全球动态

1. 国家网信办：网安标委要加快推动《人工智能生成合成内容标识方法》等标准的研制发布，强化自动驾驶等相关网络安全标准研究

2024年12月8日-11日，全国网络安全标准化技术委员会2024年第二次“标准周”活动在海南省海口市举办。中央网信办副主任、国家网信办副主任、网安标委主任委员王京涛指出，要以标准支撑构建国家网络安全防御体系，尽快推动关键信息基础设施边界确定方法、安全保护能力指标体系、网络安全产品告警信息格式、资产信息格式等标准的发布和实施工作，加快形成体系化的防御能力。   【阅读原文】

2. 年轻人开始给眼珠子拍照了，“虹膜写真”或致信息泄露？

有专家在接受媒体采访时提醒，虹膜和人的指纹一样，其纹理特征包含着很多独一无二的个人信息。尽管虹膜写真和虹膜生物认证在硬件、软件和技术原理上并不完全相同，但不排除有别有用心的不法分子可能利用虹膜的写真照片，结合相关技术手段对虹膜生物认证系统进行破解，因此其建议对于拍摄的虹膜写真，尽可能不要在公共场合展示。 【阅读原文】

3. 欧洲刑警组织关闭了 27 家 DDoS 攻击平台供应商，管理员被捕

作为由欧洲刑警组织协调的国际行动 PowerOFF 的一部分，当局已经查获了 27 个用于实施这些攻击的最受欢迎的平台。这些平台被称为“booter”和“stresser”网站，使网络犯罪分子和黑客能够用非法流量淹没目标，使网站和其他基于 Web 的服务无法访问。 【外刊-阅读原文】

4. 研究人员在一小时内破解了微软 Azure 的多因素验证

由于存在一个关键漏洞，研究人员在大约一个小时内就破解了微软 Azure 的多因素身份验证（MFA）方法，该漏洞允许他们在未经授权的情况下访问用户的账户，包括 Outlook 电子邮件、OneDrive 文件、Teams 聊天记录、Azure 云等。 【外刊-阅读原文】

5. Fortinet 收购 Perception Point 以提高电子邮件安全性

全球领先的网络安全解决方案厂商Fortinet 12月11日宣布完成对高级协作和电子邮件安全领域的先驱 Perception Point 的收购。 【外刊-阅读原文】

6. 新的恶意软件技术可以利用 Windows UI 框架来逃避 EDR 工具

一种新开发的技术利用名为 UI 自动化 （UIA） 的 Windows 辅助功能框架来执行各种恶意活动，而不会泄露端点检测和响应 （EDR） 解决方案。 【外刊-阅读原文】

安全事件

1. 新的 BadRAM 攻击利用 AMD SEV 保护，威胁云安全

研究人员在 AMD 的安全加密虚拟化 （SEV） 技术中发现了一个关键漏洞，该漏洞可能会破坏云环境中的敏感数据。 【外刊-阅读原文】

2. Splunk Secure Gateway 应用程序漏洞允许攻击者执行远程代码

在 Splunk Secure Gateway 应用程序中发现了一个严重漏洞，可能允许低权限用户远程执行任意代码。 【外刊-阅读原文】

3. Meta 遭遇大规模服务中断，WhatsApp、Facebook、Instagram 宕机

12月12日下午，Meta 的热门应用程序套件 Facebook、Instagram、WhatsApp 和 Threads 经历了重大的技术中断。  【外刊-阅读原文】

4. Hunk Companion WordPress 被利用安装有漏洞的插件

黑客正在利用“Hunk Companion”插件中的一个关键漏洞，直接从 WordPress.org 存储库安装和激活其他具有可利用缺陷的插件。 【外刊-阅读原文】

5. 黑客使用 Amadey 恶意软件即服务在乌克兰部署 Kazuar 后门

被追踪为 Secret Blizzard 的有俄罗斯背景的黑客利用与其他威胁行为者相关的恶意软件在位于乌克兰的目标设备上部署名为 Kazuar 的已知后门。 【外刊-阅读原文】

6. 美国最受欢迎的甜甜圈连锁品牌遭遇网络攻击

Krispy Kreme 甜甜圈品牌周三宣布其网络在 11 月遭到入侵，导致其在线订购系统严重中断，当时正值假期高峰期。 【外刊-阅读原文】

优质文章

1. 渗透测试 | ViewState反序列化漏洞详解

在一次测试过程中遇到了这个ViewState的反序列化漏洞，当时对于利用方式以及原理都不太清楚，因此有了这边文章，学习一下viewstate的漏洞原理以及利用方式。 【阅读原文】

2. 浅谈JspWebshell之编码

本篇以tomcat8.0.50为例进⾏分析，后⽂简称为tomcat，同时讨论的是第⼀次访问并编译jsp的过程(有⼩区别不重要)并且不涉及到其他⼩版本差异。 【阅读原文】

3. 卫星射频指纹识别技术综述

本文介绍卫星RFF技术的背景，对国内外提出的卫星RFF方案所涉及的工作分别进行介绍，对卫星RFF技术的最新改进、面临的挑战以及未来的发展进行总结和展望。 【阅读原文】

*本文内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

*标明为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。