OpenSSL 项目发布安全公告称存在一个影响 OpenSSL 1.1.1d, 1.1.1e 和 1.1.1f 的高危漏洞 (CVE-2020-1967)，该漏洞可被用于发起 DoS 攻击。根据官方对该漏洞的描述，在 TLS 1. 如果从另一方接收到一个无效或未被识别的签名算法，则会发生崩溃。这可能会被恶意攻击者利用并发起 DoS 攻击。 该漏洞由 Bernd Edlinger 通过 GCC 中的新静态分析通道 -fanalyzer 发现，并已于2020年4月7日向 OpenSSL 报告。...

据外媒TechCrunch报道，一个存储着数百万张信用卡交易信息的庞大数据库，在公开暴露在互联网上近三周后，已经被保护起来。该数据库属于Paay公司，这是一家位于纽约的信用卡支付处理商。与其他支付处理商一样，该公司代表销售商户（如网店和其他企业）验证支付，以防止欺诈性交易。 但由于服务器上没有密码，任何人都可以访问里面的数据。 安全研究人员Anurag Sen发现了这个数据库。他告诉TechCrunch，他估计数据库中大约有250万条银行卡交易记录。在TechCrunch代表他联系了该公司后，数据库被下线。"4月3日，我们在一个服务上调出了一个新的实例，目前我们正在废止这个服务。...

据外媒报道，在当局处理像COVID-19这种威胁生命的疾病时，最糟糕的事情之一就是安全漏洞。而现在这样的事情已经发生，因为不明身份人士公布了近25000个电子邮件地址和密码，这些电子邮件地址和密码来自不同的组织， 目前还不清楚这些机构遭黑客入侵的时间，也不清楚谁对入侵事件和信息的传播负责，但结果还是令人担忧。其中一些密码仍然可以被用来访问电子邮件地址。监视网上极端主义和恐怖组织的SITE情报组告诉《华盛顿邮报》，这些电子邮件的登录信息在周日被共享。到了周一，这些邮件已经被极右极端分子用来进行黑客攻击和骚扰。...

谷歌已经为Chrome浏览器发布了一个紧急修复补丁，并敦促用户尽快安装。谷歌并没有透露有关于CVE-2020-6457漏洞的更多信息，只是确认为“use after free”类型漏洞。 该漏洞是由Sophos公司的安全研究人员发现的，据说是一个远程代码执行（RCE）漏洞。该漏洞允许攻击者在受害者不知情的情况下运行命令和未受信任的脚本。
安全研究员Paul Ducklin在一篇博文中表示，该漏洞将允许黑客 "改变你的程序内部的控制流，...

OpenSSL 项目发布安全公告，披露了一个影响 OpenSSL v1.1.1d、1.1.1e 和 1.1.1f 的高危漏洞。该漏洞可被用于发动拒绝服务攻击。开发者称，在 TLS 1.3 握手期间或之后调用 SSL_check_chain() 函数的服务器或客户端应用可能会发生崩溃， 受影响的 OpenSSL 1.1.1 版本需要尽可能快的升级到  1.1.1g。该漏洞是 Bernd Edlinger 发现的，他在 4 月 7 日报告给 OpenSSL 项目。两周内释出补丁称得上很迅速了。 (稿源：solidot，封面源自网络。）

从区块链交易数据中获取加密的新的C2地址 `C:\Users\Administrator\AppData\Local\Temp\wup\wup.exe -o stratum+tcp[:]//premiumprice.shop:50001 -u d244dab5-f080-4e0d-a79c-4eeb169b351b -p x --niceh Temp目录下的wup.exe负责下载矿机程序和挖矿配置文件，最后执行另一同名文件C:\Users\Administrator\AppData\Local\Temp\csrss\wup\xarch\wup.exe开启挖矿，该文件由开源挖矿程序XMRig编译。...

4月21日消息，据Android Police报道，近期不少人反映谷歌Pixel手机在运行部分APP时经常出现无响应的情况。报道指出，这是Android 10系统存在的Bug，该Bug不仅影响了谷歌Pixel设备，其它手机品牌也受到了不同程度的影响。 当APP出现无响应情况时，整个系统也会受到影响，导致整个系统不能操作，自然也就无法退出该应用程序，只能是强制锁屏，然后再解锁进入。 Android Police称该场景出现频率较高，一天可能要发生多次。受此影响的APP有YouTube、Twitter、亚马逊、YouTube音乐、Google Play商店等等。...

备受争议的面部识别创业公司Clearview AI的安全漏洞意味着其源代码，一些秘密密钥和云存储凭据，甚至其应用程序的副本都可以公开访问。 TechCrunch报道说，网络安全公司SpiderSilk的首席安全官Mossab Hussein发现了Clearview AI一个暴露的服务器， Clearview AI最早在1月份成为头条新闻，当时《纽约时报》的一次曝光详细介绍了其庞大的面部识别数据库，其中包括从网站和社交媒体平台上抓取的数十亿张图像。用户上传感兴趣的人的照片，Clearview AI的软件将尝试将其与数据库中任何相似的图像进行匹配，从而有可能从单个图像中揭示一个人的身份。...

从事网络安全研究的Group-IB表示，该公司通过分析汇总已知的网络犯罪市场和黑客论坛上发布的交易数据，2019年网络犯罪黑市上出售的网络钓鱼套件的平均价格从2018年录得的122美元飙升至去年的304美元。 尽管网络钓鱼工具包的卖家数量（增长了120%）和网络钓鱼工具包广告的数量（2019年增长了一倍）双双增加，但由于“供需两旺”，钓鱼工具包的价格继续快速上扬。 在Group-IB在2019年识别和跟踪的16200个钓鱼套件中，伪造亚马逊、谷歌、Instagram、Office 365和PayPal的登录页面的手段最为常见。...

自新冠病毒疫情在美国蔓延以来，联邦调查局的网络犯罪投诉中心(IC3)接到的网络犯罪举报量激增，主要是因为美国国内和国际黑客试图在这个时间段进行各种网络攻击活动。 美国联邦调查局网络部副助理主任托尼娅·乌戈雷茨（Tonya Ugoretz）周四表示，IC3每天收到3000-4000起网络安全投诉，而在疫情爆发之前每天收到的投诉量维持在1000起左右。
本周四由Aspen Institute主办的网络研讨会上，乌戈雷茨表示：“我们的网络漏洞越来越多， （稿源：cnBeta，封面源自网络。）...