本周安全要聞帶大家一起回顧一下上周的安全事件以及2015年安全領(lǐng)域的賽事。虛擬主機管理公司cPanel被黑，用戶遭數(shù)據(jù)泄露；研究人員一款可以監(jiān)控用戶的上網(wǎng)行為習(xí)慣的惡意Chrome擴展程序進(jìn)行了深入調(diào)查；聯(lián)想修復(fù)了產(chǎn)品中發(fā)現(xiàn)的多個高危漏洞，其中一個漏洞涉及到一個硬編碼密碼：12345678……

回顧2015年，無論對中國的網(wǎng)絡(luò)安全競技領(lǐng)域還是中國網(wǎng)絡(luò)安全人才的培養(yǎng)，都發(fā)生了重大變化，且將產(chǎn)生深遠(yuǎn)的影響。

[[162713]]

對中國網(wǎng)絡(luò)安全行業(yè)來說，2015年無疑是濃墨重筆的一年;但如果再要從激情澎湃的網(wǎng)絡(luò)安全領(lǐng)域挑選兩個最重大的事件的話，51CTO記者認(rèn)為，一是中國網(wǎng)絡(luò)安全立法工作取得了重大突破，另一個就是中國網(wǎng)絡(luò)安全競技領(lǐng)域的迅速崛起——前者是國家戰(zhàn)略，后者卻是民間推動。

年度盤點:中國安全競賽星火燎原 人才培養(yǎng)機制面臨突破

近日，安全公司Malwarebytes的研究人員對一款惡意Chrome擴展程序進(jìn)行了深入調(diào)查。該款款惡意Chrome擴展程序可以監(jiān)控用戶的上網(wǎng)行為習(xí)慣，并自動出現(xiàn)彈窗，并干擾用戶正常上網(wǎng)。

Chrome惡意擴展程序可監(jiān)控用戶上網(wǎng)行為

近日，虛擬主機管理公司cPanel承認(rèn)被黑，已通知用戶其信息或已被泄露。cPanel虛擬主機管理系統(tǒng)可以讓您的網(wǎng)站和服務(wù)器管理更加簡單，它成功克服了Linux操作系統(tǒng)圖像化界面不夠優(yōu)秀的缺點，給您提供一個非常友好的功能強大的界面。

虛擬主機管理公司cPanel被黑 用戶數(shù)據(jù)泄露

聯(lián)想修復(fù)了產(chǎn)品中發(fā)現(xiàn)的多個高危漏洞，其中一個漏洞涉及到一個硬編碼密碼：12345678。聯(lián)想的Lenovo ShareIT中發(fā)現(xiàn)了4個漏洞，會導(dǎo)致信息泄露、安全協(xié)議繞過和中間人攻擊，影響版本為Lenovo ShareIT for Android 3.0.18和Windows 2.5.1.1。

聯(lián)想ShareIt產(chǎn)品被發(fā)現(xiàn)一個硬編碼密碼：12345678

無論是使用自行購買的可穿戴設(shè)備，還是在企業(yè)環(huán)境下進(jìn)行IT事務(wù)管理，追蹤裝置與智能手表等產(chǎn)品正變得愈發(fā)談及——但這也意味著可穿戴式設(shè)備很可能成為網(wǎng)絡(luò)犯罪分子們的下一類重要攻擊目標(biāo)。作為ESET公司的資深安全研究人員，Cobb指出他還沒有真正經(jīng)歷過指向可穿戴式設(shè)備的攻擊活動，但這并不是說我們還可以繼續(xù)高枕無憂地面對未來。

可穿戴式設(shè)備的安全水平究竟如何?

根據(jù)SafeNet公司2015年數(shù)據(jù)安全信心指數(shù)(DSCI)報告顯示，在IT社區(qū)內(nèi)，企業(yè)對網(wǎng)絡(luò)外圍安全有效性的感知和現(xiàn)實之間的差距在不斷擴大。該報告指出，87%的IT決策者認(rèn)為其網(wǎng)絡(luò)外圍安全系統(tǒng)可以有效阻止未經(jīng)授權(quán)用戶。

為什么單靠網(wǎng)絡(luò)外圍安全行不通?

技術(shù)解析：

Magento項目小組目前已經(jīng)發(fā)布補丁，修復(fù)Magento上一個高危的安全漏洞。這個漏洞是一個存儲型XSS，是安全廠商Sucuri于2015年11月10日發(fā)現(xiàn)的，可實施攻擊的場景為：當(dāng)用戶注冊一個新賬戶時或者當(dāng)用戶更改當(dāng)前賬戶的郵件地址時等涉及到郵箱賬號提交的場景。

Magento存在XSS漏洞，在線商城可被攻擊者操控

權(quán)限濫用漏洞一般歸類于邏輯問題，是指服務(wù)端功能開放過多或權(quán)限限制不嚴(yán)格，導(dǎo)致攻擊者可以通過直接或間接調(diào)用的方式達(dá)到攻擊效果。

物聯(lián)網(wǎng)時代 權(quán)限濫用漏洞的攻擊及防御

Nest的產(chǎn)品中一個比較厲害的特點就是它們?nèi)慷际切┲荒芡ㄟ^Web操作的產(chǎn)品。而獲取Nest攝像頭或者恒溫器數(shù)據(jù)的唯一途徑就是通過Nests的云。而Nest攝像頭和Nest恒溫器可能會在任何端口運行著任何的服務(wù)，我們無從得知。

Google Nest智能設(shè)備逆向姿勢詳解

其他：

如何從威脅數(shù)據(jù)當(dāng)中提取出威脅情報

2016黑客必備的Android應(yīng)用都有哪些?

緊跟谷歌腳步，三星修復(fù)Galaxy高危漏洞

2015年度互聯(lián)網(wǎng)安全報告發(fā)布 移動支付成重災(zāi)區(qū)