根据 Risk Based Security 公布的最新报告[PDF]，虽然在今年第一季度披露的漏洞数量同比有所下降，但全年漏洞数量达到甚至超过 2019 年的水平。虽然第一季度已披露的漏洞数量同比下降了 19.2%，不过根据 Risk Based Security 的 VulnDB 团队对今年前三季度的统计，累计披露漏洞数量为 17129 个，和去年同期相比仅差 4.6%。 Risk Based Security 漏洞情报副总裁 Brian Martin 表示：“在今年第一季度末，漏洞数量比 2019 年同期锐减 19.2%。从统计学角度来说，这是非常巨大的变化。但随着 2020 年的推移，我们可以看到新冠疫情对漏洞的影响有多大”。 该报告还指出，仍有600个漏洞处于CVE保留状态，这意味着依赖CVE数据库的组织和安全产品无法找到它们的详细信息。微软在第三季度的漏洞数量增加了39％，跃升至前十名中的第九名，跃升至其他供应商。补丁星期二活动修复的漏洞数量也有所增加。 Martin 表示：“补丁星期二活动已经成为一项非常严肃的工作，可能会对 IT 团队造成难以置信的负担，这些团队的补救工作可以持续数周时间。毋庸置疑，随着星期二补丁程序工作量的增加，补救所需的时间也会随之而来。仍仅依靠 CVE / NVD 的组织，他们可能会发现，由于 MITER ‘遗漏’的漏洞数量保持一致，他们的时间表可能会进一步延长”。         （消息及封面来源：cnBeta）

网络安全公司难道也不安全了吗？全球最大的网安公司之一、总部位于美国加州的火眼（FireEye）8日证实，该公司用于测试客户防御能力的软件工具遭到一次高度复杂的国家级别网络攻击。据美国《华尔街日报》9日报道，火眼表示，此次被黑客攻击的工具名为“红队”，此类工具可以用于检查火眼公司客户的防御系统，找出可能被攻击的漏洞。 此外，黑客还侵入了一些内部系统，主要寻求有关政府客户的信息。火眼透露，目前为止，还没有任何证据表明，存储客户数据的主系统有数据外泄。火眼公司在全球拥有大量客户，包括索尼等跨国企业，也包括美国国土安全部等美国联邦和地方政府部门。 火眼首席执行官、前空军军官凯文·曼迪亚在8日发表的一篇博客文章中说，“我的结论是，我们正在见证一场拥有顶级进攻能力的国家发动的袭击。袭击者专门针对火眼打造了世界级的攻击能力。”火眼表示，正在与美国联邦调查局（FBI）和包括微软在内的行业伙伴合作，继续调查此事。FBI网络部门助理主管马特·戈汉姆在一份书面声明中表示，“FBI正在调查这起事件，初步迹象显示，实施者的老练程度达到了国家级别。” 报道援引了解调查情况人士的话称，黑客训练有素，罕见地使用了多种攻击工具的组合，其中一些工具显然以前没有在任何已知网络攻击中使用过，老练程度非同一般，同时也展示了不寻常的意志决心，而且这些工具是专门用于破坏火眼的。这些黑客据称还采用了先进的手段来隐藏自己的活动与身份。目前还不清楚此次攻击是在何时发生的，也不清楚火眼发现被攻击的确切时间，了解调查情况的人士称，该公司并不确定攻击者是如何入侵自身系统的。 国内一名不具名的网络安全专家9日接受《环球时报》记者采访时表示，虽然火眼是全球最大的网络安全公司之一，但“没有黑不了的系统，就算再专业的安全公司也不能保证百分百安全”。这名网络安全专家表示，火眼之所以成为攻击目标，可能是由于拥有专业的网络攻击武器库，并掌握一些行业内尚未发现的漏洞，这些漏洞具有较高的价值。这并非是火眼公司首次遭到黑客攻击。2017年，火眼旗下的Mandiant公司的内网也曾被黑客入侵，导致大量内部资料泄露。 上述网络安全专家表示，由于此次攻击手段主要是APT攻击，防御难度较大。所谓APT攻击是指高级可持续威胁攻击，不仅会采用传统的网络攻击技术，也会结合一些社会工程学手段，通过人的弱点结合漏洞进行尝试攻击。 《华尔街日报》称，火眼不愿就该公司认为谁是侵入自己黑客工具的幕后黑手置评，但一位知情人士表示，包括美国情报部门在内的调查机构目前认为，俄罗斯是最有可能的罪魁祸首，但调查还在继续。该知情人士称，据信此次事件是俄罗斯对外情报局（SVR）所为。         （消息及封面来源：cnBeta）

