全球动态

1. 调查：超9成受访中国企业将在2023年提升安全预算

2022年12月23日，思科公司发布《我的场所，我的设备：混合办公下的新网络安全挑战》研究报告，调查了来自27个国家（地区）市场的6700多名安全专业人士，企业员工人数从10人到1000人以上不等。96%的受访中国企业安全主管预计，他们所在的企业将在2023年将网络安全预算增加10%以上。

[阅读原文]

2. 拜登签署 8580 亿美元的国防政策法案，扩大政府网络行动

拜登总统周五签署了一项价值 8580 亿美元的国防政策法案，赋予美国网络司令部更多的权力和义务。[外刊-阅读原文]

3. 欧盟隐私监管机构正调查大规模 Twitter 数据泄露事件

爱尔兰数据保护委员会 (DPC) 正在调查上个月发生的540万Twitter用户数据泄露事件，在12月23日的声明中，称Twitter很可能为此违反了GDPR中个人数据保护的相关条例。[外刊-阅读原文]

4. 蔚来汽车CEO再谈数据泄露：坚决不妥协，呼吁不进行数据买卖

12月25日，在蔚来媒体交流会上，蔚来创始人、董事长兼CEO李斌在谈及数据泄露事件时表示，蔚来“坚决不妥协”，“哪怕公司赔破产了，也不会在这个事情上妥协。”李斌表示，呼吁企业不向数据买卖者妥协，不进行数据买卖。[阅读原文]

5. 中国信息通信研究院预计，到 2030 年我国移动物联网连接数将达到百亿级规模

截至 2022 年 10 月末，我国三大运营商的蜂窝物联网终端用户数已达 17.77 亿户，比上年末净增 3.79 亿户。中国信息通信研究院预计，到 2030 年，我国移动物联网连接数将达到百亿级规模。[阅读原文]

6. 容器验证漏洞允许恶意镜像云化 Kubernetes

完全绕过用于容器镜像导入的 Kyverno 安全机制允许网络攻击者完全接管 Kubernetes pod 以窃取数据并注入恶意软件。[外刊-阅读原文]

安全事件

1. CVSS 评分为 9.6 分，Linux Kernel 被爆可远程执行代码的“关键”SMB 漏洞

安全专家近日在 Linux Kernel 中发现了一个“关键”漏洞（ CVSS 评分为 9.6 分），黑客可以利用该漏洞攻击 SMB 服务器，在远程执行任意代码。这个漏洞主要发生在启用了 ksmbd 的 SMB 服务器上。

[阅读原文]

2. Mozilla 修复了一个存在 18 年的 Firefox 浏览器漏洞

错误 290125 于 2005 年 4 月 12 日首次出现报告，也就是 Firefox 1.0.3 发布前几天，主要涉及 Firefox 如何使用::first-letter CSS 伪元素呈现文本的问题。不过这个问题并未得到重视，一直都被标记为低优先级，因此拖到了现在才修复。 [阅读原文]

3. 新型信息窃取恶意软件通过虚假破解站点感染盗版软件用户

一种名为“RisePro”的新型信息窃取恶意软件正在通过由 PrivateLoader恶意软件分发服务运营的虚假破解站点进行分发，能够从受感染的设备中窃取受害者的信用卡、密码和加密钱包。[外刊-阅读原文]

4. 在多个 PyPI 包中发现 W4SP Stealer，名称各不相同

攻击者已向 Python 包索引 (PyPI) 发布了又一轮恶意包，目的是在受感染的开发人员机器上传播信息窃取恶意软件。[外刊-阅读原文]

5. 专家警告利用 WordPress 礼品卡插件的攻击

黑客正在积极利用一个被追踪为 CVE-2022-45359  (CVSS v3: 9.8) 的严重漏洞，影响 WordPress 插件 YITH WooCommerce Gift Cards Premium。该插件允许在线商店的网站销售礼品卡，这是一个在 50000 多个网站上使用的 WordPress 插件。[外刊-阅读原文]

6. GuLoader 恶意软件利用新技术逃避安全软件

网络安全研究人员揭示了名为GuLoader的高级恶意软件下载器采用多种技术来逃避安全软件。

[外刊-阅读原文]

优质文章

1. 大国摩擦背后，APT组织在打什么如意算盘？| FreeBuf咨询洞察

为了捕捉国际大型APT组织的最新动向，洞察国际APT组织攻击目标、攻击手法、攻击范围的变化趋势，FreeBuf咨询特此发布《APT行业洞察——大国摩擦对APT组织的发展影响》报告。 [阅读原文]

2. NX防护机制以及最基本shellcode

即 No-eXecute，NX的基本原理是将数据所在内存页（用户栈中）标识为不可执行，当程序溢出成功转入shellcode时，程序会尝试在数据页面上执行指令，此时CPU就会抛出异常，而不是去执行恶意指令。道理我们都懂，那么如果我们关闭了NX到底可以干什么呢，该如何利用呢？[阅读原文]

3. 网络安全与数据保护2022年度法律观察与2023年前瞻

2022年虽看似重要立法没有2021年密集，但回顾一年来的实践情况，2022年企业所面临的数据合规实施压力可能更大。网络安全与数据保护领域的内涵不断丰富，监管边际也在不断延展，本文将以一个业内实践者的角度为企业提供一些实务建议。[阅读原文]

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。