安全研究 MITRE 通用缺陷列表 (CWE)9月17日，MITRE公布《通用缺陷列表 (CWE) Top 25 最危险软件错误》草稿，并在新闻发布中解释称，这是一份关于可致严重软件漏洞的最普遍、最关键缺陷的列表。该 Top 25 列表是可供软件开发人员、测试员、客户、项目经理、安全研究员和教育者探索软件通用威胁的社区资源。MITRE 软件保障主管 Drew Buttner 表示，他们想采用一种更客观且基于现实世界的方法。2019 Top 25 列表包含从 2017 到 2018 的缺陷，反映 CWE 团队修正数千个错误映射的 CVE 条目的努力。MITRE 计划在 2020 列表中评估未来一年的映射。Buttner 指出，今年的 Top 25 列表是自 2011 年以来首度推出，但 MITRE 未来的目标是每年都推出一个新列表。

行业动态 美国 选举系统美国参议院于上周四通过了一项预算案，将拨款2.5亿美元加强大选安全。民主党参议院克里斯•孔斯表示，这笔资金将可以帮助州政府升级选举系统，从而应对诸如俄罗斯等外国势力的干预。在2016年的大选中，川普的上任被怀疑是俄罗斯干涉美国大选的结果。

融资并购 终端安全惠普上周四宣布收购终端安全公司Bromium，具体收购价格并未透露。Bromium利用虚拟化技术对垃圾邮件、浏览器攻击等其他攻击方式进行阻断，并且在之前已经持续为惠普的反恶意软件输出自己的能力。

融资并购 代码安全代码安全公司Cycode近日宣布获得种子轮融资460万美元。Cycode提供对源代码进行管控、探测以及响应的平台，用于解决现代企业因在网络端储存各类源代码而可能发生的代码泄露以及知识产权问题。Cycode表示市面上暂时没有与其对标的产品。

融资并购 网络安全保险 自动化评估加州网络安全保险公司Pleasaton宣布获得种子轮融资330万美元。公司的产品Cowbell Factor为用户提供持续的自动化网络安全评估，根据组织的安全态势以及资金状况对潜在的威胁和资金影响进行计算。Pleasaton暂时的目标客户为保险公司，帮助这些保险公司更好地对他们自身的客户进行评估。

报告调研 在线交互安全 应用指南

近日，安全牛联合四家业内领先的安全厂商通付盾、瑞数信息、威胁猎人、芯盾时代进行研究分析，并形成发布了《在线交互安全应用指南》报告，旨在对在线交互过程中主要用到的防护技术进行阐述，同时就不同场景的需求，进行解决方案的讲解，并对未来的趋势和看法进行了分享。

安全研究 恶意攻击 财富500强 云账户近日，企业安全公司Proofpoint研究人员表示，黑客已经渗透了大约60％的美国顶尖公司的云计算网络，几乎所有行业都涉及到了。安全人员表示，在2019年上半年，检测到超过1500万次未经授权试图进入美国财富500强公司云计算网络的登录尝试，其中40万次成功了。在分析了1000多个云部署中约2000万个用户帐户后，研究发现92%的《财富》500强受访公司都曾成为网络攻击的目标。60%的公司允许攻击者进入他们的云计算网络，6%的公司允许攻击者未经授权登录到高管账户。且攻击者针对所有领域，在教育，食品和饮料领域攻击最普遍，医疗保健和金融服务等受监管的行业情况较好。

网络犯罪 DDoS攻击 动态发现(WS-Discovery)协议9月18日，阿卡迈 DDoS 缓解服务 Prolexic 的研究人员公布了今年 8 月底某客户遭遇的 35 Gbps 攻击细节。相比史上最大 DDoS 攻击的 1 Tbps，该攻击看起来似乎不太起眼。但攻击者采用了相对较新的技术，可以将攻击放大 15,000%。据悉，该新型攻击利用了 Web 服务动态发现 (WS-Discovery) 协议实现中的漏洞。WS-Discovery 使同一网络上的设备能够相互通信，并可引导网络中所有设备携自身信息 ping 某个位置或地址。该协议本是在局域网上内部使用的，并不适用于公开互联网这种喧嚣混乱的地方。但阿卡迈估测，暴露在互联网上的约 80 万台设备可以接收 WS-Discovery 指令。也就是说，发送一条类似点名请求的 “探测” 指令，你就能产生数据泉涌并将巨大的数据流指向目标。

恶意攻击 伊朗 俄罗斯 关键基础设施 网络战伊朗当地时间9月22日晚，德黑兰再度遭遇了一次大规模袭击，整个伊朗的网络系统遭遇了不明来源的大规模攻击，其中重点攻击目标在于伊朗的石油和金融设施，对此毫无准备的伊朗，受到了惨重损失。在短时间之内，其金融和石油设施迅速瘫痪，一切正常交易都无法进行下去。好在德黑兰方面及时向俄罗斯请求援助，俄罗斯派遣了大量网络战专家远程指挥伊朗网络安全部门反击，才度过了这一劫。根据伊朗高层不愿透露姓名的官员表示，目前俄罗斯已经确定攻击来源正是美国中央情报局。

网络犯罪 YouTube 网络钓鱼近日，大量YouTube创作者账户遭黑客攻击，汽车评论社区创作者受影响最为严重。据悉，已有多个用户报告称收到电子邮件，或包含多个YouTube创作者网址的链接。黑客通过电子邮件引导用户访问钓鱼网站，获取账户凭证并更改其频道网址，将热门频道重新分配给新用户，令原账户所有者及其追随者产生账户已被删除的假象。

网络犯罪 葡萄牙 敏感信息交易葡萄牙警方最近对一名当地黑客发起高达154项罪名的起诉，他们认为该男子与一个名为Football Leaks的网站有关。该网站从2015年开始，发布各种有关球员和俱乐部的敏感信息，包括合同、转会费等内部文件。对该名男子的起诉包括非法接入以及敲诈未遂。

网络犯罪 俄罗斯黑客 美国金融机构 用户数据泄露俄罗斯黑客Andrei Tyurin近日因攻击多个美国金融机构与公司认罪。Andrei去年被格鲁吉亚政府引渡到美国。Andrei在2014年到2015年年中，涉嫌多起针对美国金融机构、经纪公司、金融新闻出版商以及多家其他公司的攻击，总计盗窃超过1亿名用户的信息；其中，对于摩根大通的攻击造成了8,000万用户的个人信息泄露。Andrei对其的多项指控都表示认罪，将面临30年的监禁。

安全研究 特洛伊木马 安卓 自5月以来，一种名为xHelper的新型特洛伊木马被观察到传播到越来越多的Android设备，过去四个月内已发现超过32,000部智能手机和平板电脑被感染。黑客使用的工具是特洛伊木马下载程序，在设备后台默默下载其他更危险的恶意软件，包括但不限于劫持木马、银行木马和勒索软件。发现它的malwarebytes实验室的研究人员称它为android/trojan.dropper.xhelper，最初被标记为一个通用的特洛伊木马下载程序，但仅仅在几个月的时间里就爬进了安全供应商的十大最易检测的移动恶意软件的行列。xHelper还可以伪装成JAR归档的DEX (Dalvik可执行文件)文件进行传播，其中包含编译的Android应用程序代码。这种感染新Android设备的方法非常独特，因为传统的移动木马程序都是使用恶意的APK (Android包)，这些APK随后会被放入Assets文件夹中，然后安装在受感染的智能手机或平板电脑上并执行。

漏洞补丁 vBulletin 利用脚本 远程代码执行据悉，网络攻击者正在大规模利用由一个匿名者所披露的漏洞，它可让vBulletin服务器被非法接管。vBulletin是互联网上最流行的网站评论应用之一，而现在它正遭受严重的安全威胁，所有vBulletin服务器管理员应尽快安装好vBulletin开发者于周三上午发布的补丁。周一，一位匿名人士发布了一份18行漏洞利用脚本，相当于正式对外披露这一漏洞。该漏洞可让未经身份验证的攻击者对版本5.0.0到5.5.4版本的vBulletin服务器远程执行恶意代码。目前来看，该漏利用方式简单，以至于一些批评人士将其描述为后门。

漏洞补丁 微软 IE浏览器微软本周一发布了一个紧急安全补丁，对IE进行了升级以修复其中的一个严重漏洞。该漏洞可以通过恶意网页或者邮件引发远程代码执行，换而言之，用户可能在使用IE浏览器上网时，就遭到攻击者的恶意劫持。由于该漏洞打破了微软正常的漏洞发布日程，建议IE用户尽快对系统进行升级。

安全研究 电源管理机制 CPU漏洞 密钥窃取近日，清华大学计算机系教授汪东升团队发现了ARM和Intel等处理器电源管理机制存在严重安全漏洞——“骑士”。这意味着普通人的支付密码等随时存在被泄露的风险。据悉，通过“骑士”漏洞，黑客可以突破原有安全区限制，获取智能设备核心秘钥，直接运行非法程序。团队成员吕勇强介绍，与其他漏洞需要借助外部链接或者其他软件，才能够对电子设备进行攻击不同，此次发现的漏洞，从本质上讲，黑客不需要借助任何外部程序或者链接，就可以直接获取用户的安全密钥。

漏洞补丁 苹果 iOS 13近日，就在几天前刚刚发布的iOS 13尽管带来了一系列的改进其中包括广受欢迎的全系统暗黑系统，但Reddit上的一些用户还发现了一个重要的安全漏洞。据用户Thanamite和createdbyeric披露，当用户将信用卡添加到他们的账户时，意外发现保存到他们个人资料中的信息并不是自己的而是来自一个完全陌生的人的，信息包括姓名、账单地址以及信用卡号码的最后四位数字。在发现这一漏洞后，用户createdbyeric联系了苹果，苹果迅速将问题升级到更高级别并承认问题的严重性。

数据泄露 普通话水平测试查询 代码安全近日，程序员圈子里突然被陕西普通话等级查询网刷屏，原因是这个网站竟然把所有考生数据直接写在源代码里，任何人查看源代码后都可以直接查看数据。数据包括考生的照片、身份证号、准考证号、院校以及其他信息，这无疑会造成大量考生的隐私信息被直接泄露。有网友经过查证后发现即便是这些简单的静态代码都不是程序员自己写的，而是复制 2009 年百度知道示例代码。这些示例代码由百度知道用户 wrr717 在回答用户提问时编写的，可以实现按照不同的查询内容跳转到不同页面。而负责开发陕西省普通话水平测试查询系统的程序员直接复制这段代码，然后把用户数据写入页面里进行跳转等。

数据泄露 Thinkful 在线教育据报道，在线教育平台Thinkful发生数据泄露事件，约4000万用户帐户被曝光，曝光数据包含政府颁发的ID、社会安全号、财务信息。事件发生后，Thinkful立即通知受影响用户，要求其重置密码，此外还采取了一系列措施增强系统安全性，并展开全面调查。截至目前，暂不清楚此次事件发生的时间、原因及受影响用户数量。