2019年11月份勒索病毒十二生肖V2.0大爆發，信息化技術人員準備好了嗎？

根據 ASRC 研究中心 (Asia Spam-message Research Center) 與守內安的觀察，2019 年第二季度，電子郵件安全趨勢基本為第一季度情況的延續。有更多的合法域名遭到濫用；詐騙郵件的數量比第一季度上升了 250% 以上，其中以無差別攻擊的尼日利亞詐騙郵件占比最高；針對型的商務電子郵件詐騙雖然占比低，背后隱藏的信息安全問題卻不容忽視；而 Office 的漏洞，仍是穩定、易觸發、全版本都可用，最被攻擊者青睞。

安全公司 Lookout 的研究人員披露了（PDF）由一家俄羅斯國防承包商開發的功能完整的先進移動監視軟件。被稱為 Monokle 的 Android 間諜軟件的使用至少從 2016 年 3 月就開始了，它采用了多種新穎的技術，包括修改 Android 信任證書儲存區，其指令控制網絡能通過 TCP 端口、電子郵件、短信或電話呼叫進行通信。換句話說，Monokle 的監視功能在沒有網絡的情況下仍然能正常工作。它的功能包括獲取日歷信息，對 HTTPS 流量和 TLS 保護的通信發動中間人攻擊，能收集 WhatsApp、Instagram、VK、Skype 和 imo 的賬號信息和消息，能向攻擊者指定的號碼發送短信，記錄電話呼叫，拍攝照片、視頻和屏幕截圖，等等。

美國62歲程序員David Tinley因在雇主軟件里植入邏輯炸彈而被判刑十年，罰款25萬美元。Tinley是西門子美國分布的合同工，為公司提供管理電子設備訂單的自動化電子表格程序。但是，他在軟件中植入了邏輯炸彈，從而使得該軟件每過數年會產生問題。一旦發生問題，西門子公司則不得不花錢讓Tinley去修復這些問題。而Tinley的行為在一次緊急訂單的處理中被發現：因當時的情況，西門子公司有權向Tinley獲得了他的電腦密碼，從而發現了程序中的邏輯炸彈。

彈性搜索 (ElasticSearch) 是目前流行的基于 Java 開源技術的分布式搜索引擎，被云服務提供商廣泛使用，如亞馬遜彈性云計算 (EC)、微軟 Azure、谷歌云引擎等均采用此種技術。

英國政府的網絡安全中心 (NSCS) 已向各組織發出了嚴厲警告，建議他們需要在 DNS 劫持攻擊不斷增加的情況下實施額外的安全措施，否則將面臨慘痛的后果。

近日，研究者在派拓網絡、Fortinet與Pulse Secure的VPN解決方案中發現漏洞，該漏洞能夠被攻擊者利用，不需要用戶名和密碼的驗證即可進入網絡。Fortinet在申明發布后更新了自己的固件以修復該漏洞，而Pulse Secure表示自己在四月份的更新中就修復了此漏洞。對于派拓網絡而言，這個漏洞只存在于較老版本當中，但是該版本的服務卻依然被Uber廣泛使用。申明發布后，Uber對自己的軟件進行了更新；而派拓網絡則督促自己的客戶盡快進行補丁修復次漏洞。

流行瀏覽器諸如廣告攔截等擴展功能，已經遭利用而讓數以百萬計使用Chrome和火狐（Firefox）的消費者個人數據泄露。遭遇泄露的這些個人數據，不僅涉及他們的瀏覽歷史，而且還包括他們存放在相關網絡公共服務上的納稅申報單、醫療記錄、信用卡信息和其他敏感數據。

微軟于周二發布了7月安全更新補丁，修復了79個從簡單的欺騙攻擊到遠程執行代碼的安全問題

近日，有安全人員發現Fastjson的多個版本補丁修復存在問題。攻擊者仍然可以通過發送精心制造的請求包， 在使用Fastjson的服務器上遠程執行代碼。該問題影響Fastjson 1.2.47以及之前的版本，而且無需開啟Autotype選項。