作为以《巫师》系列被人们所熟知的开发商，CD Projekt 早在 2012 年就宣布了以开放世界、丰富剧情、以及科幻体验为主打的《赛博朋克 2077》项目。但作为 2020 年度最受期待的游戏作品之一，屡次跳票的 CD Projeky 的《赛博朋克 2077》也早已被诈骗分子给盯上。如果你看到打着“免费获取”字样的链接，还请务必提高警惕。 据悉，《赛博朋克 2077》的购置成本在 70 美元（约 458 RMB）左右。但与任何容易被骗子蹭热度的 IP 一样，互联网上已经充斥着各种“白嫖”选项。 软件安全企业卡巴斯基警告称，尽管大多数人会对这种骗局免疫，但大家仍不该对此掉以轻心。通常情况下，这些“李鬼”会附带毫无用处的安装程序。 除了稍微花了点心思装点门面的所谓“正在加载”屏幕，玩家会在各个方面被骗子耍得团团转，比如被要求参与问卷调查、提供私密信息，甚至窃取数据和危害计算机安全。         （消息及封面来源：cnBeta）

据路透社报道，芬兰议会周一通过一项法律，允许有关部门在“有严重理由怀疑使用电信网络设备会危及国家安全或国防安全”时，禁止使用该设备。这个北欧国家与其邻国瑞典不同，没有根据原产国禁止任何设备供应商，也没有点名提及中国的华为或中兴。芬兰是主要设备供应商之一的诺基亚的总部所在地。 继10月份瑞典电信监管机构出人意料地决定禁止参与5G频谱拍卖的运营商使用中国公司的设备后，该国的5G频谱拍卖因法院案件陷入僵局。 芬兰新法律规定，该规定仅适用于具有网络流量的网络通道的关键部分。 今年1月，欧盟（EC）面向其27个成员国发布了一份建议“工具箱”，称它们可以“限制或排除”华为等所谓的高风险5G供应商进入其电信网络的核心部分。 “遗憾的是，国际网络安全辩论只集中在中国厂商身上，而我们知道，所有厂商的设备都可能存在漏洞，”华为的一名发言人说，“然而，芬兰法律采取了更为现实的方法，将重点放在设备而非供应商上。” 芬兰法律的规定可以追溯适用，这意味着涉及在新规定生效之前已在使用的网络设备。 虽然诺基亚和爱立信是芬兰的主要设备供应商，但运营商Elisa和DNA Oyj也部分使用了华为提供的设备，开始在该国推出5G网络。 法律规定，如果任何设备被责令搬迁，政府将支付赔偿。       （消息及封面来源：cnBeta）

