微软称,未受保护的服务器无需用户互动即可在网络上传播病毒与恶意软件。微软警告用户,应立即更新 Windows 10 操作系统,以免受关键漏洞危害。该公司表示,未受保护的服务器可在网络上自发传播病毒和恶意软件,无需用户授意。开启自动更新功能的 Windows 10 设备已受到保护。受影响 Windows 版本包括 Windows 7 SP1、Windows Server 2008 R2 SP1、Wi

Facebook 的隐私和安全跟踪记录算不上好,尤其是考虑到其很多重大过失都是本可避免的情况下。但要守护数亿用户和巨大的平台,要从该公司上亿行代码中找出每个漏洞真不是件容易的事。因此,Facebook 的工程师从四年前就开始构建定制评估工具,不仅检查已知漏洞类型,还可在 30 分钟内完全扫描整个代码库,帮助工程师在正式上线前找出各种调整、修改或主要新功能中的问题。该平台名为 Zoncolan,是一

所有软件都存在漏洞,其中一些漏洞是能被武器化的安全漏洞。零日漏洞定义零日漏洞就是供应商尚未修复的安全漏洞,可被攻击者转化为强力武器加以利用。出于军事、情报和司法目的,某些政府会找寻、购买和使用零日漏洞。但这种操作颇引争议,因为其他攻击者若发现相同漏洞,整个社会都会因政府的隐瞒不报而面临风险。零日漏洞在黑市奇货可居,往往能卖得高价,漏洞奖励项目则旨在鼓励发现安全漏洞并向供应商报告。修复危机意味着零日

虽然这是一个可怕的前景,但未来的商业电子邮件妥协 (BEC) 骗局可能就是这样！所谓 “鲸钓攻击” (Whaling Attack) 指的就是针对高层管理人员的欺诈和商业电子邮件骗局。如今,商业电子邮件妥协 (BEC) 攻击已经对全球各类型组织都构成了严重的威胁,而令人更为担忧的现实是,这种攻击类型正变得越来越复杂,遭受 “鲸钓攻击” 的受害者往往需要承受比普通网络钓鱼攻击更沉重的经济损失。在这里

2017 年的数据泄露事件令 Equifax 承受了数十亿美元损失、客户赔偿和强制及自愿安全改善。靠客户数据盈利的所有公司企业都应引起注意。7 月 22 日,Equifax 宣布接受金额创纪录的和解协议,了结了这桩导致 1.48 亿人个人信息及财务记录暴露的大规模数据泄露事件。这家四面楚歌的信用评级机构需支付至少 13.8 亿美元的消费者索赔金。受泄露事件影响的消费者可得到现金补偿、信用监视和身份

什么都阻止不了攻击者添加其他恶意软件。某娱乐公司流应用被超 40 万台设备组成的物联网 (IoT) 僵尸网络围困 13 天,网络及服务器在大规模分布式拒绝服务 (DDoS) 攻击下持续宕机。攻击发生在 4 月 24 日,峰值时该流服务器每秒承受 29 万多个请求,跻身史上大型应用层 DDoS 攻击行列。应用层攻击即为针对 OSI 七层模型中最顶层的攻击,亦称 7 层 (Layer7) 攻击,区别于

DNS 劫持、隧道、网络钓鱼、缓存中毒、DDoS 攻击……诸多 DNS 威胁汹涌袭来。域名系统 (DNS) 一直承受着各种攻击,随着黑客手段日趋复杂,DNS 攻击似乎永无尽头。DNS 就好像互联网电话簿,将人们好记的域名与电脑访问网站或发送电子邮件所需的数串号码对应联系在一起。虽然 DNS 一直以来都是攻击者谋求各类企业及个人信息的突破目标,去年的 DNS 攻击情况却表明此类威胁越来越凶猛了。国际

在过去五年中,企业数据泄露的成本已经飙升了12％,达到了现在的平均310万英镑（约合392万美元）。这一数据结果来自IBM公司发起、波耐蒙研究所（Ponemon Institute）完成的《数据泄露年度成本研究报告》,该报告强调了数据泄露为企业带来的财务影响。该报告同时还指出,49%的数据泄露事件是源于“无意的人为错误”和“系统故障”（IBM并未对此给予明确定义）；这两种行为为组织带来的损失分别为

路易斯安那州北部三个学区的计算机系统遭到一系列网络攻击宕机,其州长约翰·贝尔·爱德华兹 (John Bel Edwards) 于 7 月 24 日宣布全州进入紧急状态。尽管事件似乎仅限于三个学区,但爱德华兹称,出于攻击可能蔓延至当地政府或州政府其他部门的考虑,遂做出全州进入紧急状态的决定。约翰·贝尔·爱德华兹州政府接到通报,北路易斯安那一些学校的计算机系统遭到恶意软件攻击,我们立即对此展开了协同响

弹性搜索 (ElasticSearch) 是目前流行的基于 Java 开源技术的分布式搜索引擎,被云服务提供商广泛使用,如亚马逊弹性云计算 (EC)、微软 Azure、谷歌云引擎等均采用此种技术。 2014 年 5 月,Elasticsearch1.1.x 版本被爆存在远程任意代码执行漏洞 (CVE-2014-3120),当攻击者利用漏洞提交特制的 HTTP 请求时,就可获得 root