搜索结果 - 安全内参 | 决策者的网络安全知识库

VMware vCenter Server信息泄露漏洞 (CVE-2020-3952) 安全通告

漏洞维他命安全 2020-04-12

VMware修复了一个严重漏洞CVE-2020-3952，CVSS评分为10。该漏洞是与目录服务相关的信息泄露漏洞，可被利用来破坏vCenter Server。

微软发布紧急更新，修复Office和Paint 3D多个高危漏洞

漏洞安全牛 2020-04-23

该漏洞目前没有缓解或变通办法，因此强烈建议用户和管理员尽快进行系统更新，尤其是对于那些需要经常处理FBX文件的用户。

福昕软件 (PDF阅读器) 曝出大量高危漏洞

漏洞安全牛 2020-04-22

近日，福昕软件旗下的流行PDF工具先后被曝出高危的远程代码执行漏洞，目前已发布补丁。

因服务器配置错误，人脸识别公司Clearview AI源代码暴露

数据泄露雷锋网 2020-04-19

研究员发现Clearview AI一个暴露的服务器，尽管该服务库受密码保护，但该服务器被配置为允许任何人注册为新用户以登陆存储源代码的服务器。

Microsoft发布2020年4月安全更新

漏洞 CNVD漏洞平台 2020-04-15

利用上述漏洞，攻击者可绕过安全功能限制，获取敏感信息，提升权限，执行远程代码或发起拒绝服务攻击等。

欧洲能源巨头遭勒索，用1000万欧元换10TB数据？

电力能源 FreeBuf 2020-04-15

攻击者利用Ragnar Locker勒索软件袭击了葡萄牙跨国能源公司EDP，并且索要1580的比特币赎金（折合约1090万美元/990万欧元）。

超50万个Zoom账户在暗网出售，1块钱买7000个

数据泄露新智元 2020-04-14

因为全球疫情，Zoom日活用户从1000万疯涨至2亿，但是随即爆出诸多安全漏洞。今天最新消息，超过50万个Zoom账户在暗网上被黑客以白菜价、甚至免费出售。

Lazarus APT组织利用新冠疫情诱饵针对某国的定向攻击分析

APT 奇安信威胁情报中心 2020-04-14

研究员捕获到多例Lazarus团伙利用疫情为诱饵攻击周边国家的样本。定向攻击使用某国特有的HWP文档并伪装为韩国仁川疾控中心的邮件进行投递，具有极强的针对性。

改写VPN的未来：开源协议WireGuard

安全运营数世咨询 2020-04-14

28款流行杀毒软件都存在“符号链接竞争条件”漏洞

漏洞代码卫士 2020-04-26

当用户将一份恶意文件和合法文件链接在一起并在合法文件上执行恶意动作时会触发“符号链接竞争”漏洞，它通常用于将恶意文件链接至更高权限文件，从而导致提权攻击。

虚拟化平台安全漏洞分析和防护研究

安全运营信息通信技术与政策 2020-04-24

本文概述了虚拟化的典型架构和主流平台，分析了虚拟化平台安全漏洞的类型、影响及主要高危漏洞，最后对主流厂商的虚拟化安全防护系统进行分析，并提出防护解决方案。

卡巴斯基：2019年金融行业网络威胁趋势报告

金融保险嘶吼专业版 2020-04-22

2019年，有51.4%的网络钓鱼活动与金融领域有关，其中近三分之一与银行有关。

基于流量分析的软件升级漏洞自动检测方法

安全运营网络与信息安全学报 2020-04-20

本文提出了一种基于网络流量的升级漏洞检测方法。首先记录和分析流量，生成画像，并根据画像通过特征匹配进行漏洞检测，最后对检测结果进行验证得出最终结论。

企业安全架构设计与评审

安全建设君哥的体历 2020-04-19

本文从安全架构定义为出发点，结合系统架构方法论，阐述安全架构设计思路和设计关键点，抛砖引玉，为想从事安全架构设计与评审工作的小伙伴们提供快速导入的思路。

网络安全架构：远程网络访问安全架构

安全建设网络安全观 2020-04-19

远程访问是实现“三个任意”的必要条件，本文给出五种远程访问安全架构：IPsec、TLS VPN、TLS隧道、SDP、云VPN。

云原生安全研究：针对容器的渗透测试方法

安全运营绿盟科技研究通讯 2020-04-17

目前针对云原生环境基石——容器的渗透测试进行介绍的系统化资料较少，笔者在此以导读形式向大家推荐一篇论文，希望能够引发更多的思考。

视频防篡改：融合多特征的视频帧间篡改检测算法

信息通信网络与信息安全学报 2020-04-17

本文提出了融合多特征的视频帧间篡改检测算法，实验对比表明，融合算法的篡改检测效果优于单一特征，且对视频进行分组能够提高融合算法的得分。

可信终端数字身份厂商一砂信息获超千万元Pre-A轮融资

投融资 36氪 2020-04-17

一砂信息的产品技术特点是在手机、IoT等智能终端侧植入可信TA的方式，帮助客户实现端到端的安全身份认证。

国产系统厂商万里红获3亿元融资，正进行IPO辅导

投融资国科嘉和 2020-04-16

万里红科技是第一批从事国产操作系统研发的机构，公司成立于2001年，整合了中国科学院软件研究所、清华大学计算机系和国家保密科学技术研究所三方资源。员工数量近1000人，...

仿效ATT&CK，微软发布云安全攻击矩阵

安全运营安全牛 2020-04-16

安全业界近来非常流行用ATT&CK框架设计知识库框架或威胁建模，最近微软也发布了一个开源云编排框架Kubernetes的攻击矩阵。