安全要闻
Firefox 42 禁用未签名扩展
尽管主要浏览器仍然在使用 NPAPI 技术,但插件这种历史遗留技术“已经成为导致众多失去响应、甭溃、安全事故以及代码复杂化的罪魁祸首。”Google 已经宣布将移除Netscape 插件API,自Chrome 42 开始禁用NPAPI 和Java、Unity、Silverlight 插件。Mozilla 今年初则宣布将推广强制的扩展签名,扩展开发者需要将扩展递交到AMO 审查,审查之后将会自动获得签名,开发者可以选择将扩展托管在AMO 或其它地方。从Firefox 40 开始,Mozilla 将对未签名扩展发出警告但不禁止安装, Firefox 42 将禁止安装未签名扩展。Nightly 版和开发者版仍然允许安装未签名的扩展。
两年来首次发现 Java 0day 漏洞
最近 Oracle 公司宣布了一个近两年以来首个 Java 0day 漏洞,它影响着 Java Web Start 的应用程序沙箱和 Java applets 的沙箱。该漏洞被确认为 CVE-2015-2590 ,它是趋势科技的智能防护网络在分析一些针对北约成员国和美国国防组织的电子邮件后被发现的。Oracle 公司已经发布了一个补丁,并敦促客户尽快升级。
Kali Linux 2.0 发布,变身滚动更新版
8 月 11 日,著名的数字取证和渗透测试专用操作系统 Kali Linux 发布了 2.0 版,该版本基于 Debian Jessie,采用 4.0 内核,支持多种桌面环境。Kali Linux 2.0 版最大的变化是此后将滚动更新。另外,2.0 版以后将不再包含 Metasploit Community/Pro ,而只提供它的开源版本 metasploit-framework 。
联想电脑再爆安全问题
上半年,联想因在销售的笔记本产品中预装恶意广告软件 Superfish 引发了争议并被告上法庭,联想公布了卸载指南并在GitHub 上发布了移除工具。时隔不久,用户再次发现联想电脑的BIOS 会向干净安装的电脑中写入联想程序。8 月11 日,联想发表官方声明承认了这个问题,同时放出了新的固件和移除工具。
韩国、哈萨克斯坦对华进行黑客攻击
Hacking Team 是一家在意大利米兰注册的软件公司,主要向各国政府及法律机构销售入侵及监视软件,其产品在几十个国家使用。7 月 5 日,Hacking Team 被黑客攻击,超过 400GB 数据随即被公布在互联网上。近日,国内著名第三方漏洞平台乌云网爆料,从泄漏的数据中发现韩国、哈萨克斯坦针对中国发起网络攻击的直接证据。
安全开发
移动应用安全手册
《 The Mobile Application Hacker’s Handbook 》一书从黑客视角对 iOS、Android、Windows Phone 及 Blackberry 等平台的移动应用安全做了透彻的讲解,让读者了解和掌握常见的移动应用评估、攻击,防御及修复等方法与技巧。
Wi-Fi 安全与渗透测试
Vivek Ramachandran 是 SecurityTube.net 联合创始人、全球畅销书《Backtrack 5 无线渗透测试》作者。作为著名 WiFi 安全专家,他同时也是 BlackHat、Defcon、Hacktivity 等全球顶尖安全峰会的演讲者。 FreeBuf 翻译了他的《Wi-Fi 安全与渗透测试(一)、(二)》。
DDoS 攻击原理与防御
DDoS(又名”分布式拒绝服务”)攻击历史由来已久,并被黑客广泛使用,近几年攻击手段更是日趋多元化。 Sobug 总结了 CloudFlare 的一些经验:《浅谈JS DDoS 攻击原理与防御》,阿里安全的云舒也有详尽的《深入浅出DDoS 攻击防御》。
会议沙龙
第三届KCon 将于本周开启
自6 月以来,国内安全会议连绵不断,除了 OWASP 、阿里安全峰会、乌云安全峰会之外,还有其他小规模的安全沙龙。本周,另一个安全大会——第三届 KCon 2015 “黑无止境”知道创宇黑客技术大会将招开。本届 KCon 将与 XCon 联合举办。XCon 由“呆神”创办,是国内最顶尖且、老牌的黑客大会,迄今为止已经连续举办了 14 年。XCon 去年曾与 GeekPwn 携手。
给 InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ , @丁晓昀),微信(微信号: InfoQChina )关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入 InfoQ 读者交流群)。
评论