官方公众号企业安全新浪微博

FreeBuf+小程序把安全装进口袋

全球动态

1. 工信部部长金壮龙会见苹果公司 CEO 库克

10月23日，工业和信息化部部长金壮龙在北京会见苹果公司首席执行官库克，双方就苹果公司在华发展、网络数据安全管理、云服务等议题交换意见。 【阅读原文】

2. 台防务部门内部个人信息遭泄露

据台湾“中时新闻网”等媒体报道，台防务部门政风室日前传出因工作疏漏，情报人员个人资料外流。此消息一出，引发舆论哗然，岛内网友炸轰“太扯了”。 【阅读原文】

3. 暗网反爬虫程序服务让网络钓鱼者能绕过 Google 的红页警告

暗网上的反机器人服务允许网络钓鱼者绕过 Google 的 Red Page 警告，从而逃避检测并使网络钓鱼活动更难阻止。 【外刊-阅读原文】

4. 出于安全考虑，Meta 封禁追踪扎克伯格等私人飞机的账号

Meta 公司近日删除了一系列追踪世界富豪私人飞机的账号，其中包括马克・扎克伯格、埃隆・马斯克和美国前总统唐纳德・特朗普的私人飞机。 【阅读原文】

5. 因黑客攻击相关的误导性披露，美国证券交易委员会对安全公司处以罚款

据美国证券交易委员会称，有四家公司对入侵和网络风险进行了误导性披露，包括Unisys、Avaya、Check Point、Mimecast。【外刊-阅读原文】

6. Mallox 勒索软件漏洞让受害者无需支付赎金即可恢复文件

该漏洞影响了整个 2023 年和 2024 年初活动的恶意软件版本，尽管攻击者在 2024 年 3 月对其进行了修补。 【外刊-阅读原文】

1. 三星设备曝出高危零日漏洞，已在野外被利用

谷歌威胁分析小组（TAG）警告称，三星存在一个零日漏洞，被追踪为 CVE-2024-44068（CVSS 得分为 8.1），且该漏洞已被发现存在被利用的情况。【外刊-阅读原文】

2. Akira 勒索软件开发 Rust 变体以攻击 ESXi 服务器

Akira 勒索软件行为者正在开发 Rust 变体来攻击 ESXi 服务器，采用了双重勒索策略，并影响了许多组织，尤其是在美国。 【外刊-阅读原文】

3. 关键的 OneDev DevOps 平台漏洞让攻击者能够读取敏感数据

研究人员已在 OneDev DevOps 平台中发现了一个关键漏洞，该漏洞对依赖此工具进行软件开发和部署过程的组织构成了重大安全风险。 【外刊-阅读原文】

4. 攻击者正滥用Gophish传播远程访问木马程序

名为Gophish 的开源网络钓鱼工具包正被攻击者用来制作DarkCrystal RAT（又名 DCRat）和PowerRAT 远程访问木马，目标针对俄国用户。 【外刊-阅读原文】

5. 网络犯罪分子利用 Docker API 服务器进行 SRBMiner 加密挖矿攻击

根据 Trend Micro 的新调查结果，已观察到不良行为者以 Docker 远程 API 服务器为目标，在受感染的实例上部署 SRBMiner 加密矿工。 【外刊-阅读原文】

6. 严重 OPA 漏洞暴露了 Windows 凭证

Tenable 的安全搜索人员发现了 CVE-2024-8260 漏洞，该漏洞可能会暴露运行 Styra 的 Open Policy Agent 的 Windows 系统的凭据。Tenable 为此漏洞分配的 CVSS 评分为 6.1，使其成为中等严重性风险。 【外刊-阅读原文】

1. 常见API接口安全设计

目前在企业内API的安全问题越发显得突出，如敏感信息泄露，访问控制失效，浪费系统资源等等，有很多的问题其实是可以在API设计的阶段就解决掉的。因此本篇文章就来看看一些常见的设计规范，如签名，加密等等。 【阅读原文】

2. 安全运营 | 三步走建设路径

安全运营是一项涉及技术、流程和人员有机结合的复杂系统工程。它通过对现有安全产品、工具和服务产生的数据进行有效分析，持续创造价值，解决安全风险，从而实现整体的安全目标。 【阅读原文】

3. 攻击图谱：从实践者的角度看生成式人工智能红队测试中的挑战与陷阱

本文从实践的角度探讨了生成式AI（GenAI）系统在安全防护方面的挑战。 【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022