Hackernews 编译，转载请注明出处： 美国网络安全与基础设施安全局（CISA）周一在其已知漏洞利用目录（KEV）中，添加了一个影响Oracle Fusion中间件的关键漏洞，引用了积极利用漏洞的证据。 该漏洞被跟踪为CVE-2021-35587, CVSS评分为9.8，影响Oracle Access Manager (OAM)版本11.1.2.3.0、12.2.1.3.0和12.2.1.4.0。...

美国网络司令部已于今年10月与国防高级研究项目局（DARPA）签署合作谅解备忘录，两个机构将建立聚焦需求确立及加速创新网络科技成果转化的合作关系，网络司令部未来将深入参与其感兴趣的国防高级研究项目局科研项目，并在相关项目产出成果时投资支持其转化为美军网络战能力。 美国网络司令部和国防高级研究项目局未来合作将采取所谓“星座”（Constellation）的流水线式作业模式——国防高级研究项目局发起科研项目，而网络司令部在项目开展过程中参与并提供意见建议，之后再共同将项目成果转化为与网络司令部现有的“联合平台”（Unified Platform）、“持续网络训练...

安全内参11月29日消息，受网络攻击影响，太平洋岛国瓦努阿图政府已经离线约三个星期。民众难以获得服务，部分公务员也被迫重新拿起笔纸来办理事务。 几天过去，有官员告知当地新闻媒体，政府网络、官方网站和在线服务曾在11月6日遭到“入侵”。在此之后，政府一直对攻击事件和系统恢复问题三缄其口，这招致了一些批评声音，有新闻媒体甚至将这次黑客攻击称为“我们最深处的秘密”。 居民生活和工作受到极大影响...

早在今年7月，CloudSEK研究人员就发现了一场大规模的网络钓鱼活动，黑客通过假冒阿联酋政府人力资源部开展诈骗。时至今日，经过4个月的时间，这场钓鱼活动态势非但没有减弱，反而变本加厉，其规模可能比之前认为的更大。 CloudSEK 的安全研究人员于11月28日发布了一份关于该威胁的最新报告。报告称，该公司发现了另外一组网络钓鱼域，这些域使用与 7 月份类似的命名方案进行注册，以通过供应商注册、合同投标和其他类型的诱饵来瞄准阿联酋的承包商。这场运动背后的威胁行为者正在战略性地购买/注册与受害域相似的关键字的域，...

DUCKTAIL 攻击者进行研究 攻击者改用 GlobalSign 作为证书颁发机构 坏演员一直在试验...

数据抓取 数据抓取器是一种自动化机器人工具，能利用 Facebook 等保存用户数据平台的开放网络 API 来提取公开信息并创建大量用户资料数据库。

虽然不涉及黑客攻击，但爬虫收集的数据集可以与来自多个点（站点）的数据相结合，创建完整的用户档案，从而使黑客的攻击目标更加精准有效。在 Meta 的案例中，...

Hackernews 编译，转载请注明出处： ESET宣布发现了一个影响宏碁笔记本电脑的漏洞，该漏洞允许攻击者停用UEFI Secure Boot。 专家解释说，该漏洞被追踪为CVE-2022-4020，与联想公司本月早些时候披露的漏洞类似。...

Hackernews 编译，转载请注明出处： 推特首席执行官埃隆·马斯克证实了在该平台上为直接消息提供端到端加密（E2EE）的计划。 这项功能是马斯克对Twitter 2.0愿景的一部分，预计将成为所谓的“万能应用”。据马斯克称，其他功能包括长篇推文和支付。...

安全内参11月28日消息，印度主要公共医疗机构之一，全印度医学科学研究所（AIIMS）遭遇网络攻击，出现业务中断。

此次中断影响到数百位使用基础医疗保健服务的患者和医生，波及患者入院、出院和计费等系统。

AIIMS成立于1956年，拥有数千位医学本科生和研究生。...

（图一：2022年中国安全技术成熟度曲线） 中国的机密计算
机密计算是在基于硬件的可信执行环境（TEE，也被称作Enclave）中执行代码的安全机制。这些Enclave将代码和数据与主机系统及主机系统所有者隔离，保护代码和数据的安全，同时确保代码完整性并进行证明。

中国于2020年将数据定义为一种生产要素，...