网络安全研究公司 FireEye 在向美国证券交易委员会（SEC）提交的文件中指出，近年来的网络攻击事件，已较此前发生了相当大的变化。在周二的一篇博客文章中，FireEye 首席执行官 Kevin Mandia 称黑客的攻击目标已更具针对性，且幕后有着深厚的资源和背景。 此前，FireEye 调查过针对美方目标（比如 Equifax 和民主党全国委员会）的多起黑客攻击事件。但最近的一次案例，甚至导致了该公司的 Red Team 攻击测试工具被窃取。 “据悉，Red Team 是用于测试客户漏洞的一系列恶意软件和漏洞利用程序，但 Kevin Mandia 声称其并非基于零日漏洞的利用。 基于 25 年的网络安全和事件响应经验而得出的结论，FireEye 认为攻击者背后有着国家级的实力，与多年来应对的数万起常规黑客事件有着极大的不同。” Kevin Mandia 指出，攻击者量为 FireEye 量身定制了一套极具针对性的攻击方案。目前该公司正在与联邦调查局和微软等合作伙伴一道，对这起黑客攻击的幕后主使进行筛查” FBI 网络部助理主任 Matt Gorham 表示，有初步迹象表明，攻击者背后有着高度成熟的国家级资源和技术支撑。 “协助调查的微软补充道，为窃取 FireEye 的工具，黑客使用了相当罕见的技术组合。此外该公司在一份声明中称： 此事件强调了安全行业必须共同努力，以新颖和先进的技术来抵御资源雄厚的对手所构成的威胁。我们赞扬 FireEye 的公开与协作，这让大家都能够作出更好的准备。” 在提交给 SEC 的文件中，FireEye 强调黑客使用了一套极其复杂的攻击方法来隐匿痕迹（提升了取证调查的难度），且该公司此前从未见过这样的技术组合。 最后，虽然目前 FireEye 尚未发现被盗的工具有被用于任何活动，但该公司将对此展开持续的监测，同时也在 GitHub 上公布了相关的应对策略。       （消息来源：cnBeta；封面来自网络）

跨站泄露，也被称为 “XS-Leaks”，是网络设计中的一类问题，它允许网络应用相互交互，即使它们不相关。这导致用户数据在不同的Web应用之间共享，通常会带来严重的安全漏洞。依靠跨站泄密的安全漏洞日渐增多，为了解决这一问题，谷歌宣布建立了一个知识库，以便开发者和安全研究人员更好地了解这个问题，并围绕它建立防御措施。 这一知识库被称为 “XS-Leaks Wiki”，包含的文章解释了跨站点泄漏的概念，演示一些常见的攻击，以及你介绍针对它们设置的防御措施。除了每种攻击的细节，还提供概念验证代码。 这个知识库的另一个目标也是帮助开发者了解浏览器提供的各种安全功能，以防止跨站泄漏，如跨源资源策略和SameSite cookie。 谷歌希望将这个知识库提供给公司、安全研究人员和网络开发人员，以使所有相关方提供的多年经验基础上，通过保护所有用户免受利用这种行为的威胁，使网络对所有用户更加安全。 你可以通过访问谷歌的专门网站了解更多关于跨站泄密的信息，这里是谷歌的专门网站，或者这里是相关的GitHub仓库。         （消息来源：cnBeta；封面来自网络）

外媒报道称，美国刚刚与澳大利亚签署了一份双边协议，以允许美国网络司令部（USCYBERCOM）与澳大利亚国防军信息战部门（IWD）共同开发和分享虚拟网络培训平台。通过将 IWD 的反馈意见纳入 USCYBERCOM 的模拟培训领域，两国将努力推动持久性网络训练环境（PCTE）的目标实现。 美方签字代表 Elizabeth Wilson 表示，该项目是美澳合作的一个里程碑，也是美国陆军与盟国之间建立的首个网络协议，凸显了澳大利亚在该领域的合作伙伴价值。 与以往每次都要耗费数月时间来搭建的虚拟场景相比，新方法能够极大地减少美国与盟军网络部队开发联合虚拟培训平台所需的时间。 此外通过调整陆军的战略思维，PCTE 旨在应对已知和潜在的威胁，并将精力集中到新兴和智能技术上，以增强战斗能力和克敌制胜。 PCTE 现提供了一个协作式培训平台，以便 USCYBERCOM、IWD 和盟军（包括但不限于“五眼”情报联盟情报合作伙伴）在单独或协作式培训期间重复使用或二次开发。 USCYBERCOM 指出，其长期目标是为相关作战人员提供网络空间培训、认证、以及任务演练等能力。可定制的模拟培训环境，还具有高保真和可伸缩的现实特性。 据悉，作为美军“联合网络作战架构”的一部分，该项目于 2020 年 2 月启动。而近日与澳大利亚签署的新协议，将在未来六年内投入 2.519 亿美元的开发资金。       （消息来源：cnBeta；封面来自网络）

