圣诞节已经过了，但圣诞老人没闲着，他为全体 PlayStation 用户带来了一份特殊的礼物。开发者 SpecterDev 今天终于发布了 PlayStation 4（固件 4.05 ）的内核漏洞。两个月前，Team Fail0verflow 公布了技术细节。 这个内核的 exp 大家可以在 GitHub 上找到，名叫 “ namedobj ” ，这个 exp 能让用户在游戏控制台上运行任意代码，从而越狱或者进行内核级的修改。 尽管 PS4 内核漏洞利用不包括越狱代码，但其他开发者可以在此基础上开发一个完整的越狱工具。...

据外媒 12 月 26 日报道，知名安全调查员 Brian Krebs 发表博文称比特币作为地下网络犯罪中最常用的虚拟货币，其价格的飙升以及交易的相关费用可能会导致交易者将目光转向其他虚拟货币。 Krebs 称长期以来比特币的优势都在于其支付速度快、价格便宜、使用方便。在今年年初之前，比特币的收费还不到 0.10 美元。 而现在因为比特币价格的上涨以及支出的其他交易费用使得比特币在进行小额美元交易方面的吸引力大大降低，但这些交易占据了地下犯罪分子使用比特币支付交易的绝大部分。...

据外媒 12 月 27 日报道，普林斯顿信息技术政策中心（ CTTP ）发现了利用浏览器“自动填充”漏洞窃取用户信息的最新玩法。目前，所有浏览器的登录管理器都存在着一种设计缺陷 ——登录管理器允许浏览器记住用户在每个特定网站上的用户名和密码，并在用户再次访问该网站时自动将其插入到登录表单。 普林斯顿隐私专家警告说，广告和分析公司利用登录管理器的漏洞设置隐藏的登录字段秘密提取网站用户名，并绑定未经身份验证的用户的个人资料或电子邮件访问该网站。 安全隐私专家称这种漏洞已存在十多年，仅在 XSS（跨站点脚本）攻击期间搜集用户信息。不过目前恶意人士已设计了新的攻击方式。
据悉，...

据外媒 12 月 27 日报道，以太坊交易平台 EtherDelta 的域名服务器（ DNS ）证实近期遭到黑客攻击，致使 308 以太币（ 约合 $266,789 ）及潜在价值数十万美元的代币被窃。据悉，此次网络攻击发生于本月 20 日，一度导致 EtherDelta 平台暂停服务， 知情人士透露，此次黑客主要通过 DNS 劫持诱骗用户发送钱款。官方指出伪造的应用程序中不仅没有导航栏上的聊天按钮，也没有官方 Twitter 提要，并且还具有一个伪造的订单簿以便获取用户信任。...

据中国人民银行网站消息，中国人民银行近日发布关于印发《 条码支付业务规范( 试行 ) 》的通知。《 通知 》要求，支付机构不得基于条码技术，从事或变相从事证券、保险、信贷、融资、理财、现金存取等业务。银行、支付机构开展条码支付业务应遵守客户实名制管理规定；遵守反洗钱法律法规要求， 《 通知 》要求，严格遵循业务资质及清算管理要求。非银行支付机构(以下简称支付机构)向客户提供基于条码技术的付款服务的，应当取得网络支付业务许可；支付机构为实体特约商户和网络特约商户提供条码支付收单服务的，应当分别取得银行卡收单业务许可和网络支付业务许可。...

从犯罪经历层面考量：除非你的信息特别有价值，否则没有黑客会专门针对个人发起攻击，尝试窃取你的身份信息。在棱镜监控丑闻以及频发的数据泄露事件影响下，普通网民认为身份窃取有着明确的个人倾向和影响，然而事实上这些黑客行为并不会针对个体发起攻击，而是形成了一套完整的商业牟利的方式。 在他第一次接触暗网并进行分析的时候，被暗网中所充斥的个人信息经济规模所震撼。在此之后，他经常能够接触到包含姓名、住址、电子邮件账号和密码的曝光信息。窃取身份的行为就像是穿着一个隐身斗篷，站在你的旁边看你在 ATM 机上取钱，只不过在网络上情况还要更糟糕。 那么什么是暗网？...

韩国政府于 12月 28 日发表声明称，该国将推行额外措施，以监管比特币交易中的投机行为。这些措施包括禁止开设匿名账户、在司法部要求下关闭虚拟货币交易所等措施。 声明中称：“ 政府已多次警示，虚拟货币不能作为实际货币，有可能因过度波动性导致高损失。”  声明中还提到，韩国交易所的多数虚拟货币价格比其它国家交易所要高很多。 此前于 12 月 13日，韩国正式宣布抑制加密货币投机的措施，包括禁止金融机构持有加密货币和进行加密货币投资，寻求阻止未成年人和非居民进行加密货币交易。同时，韩国财政部将考量针对加密货币征税的可能性。...

即使一些人可能已经窃取你的智能手机，如果他们不知道你的 PIN 码对他们可能也不会有太大的好处。现在来自新加坡南洋理工大学的研究人员已经创建了一个系统，可以根据传感器提供的信息正确猜测手机的 PIN 码。 在 Shivam Bhasin 博士的领导下，研究团队通过让三个人在 Android 智能手机上随机输入 70 个四位 PIN 码来 “ 训练 ” 系统。在每部手机上安装了一个特殊的应用程序，从加速计、陀螺仪、磁力计、接近传感器、气压计和环境光线传感器收集数据。...

据外媒 12 月 26 日报道，Mozilla 近期为其流行的开源  Thunderbird （"雷鸟 "）电子邮件客户端发布了重要安全更新，解决了其 RSS 和客户端中的缓冲区溢出漏洞、用户信息泄露、假冒邮件地址等问题。 Mozilla 于 12 月份发布了五个漏洞修补程序，以下内容为漏洞的具体信息。 CVE -2017-7845（危急）
运行在 Windows 操作系统上的 Thunderbird 的关键缓冲区溢出漏洞，是五个漏洞中最为严重的一个。Mozilla 公告显示，在使用 Direct 3D 9 和 ANGLE 图形库（用于 WebGL 内容）绘制和验证元素时会发生缓冲区溢出，...

为了保护用户免受恶意插件的侵害，一些专家曾建议 WordPress 团队从官方插件目录中删除恶意插件时提醒网站所有者，但这一想法被 WordPress 团队以“可能致使站点面临更大安全风险”的由否定。这个建议争议的地方在于，它造成了一种道德和法律上的两难境地：删除插件能够保护网站免受黑客攻击， 目前，为了抵御一些主要的安全威胁，WordPress 开发人员在发现被感染的插件后会将其回滚到最后一个“干净”的版本，并将其作为一个新的更新强制安装在所有受影响插件的站点上。这样既能删除恶意代码、维护网站安全，同时也能保证网站功能不受影。...