSB被曝存在严重的远程溢出漏洞,影响数以百万计的路由和嵌入式设备。当客户端发送计算机名到网络设备的服务端(TCP端口 20005)时,同该端口建立连接后,就可以触发这个漏洞。如果客户端发送的计算机名长度大于64字符,会让含NetUSB模块的设备出现溢出,从而造成内存破坏。据悉,在内核模式下运行NetUSB服务代码是很致命的,黑客利用这个漏洞,可以轻松地在内核层面远程执行恶意代码,掌握路由等网络设备的生死命脉。
苹果Safari浏览器曝出一个可被攻击者用作钓鱼攻击的新漏洞——当用户以为打开某个网站时,其实在访问另一个网址。例如,当用户在浏览deusen.co.uk网站内容时,浏览器地址栏中显示的却是dailymail.co.uk地址。
IPsec-tools近日曝出拒绝服务0day漏洞,并且互联网上已经出现利用程序。你可能质疑该漏洞甚至未达到中等漏洞的评级,但请记住IPsec是至关重要的基础设施,并且这种攻击只需要两个小的UDP数据包。如果有打开日志记录或者用户经常断开或重新连接那么就很容易被发现,它可能会创建Intrusion Detection/Prevention (IDP)签名,更多的是,你可能需要运行一个蜜罐来进行检测。
IPsec Tools拒绝服务0day漏洞详细报告(附0day)
技术分析
Forrester研究公司高级安全/风险分析师Heidi Shey建议企业首先评估其安全成熟度以及其环境面临的风险。否则,他们总是在追逐最新、最强大、最热门的必备工具。在选择工具之前,必须制定战略。
相信大家对注册机这词一定不陌生,由于一些软件涉及版权问题,要完全使用的话需要注册,或者有试用期限限制,或者只有注册之后才可以享受全功能。目前大部分有关于破解的资料都是基于X86架构的,而对于X64架构的破解资料却是比较少。
在密码学专家之中,“加密并不是认证”是一个简单的共识。但很多不了解密码学的开发者,并不知道这句话的意义。如果这个知识更广为人知和深入理解,那么将会避免很多的设计错误。
本地存储也是HTML5的新特性之一,最开始是在Mozilla 1.5上的,后来渐渐被HTML5规范接受。通过JavaScript的localStorage和sessionStorage对象,我们可以使用HTML5的这个新特性。基于键值值匹配,这些JavaScript对象允许我们存储,检索和删除数据。
译文推荐
其他:
