1. 国家安全  漏洞披露政策

11月30日，英国间谍机构政府通信总部(GCHQ)及其信息安全部门NCSC发布了安全漏洞披露策略，概述了其是如何确定是否将漏洞追捕结果告知厂商的。纵观整个漏洞披露策略，我们可以发现英国的漏洞公平裁决过程每一步都偏向于披露漏洞，但披露漏洞并不能实质上改变从根本上就不安全产品的安全状况。

2. 零日漏洞  360

乌俄两国爆发“刻赤海峡”事件不久，2018年11月29日，360高级威胁应对团队在全球范围内发现一起针对俄罗斯的APT攻击行动。黑客通过一份俄文内容的医院员工问卷文档，携带最新的Flash 0day漏洞和具有自毁功能的专属木马程序，目标直指俄罗斯联邦总统事务管理局专属的医疗机构。目前，360已将0day漏洞的细节报告了Adobe官方，Adobe官方已经在12月5日加急发布了新的Flash 32.0.0.101版本修复了此次的0day漏洞。 

3. 调查报告  漏洞补丁

最近，根据一项针对应用程序漏洞的调查研究显示，2018年一整年可能会发现超过18,000个新漏洞——并且大约61%的已发现漏洞已被评级为“高危漏洞”。报告显示，软件中高危漏洞的涌现速度，要比企业安全团队所能对其进行响应的速度更快，这项研究提醒我们：网络犯罪分子的目标仍然是过时软件，而这些软件一般不太可能在软件修复过程中被优先考虑。

4. 无服务器安全  AWS

在上个月末的亚马逊 re:Invent 大会上，AWS发布其新版开源Firecracker轻量级虚拟化技术，旨在进一步提升无服务器计算的安全。目前，Firecracker仅支持英特尔CPU，但公开路线图表明未来将支持AMD和ARM芯片。

5. 物联网安全  打印机

网名TheHackerGiraffe的黑客在上周末黑了5万台打印机声援其偶像——YouTube网红PewDiePie，号召人们关注PewDiePie以保持住这位网红在YouTube上订阅量第一的位置。事件充分暴露出了Web打印机大量暴露在公网上的问题，再这么下去，我们将看到的可能就不仅仅是恶作剧，而是更严重的事件了。

6. 信息泄露  撞库

12月3日晚间消息，有人爆料出陌陌3000万数据在暗网上以50美金的价格出售。卖家11月30日贴出的交易截图显示，这些数据包括用户的手机号、密码，数据录入时间显示为2015年7月17日。

7. 信息泄露  ElasticSearch

近日，研究人员发现被正确配置的ElasticSearch服务器被暴露在公网上，总共合计有3个IP地址。该服务器中有大约8,200万条美国公民信息，包括姓名、工作、雇主、邮箱、地址、电话以及个人IP等。这并非ElasticSearch第一次发生泄漏事件，在今年6月份，他们将3.4亿个人信息记录暴露在网上。

8. 信息泄露  Quora

国外“知乎”网站Quora服务器近日遭到非法接入，造成1亿个账号的账号信息。泄露信息包括账号ID、账号的公开与非公开行为和内容、邮箱以及被加密的密码。因此，尽管攻击者获取了密码信息，但是不一定能完全控制账户；不过Quora还是要求他们的用户对自己的密码进行修改。

9. 信息泄露  万豪酒店

万豪的信息泄露大约影响到了5亿用户，包括用户的支付信息。万豪在9月份时发现有第三方人员试图非法接入数据库并采取了阻断措施。在之后的调查中，万豪进一步发现了大量被泄露和复制的数据，同时发现自2014年开始就有人通过漏洞非法接入了数据库。

10. 漏洞补丁  容器安全

近日，软件容器编排系统厂商Kubernetes发布了三个更新以修复一个高危漏洞。据称，攻击者可以利用该漏洞，通过Kubernetes的API服务器连接后端服务器来发送任何请求，而这些请求本身被API服务器的TLS凭证所认证。该攻击并不复杂，也不需要交互或者特殊权限。受该漏洞影响的系统版本为v1.10.11，v1.11.5以及v1.12.3。

11. 支付安全  勒索软件

近日，多家网络安全机构反映，国内出现了要求微信支付赎金的勒索病毒。该病毒入侵用户电脑后会加密用户文件，要求受害者扫描弹出的微信二维码支付赎金，获得解密钥匙。

相关阅读

一周安全头条（20181125-1201）