本周安全要闻带大家一起回顾一下上周的安全事件以及2015年安全领域的赛事。虚拟主机管理公司cPanel被黑,用户遭数据泄露;研究人员一款可以监控用户的上网行为习惯的恶意Chrome扩展程序进行了深入调查;联想修复了产品中发现的多个高危漏洞,其中一个漏洞涉及到一个硬编码密码:12345678……
回顾2015年,无论对中国的网络安全竞技领域还是中国网络安全人才的培养,都发生了重大变化,且将产生深远的影响。
对中国网络安全行业来说,2015年无疑是浓墨重笔的一年;但如果再要从激情澎湃的网络安全领域挑选两个最重大的事件的话,51CTO记者认为,一是中国网络安全立法工作取得了重大突破,另一个就是中国网络安全竞技领域的迅速崛起——前者是国家战略,后者却是民间推动。
近日,安全公司Malwarebytes的研究人员对一款恶意Chrome扩展程序进行了深入调查。该款款恶意Chrome扩展程序可以监控用户的上网行为习惯,并自动出现弹窗,并干扰用户正常上网。
近日,虚拟主机管理公司cPanel承认被黑,已通知用户其信息或已被泄露。cPanel虚拟主机管理系统可以让您的网站和服务器管理更加简单,它成功克服了Linux操作系统图像化界面不够优秀的缺点,给您提供一个非常友好的功能强大的界面。
联想修复了产品中发现的多个高危漏洞,其中一个漏洞涉及到一个硬编码密码:12345678。联想的Lenovo ShareIT中发现了4个漏洞,会导致信息泄露、安全协议绕过和中间人攻击,影响版本为Lenovo ShareIT for Android 3.0.18和Windows 2.5.1.1。
联想ShareIt产品被发现一个硬编码密码:12345678
无论是使用自行购买的可穿戴设备,还是在企业环境下进行IT事务管理,追踪装置与智能手表等产品正变得愈发谈及——但这也意味着可穿戴式设备很可能成为网络犯罪分子们的下一类重要攻击目标。作为ESET公司的资深安全研究人员,Cobb指出他还没有真正经历过指向可穿戴式设备的攻击活动,但这并不是说我们还可以继续高枕无忧地面对未来。
根据SafeNet公司2015年数据安全信心指数(DSCI)报告显示,在IT社区内,企业对网络外围安全有效性的感知和现实之间的差距在不断扩大。该报告指出,87%的IT决策者认为其网络外围安全系统可以有效阻止未经授权用户。
技术解析:
Magento项目小组目前已经发布补丁,修复Magento上一个高危的安全漏洞。这个漏洞是一个存储型XSS,是安全厂商Sucuri于2015年11月10日发现的,可实施攻击的场景为:当用户注册一个新账户时或者当用户更改当前账户的邮件地址时等涉及到邮箱账号提交的场景。
权限滥用漏洞一般归类于逻辑问题,是指服务端功能开放过多或权限限制不严格,导致攻击者可以通过直接或间接调用的方式达到攻击效果。
Nest的产品中一个比较厉害的特点就是它们全部都是些只能通过Web操作的产品。而获取Nest摄像头或者恒温器数据的唯一途径就是通过Nests的云。而Nest摄像头和Nest恒温器可能会在任何端口运行着任何的服务,我们无从得知。
其他:
