近期，国家信息安全漏洞共享平台（CNVD）收录了多款 mtk 平台手机广升 FOTA 服务存在的 system 权限提升漏洞（CNVD-2016-11347)。综合利用该漏洞，攻击者可将权限提升至 system 权限，进而有可能发起植入恶意软件、以控制或窃取信息为目的的大规模攻击。 一、漏洞情况分析 上海广升信息技术股份有限公司（简称上海广升公司）是终端管理云平台提供商，主要为 IoT 设备（智能汽车、穿戴、家居、VR 等）提供无线升级解决方案。由于使用广升 FOTA 服务的手机存在某系统内置的app，该app 包含对应的绑定服务，可通过传入参数达到以 system 权限执行命令。攻击者利用漏洞可将权限提升至system 权限。 CNVD 对该漏洞的技术评级为“中危”，但其影响范围较广，且后续可实施的其他高权限操作可能危及移动智能终端用户安全。 二、漏洞影响范围 该漏洞影响所有使用广升 FOTA 服务的 mtk 平台手机。根据报送者提供的测试情况，目前一些国内主流手机厂商的相关型号手机产品（如：360 f4 手机、华为畅享 5S、vivox7、oppo r9m 等）都受到漏洞的影响。 三、漏洞修复建议 目前，上海广升公司已提供漏洞修补方案并已着手积极通报渠道厂商修复该漏洞。CNVD 建议合作渠道手机生产厂商及时与上海广升公司联系，升级到最新版本，避免引发漏洞相关的网络安全事件。 稿源：国家信息安全漏洞共享平台，封面来源：百度搜索

SpaceX 公司创始人 Elon Musk 提出了一个新计划，拟从太空为世界范围内的用户提供低成本的互联网服务。 私人火箭发射服务 SpaceX 公司已向美国政府申请批准发射提供全球互联网访问服务的卫星，据提交给美国联邦通讯委员会（FFC）的文件显示，该系统将由 4425 可卫星组成，旨在提供全球范围内的住宅，商业，机构，政府和专业用户的宽带和通信服务。 每颗卫星重850磅（386公斤），信号可以覆盖约 2120 公里宽的椭圆范围，运行轨道离地面 714 到 823 英里（约合 1150 到 1325 千米）。首批 800 颗卫星将用于在美国（包括波多黎各和美属维尔京群岛）拓展互联网访问服务。 SpaceX公司称，一旦全面部署，SpaceX 卫星系统将能够覆盖到整个地表的各个角落，从而提供一个基于太空的全球互联网网络，上网速度将达到 1 Gbps。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，昨晚几个高知名度的 Twitter 账户被黑客入侵，发布链接帖子称可提供免费服务帮助用户快速获得的众多粉丝关注。被黑账户包括 @PlayStation、微软的 @XboxSupport、@Viacom、@ICRC（红十字会所拥有）、@Money 。据调查，黑客不是直接攻击推特账号，而是攻击了推特的服务器 Twitter Counter。黑客获得了登陆这些账号的方法并在其账号上发布链接信息。Twitter Counter 在发现入侵事件后，迅速反应阻止黑客继续入侵并删除黑客发帖内容。 此外，一些账户也遭到针对性攻击，如美国国家运输安全委员会、查理辛、梅西、航天明星等。目前还无法得知所有被黑账号的信息，但可以明确的是这次攻击行动都是针对“热门”账号。 稿源：本站翻译整理，封面来源：百度搜索

PC 以及智能手机用户安装防病毒软件已成了必须要做的事，而定期对硬盘进行扫描也是很多用户的习惯。不过 Google 的高级安全工程师 Darren Bilby 却表示，病毒扫描和入侵检测系统非常的鸡肋。 日前召开的 Kiwicon 黑客峰会上，Darren Bilby 表示，用户不要再为这些安全产品充值信仰了，因为一些病毒扫描和入侵检测系统非常的鸡肋。“侵入检测系统并没有任何实质帮助，而且扫描过程必然需要耗费一些时间，与其如此还不如做一些真正有意义的事情”，Bilby 强调。 Bilby 希望今后的“安全类型”应该注重白名单、硬件安全密钥和动态访问权限方面的发展。Bilby 说道：“防病毒产品确实做了一些事情，但这就像是一只金丝雀在煤矿中。而更为糟糕的是，我们站在已经死亡的金丝雀旁边然后说道‘感谢上帝啊，它已经吸入了所有的有毒气体。’” 他同时还认为那些安全上网的建议都是非常“糟糕”。Bilby 认为不应该要求用户不要点击网络钓鱼网站和不要下载奇怪的可执行文件，而是应该要求硬件和软件厂商将产品打造的足够安全，他说道：“我们给消费者并不安全的网络系统，却又责备我们的用户。” 稿源：今日头条，封面来源：百度搜索