鉴于 UEFI SecureBoot 诞生初期种种令人头疼和担忧的问题，对于资深的 Linux 用户来说在听到微软正以安全的名义开发另一个固件级别的标准这无疑会引起更多的担忧… 微软和英特尔一直牵头平台 Runtime 机制（PRM），将代码从系统管理模式（SMM）中挪出来并在 OS/VMM 内容中执行。 目前 PRM 仍在开发中，不过已经邀请 Windows Insider 项目成员进行测试。而 Linux 的支持将会在 ACPI 规范完成之后提供。PRM 已经上线一年多时间了，主要目的是将更多的代码从“潜伏的黑箱子”–SMM中挪出来，并移入到 OS/VMM 内容中进行执行。虽然，微软将 SMM 称其为“黑盒子” 有点讽刺意味，但 SMM 存在恶意 Rootkit 和其他问题，让很多人都对 SMM 有所关注。 但是，除了围绕SMM的安全问题外，还可能存在性能影响和其他因素，因此英特尔和微软一直在推动将不需要 SMM 特权的 SMI 处理程序挪出来，通过暂定的 PRM 来进入操作系统中运行。SMM 依然保留部分需要提权的处理程序。 通过 TianoCore 的 edk2 过渡 PlatformRuntimeMechanisms 分支，稳定了PRM的开源通用基础结构实现。还提供了开放源代码的示例PRM模块以及文档。实际的 PRM 规范虽然仍待 ACPI 和 UEFI 工作组确定，但听起来将在 2021 年敲定。最新的 Windows Insider 版本已经提供了初步的支持，而 Linux 对 PRM 的支持将在 PRM 规范发布之后部署，并且内核代码经历了通常的上游审查过程。       （消息来源：cnBeta；封面来自网络）

Debian 项目今天正式发布了 Debian 10.7 维护版本更新。本次发行版本修复了诸多安全问题并对部分“严重问题”进行了调整。和所有 Debian 维护版本更新一样，如果你已经安装了该分支的 Debian 版本那么可以自动更新升级至 10.7 新版本。 Debian 10.7 对诸多核心组件进行了更新，包括 Linux Kernel、OpenJDK，Ruby，SQLite，systemd，Tor，Thunderbird，Firefox ESR，MariaDB，Wordpress和Transmission。 Debian 10 于2019年7月份发布，并将持续支持到 2022 年。到期之后它将会移交给 Long-Term Support 团队，持续提供到 2024 年。下个版本 Debian 11 依然没有准确的公布时间，但应该会在 2021 年发布。         （消息及封面来源：cnBeta）

安全专家分析了Docker Hub上托管的400万个共享文件夹，发现其中一半存在严重漏洞。 该网络安全公司使用其Prevasio Analyzer服务器在800台计算机上运行了一个月。在400万张文件夹中，有51％存在至少一个漏洞程序包或应用程序，13％存在高危漏洞。 “安全专家还发现了6432个潜在恶意漏洞，占Docker Hub上共享文件夹的0.16％。” Prevasio发布的分析报告显示，“这份报告解释了恶意软件类型以及相关典型示例。” 转专门研究Linux的研究人员发现，由于仅针对Windows生成而未针对Linux生成，将近1％的映像被排除外。 研究人员还发现，恶意软件潜藏在6,432张图像中，例如加密货币矿工、黑客工具、恶意npm软件包stream、受害应用程序。 潜在受害图像总数量超过3亿，部分包含动态有效载荷，勒索软件会在运行时下载加密货币矿工的源代码并执行它。 专家指出，目前发现的大多数恶意软件都以Windows为目标。报告总结称：“ Prevasio调查表明，Linux操作系统无法幸免于安全风险。” “我们的研究表明，主要安全风险是由关键漏洞造成的。Docker Hub托管的所有图像文件中，有一半以上包含一个或多个严重漏洞;另一个风险是，在400万个共享文件中，有6432个被发现包含恶意潜在漏洞。”       消息及封面来源：securityaffairs；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ”