風(fēng)險漏洞 處處小心

FTP注入漏洞可繞過防火墻

安全人員在Java的FTP URL處理代碼中發(fā)現(xiàn)一個協(xié)議流注入漏洞，可允許攻擊者繞過目標設(shè)備防火墻，此漏洞將允許攻擊者對桌面用戶進行攻擊，即便是用戶沒有啟用任何的Java瀏覽器插件。

Struts2遠程代碼執(zhí)行高危漏洞

安全研究人員發(fā)現(xiàn)J2EE框架Struts2存在遠程代碼執(zhí)行的漏洞，攻擊者可通過修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞，造成系統(tǒng)被控制。

Adwind RAT針對企業(yè)攻擊

卡巴斯基實驗室近日發(fā)現(xiàn)Adwind遠程訪問工具（RAT）實施的一系列攻擊。其會假冒銀行廣告服務(wù)名義發(fā)送電子郵件，郵件附件中包含惡意軟件，這種惡意軟件會讓攻擊者幾乎獲取被感染設(shè)備的完全控制權(quán)限。

WordPress插件漏洞影響超100萬個網(wǎng)站

WordPress的“NextGEN”相冊插件被發(fā)現(xiàn)一個嚴重的SQL注入漏洞。該漏洞允許一個未經(jīng)授權(quán)的用戶從受害人網(wǎng)站的數(shù)據(jù)庫中偷取數(shù)據(jù)，包括用戶的敏感信息。有超100萬個WordPress網(wǎng)站安裝了此插件。

Necurs僵尸網(wǎng)絡(luò)再次肆虐

Necurs僵尸網(wǎng)絡(luò)卷土重來，最主要功能是發(fā)送大量垃圾郵件。其還是一個模塊化的惡意軟件，包含了一個主僵尸網(wǎng)絡(luò)模塊、一個用戶級Rootkit，并且它可以動態(tài)加載其它模塊，威力強大可進行DDoS攻擊。

訪問一個網(wǎng)站就能讓ASLR保護失效

VUSec團隊研究員發(fā)現(xiàn)一個芯片漏洞，其存在于內(nèi)存管理單元的工作方式中，利用此漏洞可繞過ASLR保護。該團隊提醒，免受攻擊的方法是啟用插件，阻止網(wǎng)頁上不受信任的JavaScript代碼在瀏覽器中運行。

云出血：經(jīng)典緩沖區(qū)溢出漏洞卷土重來

谷歌研究人員披露Cloudflare漏洞致網(wǎng)站將用戶隱私會話密鑰及個人信息泄露至陌生人瀏覽器。該泄露會在網(wǎng)頁含有不成對HTML標簽的特定組合時被觸發(fā)。

勒索軟件Spora以離線方式感染

該勒索軟件通過大量垃圾郵件可在短時間內(nèi)感染計算機，其中包含一個用于逃避某些電子郵件掃描器的檢測及最大限度擴大其傳播范圍的HTA文件。該文件還使用rtf.hta和doc.hta雙擴展來欺騙用戶。

硬盤燈可被用來泄露口令和敏感數(shù)據(jù)

本古里安大學(xué)研究人員使用感染了惡意軟件的計算機上的LED燈發(fā)送數(shù)據(jù)，通過LED燈的閃爍，實現(xiàn)二進制數(shù)據(jù)的信號傳播。可謂突破物理隔絕的入侵新方式。

“無文件”惡意程序火爆來襲

“無文件”惡意程序是存在于隨機存取存儲器（RAM）而非硬盤上的惡意程序,其不會將文件復(fù)制到硬盤上，而是直接注入正在運行程序的內(nèi)存，導(dǎo)致惡意軟件直接在系統(tǒng)RAM中執(zhí)行。因其并非以文件形式存在，所以很難被發(fā)現(xiàn)，長期潛伏在用戶系統(tǒng)中。目前已感染全球上百家銀行和金融機構(gòu)。

物聯(lián)網(wǎng)是把雙刃劍

亞信安全網(wǎng)絡(luò)監(jiān)測實驗室報告顯示，聯(lián)網(wǎng)設(shè)備約有七成曾受過釣魚式攻擊，五成受到漏洞攻擊，四成受過分布式拒絕服務(wù)攻擊（DDoS）。勒索軟件攻擊的迅速崛起，讓物聯(lián)網(wǎng)被更多威脅所包圍。

這個惡意軟件竟可自行恢復(fù)

最近被發(fā)現(xiàn)的Magento電商惡意軟件，使用了數(shù)據(jù)庫觸發(fā)器來在被刪除時恢復(fù)自身。該惡意軟件利用SQL存儲過程來實現(xiàn)該操作。

釣魚者使用PDF附件發(fā)起社工攻擊

與其他垃圾郵件廣告系列不同，在這些網(wǎng)絡(luò)釣魚攻擊中看到的PDF附件不包含惡意軟件或漏洞利用代碼。相反，其依靠社會工程將你帶到釣魚網(wǎng)頁，在那里你被要求泄露敏感信息。

聯(lián)網(wǎng)智能語音玩具曝嚴重隱患

某些兒童語音識別和賬戶信息存在暴露隱患。攻擊者只需掌握一定的 Web 搜索技能，就能輕易竊取和勒索用戶數(shù)據(jù)，從而泄露孩子們的隱私。

亞信安全從RSA看人工智能安全

亞信安全認為要將人工智能應(yīng)用于網(wǎng)絡(luò)安全需滿足：用于網(wǎng)絡(luò)安全分析所需要的大量數(shù)據(jù)、對網(wǎng)絡(luò)安全特征標簽的正確提取、適合網(wǎng)絡(luò)安全場景的機器學(xué)習(xí)的算法、具有了解機器學(xué)習(xí)算法并熟悉網(wǎng)絡(luò)安全技術(shù)的專家，這樣才能研發(fā)出真正的幫助企業(yè)抵擋安全威脅的核心技術(shù)。

網(wǎng)站身份認證比加密更重要

HTTPS加密成為新常態(tài)，借助缺乏真實身份認證的免費DV SSL證書，越來越多的惡意軟件、釣魚網(wǎng)站轉(zhuǎn)向加密，逃避安全工具檢測、欺騙用戶信任，使惡意軟件更難被發(fā)現(xiàn)和阻止。

以上信息分別來源于“安全客”、“亞信安全”