2019年04月17日，国家信息安全漏洞共享平台（CNVD）官方发布安全公告 http://www.cnvd.org.cn/webinfo/show/4989称Oracle WebLogic wls9-async组件存在反序列化远程命令执行漏洞，攻击者可利用该漏洞在未授权的情况下远程执行命令。 值得注意的是，知道创宇旗下创宇盾监控发现，该漏洞最早在4月17日存在漏洞扫描痕迹，另外从知道创宇ZoomEye网络空间搜索引擎总共检索到100671条历史数据，其中中国30,600条 主要分布在北京、广东、上海等省市。由此知道创宇404实验室发出紧急漏洞预警，...

据外媒Engadget报道，法国已经按其此前所承诺的那样推出一个安全的政府专用聊天应用程序。该国推出了一个测试版的Tchap，这是一个消息应用程序，可帮助官员通过Android、iOS和网络相互通信。据报道，它们的安全性比现有的应用程序更高。 所有私人会话都是端到端加密的，防病毒软件会筛选所有附件，所有数据都存储在法国。但是，用户只需要一个法国政府的电子邮件地址即可注册。...

前两周发布的 jQuery 3.4.0 除了常规更新外，更重要的是修复了一个称为“原型污染（prototype pollution）”的罕见安全漏洞。 什么是原型污染？顾名思义，原型污染就是指攻击者通过某种手段修改 JavaScript 对象的 prototype。 JavaScript 对象就跟变量一样，但它不是存储一个值（var car =“Fiat”），而是可以包含基于预定义结构的多个值 (var car ={type:"Fiat", model:"500", color:"white"})。...

英国国家网络安全中心（NCSC）发布了一份列表，列出了数据泄露中出现的 100,000 个最常见的密码，以鼓励用户选择强密码。 到目前为止，数据泄露中显示的最常用密码是 “123456”，有 2320 万个帐户使用此密码。另外，全世界有 770 万用户选择使用 “123456789” 作为密码。 紧接着排名靠前的三个密码均被超过 300 万用户使用：“qwerty” 出现 3.8 万次，“password” 出现 3.6 万次，“111111” 出现 310 万次。...

4月22日消息，据微博@互联网的那点事 爆料称，哔哩哔哩（B站）整个网站后台工程源码泄露，并且“不少用户名密码被硬编码在代码里面，谁都可以用。”在GitHub上查询后发现，平台上确实存在由一个名叫“openbilibili”的用户创建的“go-common”代码库。截至发稿时， 针对此事，B站做出回应，“经内部紧急核查，确认该部分代码属于较老的历史版本。”B站表示，已经执行了主动防御措施，确认此事件不会影响网站安全和用户数据安全。B站已第一时间报案，并将彻查源头。 （稿源：，稿件以及封面源自网络。）

OpenSSH 8.0 发布了，此版本缓解了 scp(1) 工具和协议漏洞 CVE-2019-6111，该漏洞此前我们之前报导过：知名文件传输协议 SCP 被曝存在 35 年历史的安全漏洞。 将文件从远程系统复制到本地目录时，SCP 客户端无法验证 SCP 服务器返回的对象是否与请求的东西一致，这使得攻击者可以使用恶意服务器控制的内容创建或破坏本地文件。 OpenSSH 8.0 的缓解措施添加了客户端检查，查看从服务器发送的文件名与命令行请求是否匹配。...

Facebook周四称，该公司员工可在一个内部数据库中看到数以百万计的Instagram用户密码，这些密码以可搜索的格式存储在数据库中。Facebook此次宣布的这一消息是对上个月发表的一篇博文的更新，当时该公司披露信息称，公司员工可以看到数百万Facebook用户密码。 Facebook在这篇博文中提供的最初说法是，数以千计的Instagram密码被泄露。网络安全记者布赖恩·克雷布斯（Brian Krebs）则在3月报道称，最多6亿个Facebook密码遭到泄露。...

2017年，黑客组织Shadow Brokers对外宣称他们已经成功入侵了美国国家安全局（NSA）下属的黑客组织Equation Group，下载了后者大量的攻击工具并在网上发起拍卖。而现在又有黑客发布了类似的黑客工具，不过这次来自于伊朗精英网络间谍部队之一，在业内被称之为APT34， 尽管本次发布的黑客工具并没有2017年NSA泄露的黑客工具那么复杂，但它们依然是非常危险的。这些黑客工具自今年3月中旬开始在网络上发布，以Lab Dookhtegan这个假名在Telegram频道上进行出售。...

讯 北京时间4月18日晚间消息，据美国财经网站CNBC报道，俄罗斯议会本周通过了一项新法规，可能进一步将全球互联网公司隔离在俄罗斯之外。目前，这项新法规还有待俄罗斯总统普京(Vladimir Putin)的签字。 俄罗斯将这项法律定位为一项安全和隐私措施，旨在对抗美国日益咄咄逼人的网络安全立场和日益危险的总体安全威胁形势。但俄罗斯境外的活动人士和其他国际观察人士表示，这项法规将使普京政府对国内的互联网流量拥有更大的控制权。 当前，俄罗斯在允许美国社交媒体公司进入该市场已经保持相对严格的控制，并利用俄罗斯政府支持的替代性服务，以取代Facebook和谷歌Gmail等服务。...

援引外媒Business Insider报道，在未经用户知情或者同意的情况下当用户开设Facebook账号的时候，Facebook已经收集了150万用户的电子邮件联系方式。报道称自2016年5月以来，该社交网络巨头已经收集了超过150万新加入社交网络用户的联系人列表。 一位安全研究专家注意到当用户注册新账号来验证身份的时候，Facebook会要求部分用户输入电子邮件密码。而这种行为遭到了安全专家的广泛抨击。外媒Business Insider随后发现，如果用户在注册过程中输入电子邮件密码，会在没有获得允许的情况下导入用户的电子邮件联系人。...