风险漏洞 处处小心

Log4j反序列化漏洞影响所有2.x版本

Apache Log4j被曝出存在一个反序列化漏洞，攻击者可以通过发送一个特别制作的二进制payload，在组件将字节反序列化为对象时，触发并执行构造的payload代码。目前官方已发布新版本修复了该漏洞。

UEFI漏洞可被用于安装底层勒索软件

安全厂商Cylance揭示此漏洞深入到了计算机硬件组件的底层固件，可使攻击者获得操作系统访问权，权限提升，并在系统管理模式(SMM)下执行恶意代码。

物联网医疗设备成为安全重灾区

被称为MedJack的攻击，特指对于医疗设备的攻击，黑客将恶意软件植入医疗设备中，从中窃取个人医疗数据信息，或跟踪活动药物处方，使黑客能够在线订购药物，并在暗网上销售，甚至可用于操控物联网医疗设备。

Linux 内核远程代码执行漏洞

Linux 4.5之前的内核允许远程攻击者通过UDP在带有MSG_PEEK标志位的recv系统调用中触发不安全的二次校验和计算，攻击者利用该漏洞可实现Linux内核远程代码执行，可能导致系统被完全控制。

刷脸登录有漏洞？

人脸识别的安全漏洞被曝光后，再次表明生完特征识别的不可靠。生物特征数据库被盗取带来的风险要比‘盗刷’严重得多。现阶段人脸认证技术还不能做到非常成熟，在涉及个人隐私、财产等重要信息的场景下，建议启用多重认证方式。

方程式又一波大规模 0day 攻击泄漏

名为Shadow Brokers的黑客组织再次泄露出一份文档，其中包含了多个Windows远程漏洞利用工具，可以覆盖全球70%的Windows服务器，Windows服务器几乎全线暴露在危险之中。提醒用户及时留意补丁的更新。

Jackson框架出现Java反序列化漏洞

绿盟科技发布漏洞预警通告，这次是Jackson框架2.7.10 及2.8.9以下版本出现任意代码执行漏洞，攻击者利用该漏洞可以获得网站控制权。

无文件恶意软件采型用DNS作为隐秘信道

思科分析了名为DNSMessenger的攻击。其用网络钓鱼邮件附带恶意Word文档，用户点击后则执行内嵌在文档中的恶意脚本。其可基于DNS建立起双向通信信道。攻击者利用该隐秘通信信道执行结果。

可通过手机传感器收集PIN码等用户隐私信息

英国纽卡斯尔大学称智能手机中的传感器可能泄露用户隐私信息。利用智能手机传感器收集的数据，可破解4位的PIN，一次尝试准确度可达70%。

Karmen勒索软件收到勒索金后会自我删除

来自Recorded Future公司的研究人员披露称最新发现一款Hidden Tear勒索软件变体Karmen，它正在在暗网以勒索软件即服务方式出售。Karmen会留下指令和勒索信息让受害者支付一笔钱来获取解密密钥，它的不同之处在于，如果检测到沙箱环境或分析软件，它会自动删除解码器。

Linux爆新型病毒

亚信安全截获最新Linux ARM恶意软件IMEIJ，其利用所披露的CGI目录漏洞CloudSetup.cgi执行命令注入，触发恶意软件下载。攻击者欺骗设备下载恶意文件并且更改文件权限，在本地执行该恶意文件。

Ewind：披着合法应用外衣的广告软件

Andorid广告软件“Ewind”，攻击者下载合法的Android应用，对其反编译，添加恶意代码，然后重新封装为APK包。

能逃避机器学习检测的Cerber勒索变种

Cerber勒索家族被发现可逃避检测：使用一种新方法用加载出来的程序逃避机器学习检测。其被设计为把一个二进制文件掏空，然后把Cerber的代码替换进去，再使用其他手段加载运行。

Oracle数据库再遭比特币勒索攻击

亚信安全截获Oracle数据库勒索病毒，该病毒捆绑在PS/SLQdeveloper安装程序上，感染后会在用户登录时提示该数据库被锁死，并要求支付比特币作为赎金。

BYOD成目标 大规模攻击不是杞人忧天

近日，亚信安全发现一种被命名为“Svpeng”的移动银行木马，其不仅会窃取受害者的账号密码，还会控制设备窃取短信、通讯录，甚至会锁定设备勒索赎金。亚信安全提醒当前BYOD大行其道，恶意软件爆发的移动设备恐将成为黑客进入企业网络环境的跳板，企业应当提高警惕。

勒索软件使用NSIS安装程序逃避检测

勒索软件递送的最新趋势是使用带加密有效载荷的Nullsoft脚本安装系统(NSIS)，使用NSIS打包方法使安全人员较难采用批量采集技术采集和发现恶意软件。

以上信息分别来源于“安全客”、“亚信安全”