黑客 Kapustkiy 入侵意大利政府网站 （Dipartimento della Funzione Pubblica），包含 4.5 万用户的数据库遭黑客“拖库”，黑客已经在网上公布其中 9000 名用户的信息。据称黑客利用了网站 SQL 漏洞入侵数据库，黑客将数据库中的 9000 名用户信息的的 Excel 文件链接分享到 Pastebin 网站。 Kapustkiy 称此前已经联系该网站的管理员并报告此问题，但没有得到答复，此举的目的只是希望网站能改善其安全状况。不过此后网站更改为“维护模式”。 此前，黑客 Kapustkiy 还通过 SQL 漏洞入侵了印度驻外大使馆、巴拉圭驻台湾大使馆、印度驻纽约大使馆和两所高校数据库。印度当局已发出了一份公开声明，感谢这位年轻的黑客揭露网站漏洞，改善网站安全水平。 稿源：本站翻译整理，封面来源：百度搜索

SHA-1是一种散列算法，自从1995年发布以来已被广泛使用，但是，在2005年被攻破之后，它不再被认为是安全的加密手段，并由更安全的散列函数SHA-2和SHA-3取代。包括谷歌、Mozilla和微软在内，许多公司已经宣布许它们将在 2017 年前停止接受 SHA-1 TLS 证书。 现在微软表示，从 2017 年 2 月 14 日起，公司不赞成使用 SHA-1 签名的证书，届时部分网站，用户和第三方应用程序将受到影响。微软这份声明，是为了进一步增强 Edge 和 IE 11 浏览器的安全功能，这两个浏览器将不会加载显示使用 SHA-1 签名证书的网站，并显示“无效证书”警告，但用户可以选择绕过警告并访问可能有漏洞的网站。微软已经澄清，这只会影响使用 SHA-1 签名证书并且链接到微软受信任根 CA 的网站，而手动安装企业 SHA-1 证书或自签名 SHA-1 证书的网站将不受影响。 稿源：cnbeta.com，封面来源：百度搜索

微软向 Windows 10 用户推送了新的 Windows Tips 推荐，通知 Chrome 和 Firefox 用户它的 Edge 浏览器更安全。微软正致力于用 Edge 替换 IE，但其浏览器份额已经跌至 Chrome 的一半。根据微软发言人的说法，最新一波的 Windows Tips 是从11月初开始推送给用户的。微软曾在今年7月通过 Windows Tips 向 Chrome 和 Firefox 用户弹出过类似的建议，当时声称它的Edge更省电。 稿源：solidot奇客，封面来源：百度搜索

据加拿大媒体报道，11 月 17 日加拿大武装部队征兵网站遭到黑客入侵，页面被重定向至中国政府网站。 加拿大武装部队征兵网站（forces.ca）由加拿大国防部于 2001 年 2 月注册使用。 公共安全部长 Ralph Goodale 称这一安全漏洞事件目前仍然在调查中，尚不知新兵的信息是否已经泄露。碰巧的是，就在几天前加拿大国防参谋长刚刚参加了下议院国防委员会举行的关于军方网络安全实施的会议，他在会议上称：“我们有自己的专门部门和机构去保护军队的网络安全。” 截止发稿前，该网站已经恢复正常。 稿源：本站翻译整理，封面来源：百度搜索

据韩媒报道，韩国地图出境申请协商机制 18 日在国土地理信息院开会审议，决定不批准谷歌公司将韩国地图数据带出境外。据报道，韩国地图出境申请协商机制由国土交通部旗下国土地理信息院、未来创造科学部、外交部、统一部、国防部、行政自治部、产业通商资源部组成。 国土地理信息院表示，谷歌带走地图数据可能给韩国的国家安全带来影响，因此要求谷歌对卫星视频进行模糊处理，而谷歌未接受该要求，故不批准谷歌将数据带出境外。国土地理信息院表示，如果谷歌采取完善措施后再次提出申请，将重新审议。 韩国，因政府管制无法将地图数据带出境外，谷歌在韩临时设置地图服务器，但该服务器能提供的服务只有正常水平的 20%。 谷歌今年6月向韩国政府申请带走韩国地图数据。该申请的审议期限截至8月25日，但政府则提出需要进行额外审议，将期限推迟到 11 月 23 日。 稿源：cnbeta.com，封面来源：百度搜索

据外媒报道，Troy Hunt 偶然收到一个数据交易中心发送的一份文件，该文件是一个大小约 594MB 名称为 geekedin.net_mirror_20160815.7z 的压缩文件。据称该文件属于 GeekedIn 网站八月份的 MongoDB 数据库备份。 在文件中，作者找到了自己的个人信息，下面是部分文件截图。 作者认为可能是 GitHub 数据泄露，进一步分析，作者发现这些配置信息似乎来自 GitHub 的公开信息，并发现 820 万个不同的电子邮件地址。 作者向 GitHub 反应了该情况并得到回复： 由于种种原因第三方会爬取 GitHub 上的公共数据，比如学术研究，官方允许这种类型的数据采集。但是，绝不容忍将数据用于商业目的。 但很显然 GeekedIn 公司将 GitHub 的用户信息用于商业用途。 稿源：本站翻译整理，封面来源：百度搜索