安全半月谈:Java两年来首现0day、KCon2015将召开

2015 年 8 月 17 日

安全要闻

Firefox 42 禁用未签名扩展

尽管主要浏览器仍然在使用 NPAPI 技术,但插件这种历史遗留技术“已经成为导致众多失去响应、甭溃、安全事故以及代码复杂化的罪魁祸首。”Google 已经宣布将移除Netscape 插件API,自Chrome 42 开始禁用NPAPI 和Java、Unity、Silverlight 插件。Mozilla 今年初则宣布将推广强制的扩展签名,扩展开发者需要将扩展递交到AMO 审查,审查之后将会自动获得签名,开发者可以选择将扩展托管在AMO 或其它地方。从Firefox 40 开始,Mozilla 将对未签名扩展发出警告但不禁止安装, Firefox 42 将禁止安装未签名扩展。Nightly 版和开发者版仍然允许安装未签名的扩展。

两年来首次发现 Java 0day 漏洞

最近 Oracle 公司宣布了一个近两年以来首个 Java 0day 漏洞,它影响着 Java Web Start 的应用程序沙箱和 Java applets 的沙箱。该漏洞被确认为 CVE-2015-2590 ,它是趋势科技的智能防护网络在分析一些针对北约成员国和美国国防组织的电子邮件后被发现的。Oracle 公司已经发布了一个补丁,并敦促客户尽快升级。

Kali Linux 2.0 发布,变身滚动更新版

8 月 11 日,著名的数字取证和渗透测试专用操作系统 Kali Linux 发布了 2.0 版,该版本基于 Debian Jessie,采用 4.0 内核,支持多种桌面环境。Kali Linux 2.0 版最大的变化是此后将滚动更新。另外,2.0 版以后将不再包含 Metasploit Community/Pro ,而只提供它的开源版本 metasploit-framework

联想电脑再爆安全问题

上半年,联想因在销售的笔记本产品中预装恶意广告软件 Superfish 引发了争议并被告上法庭,联想公布了卸载指南并在GitHub 上发布了移除工具。时隔不久,用户再次发现联想电脑的BIOS 会向干净安装的电脑中写入联想程序。8 月11 日,联想发表官方声明承认了这个问题,同时放出了新的固件和移除工具

韩国、哈萨克斯坦对华进行黑客攻击

Hacking Team 是一家在意大利米兰注册的软件公司,主要向各国政府及法律机构销售入侵及监视软件,其产品在几十个国家使用。7 月 5 日,Hacking Team 被黑客攻击,超过 400GB 数据随即被公布在互联网上。近日,国内著名第三方漏洞平台乌云网爆料,从泄漏的数据中发现韩国、哈萨克斯坦针对中国发起网络攻击的直接证据。


安全开发

移动应用安全手册
The Mobile Application Hacker’s Handbook 》一书从黑客视角对 iOS、Android、Windows Phone 及 Blackberry 等平台的移动应用安全做了透彻的讲解,让读者了解和掌握常见的移动应用评估、攻击,防御及修复等方法与技巧。

Wi-Fi 安全与渗透测试

Vivek Ramachandran 是 SecurityTube.net 联合创始人、全球畅销书《Backtrack 5 无线渗透测试》作者。作为著名 WiFi 安全专家,他同时也是 BlackHat、Defcon、Hacktivity 等全球顶尖安全峰会的演讲者。 FreeBuf 翻译了他的《Wi-Fi 安全与渗透测试(一)(二)》。

DDoS 攻击原理与防御

DDoS(又名”分布式拒绝服务”)攻击历史由来已久,并被黑客广泛使用,近几年攻击手段更是日趋多元化。 Sobug 总结了 CloudFlare 的一些经验:《浅谈JS DDoS 攻击原理与防御》,阿里安全的云舒也有详尽的《深入浅出DDoS 攻击防御》。


会议沙龙

第三届KCon 将于本周开启

自6 月以来,国内安全会议连绵不断,除了 OWASP 阿里安全峰会乌云安全峰会之外,还有其他小规模的安全沙龙。本周,另一个安全大会——第三届 KCon 2015 “黑无止境”知道创宇黑客技术大会将招开。本届 KCon 将与 XCon 联合举办。XCon 由“呆神”创办,是国内最顶尖且、老牌的黑客大会,迄今为止已经连续举办了 14 年。XCon 去年曾与 GeekPwn 携手


给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。

2015 年 8 月 17 日 19:481608
用户头像

发布了 62 篇内容, 共 16.3 次阅读, 收获喜欢 3 次。

关注

评论

发布
暂无评论
发现更多内容

架构师训练营第四周总结

陌生人

总结04-互联网架构演化

梦子说

课程作业

架构师训练营-作业4

紫极

Week 04 作业

鱼_XueTr

架构

04周作业——互联网系统架构

dao

极客大学架构师训练营 作业

深入解析典型的大型互联网应用系统

拈香(曾德政)

互联网 架构师 极客大学架构师训练营 互联网架构 互联网应用技术方案

【架构师训练营 - week4 -1】作业

早睡早起

系统架构 - 第四周

X﹏X

【架构师训练营 - week4 -2】总结

早睡早起

架构师第四课总结

Dennis

架构师训练营第四周总结

allen

架构师训练营 第四周 命题作业

RZC

架构师 0 期 | 大型互联网系统使用了哪些技术?

刁架构

极客大学架构师训练营

架构学习第四周作业

乐天

架构师训练营第四周课后总结

Cloud.

第四周总结

carol

架构师课作业 - 第四周

Tulane

第四周作业 - 命题作业

molly

极客大学架构师训练营

大规模复杂系统如何架构(一)?

阿飞

架构 极客大学架构师训练营

第四周 - 学习总结

molly

极客大学架构师训练营

第四周作业

qqq

面向对象学习

一叶知秋

Week4-作业

龙7

大型互联网应用的发展和未来

拈香(曾德政)

互联网 极客大学架构师训练营 互联网架构 互联网架构的演进

第四周学习总结

qqq

第四周学习总结

子豪sirius

互联网系统架构——总结(架构师训练营week4)

小叶

极客大学架构师训练营

分布式系统架构学习总结(第四周)

吴建中

极客大学架构师训练营

架构师训练营第四周学习总结

AceXu

学习

互联网系统架构总结

紫极

架构师训练营 - 总结4

进击的炮灰

安全半月谈:Java两年来首现0day、KCon2015将召开-InfoQ