【12.20】安全帮®每日资讯：黑客向5千余家网站发起流量攻击，非法获利百万余元；F5 BIG-IP发现跨站脚本漏洞

部分浏览器制造商已经禁止了哈萨克斯坦政府用来监视其公民的根证书。该证书被用来拦截和解密哈萨克斯坦首都公民努尔苏丹居民的HTTPS流量。12月6日，当地互联网服务提供商被政府强制屏蔽外国网站，除非用户在设备上安装了该证书。苹果、谷歌、微软和Mozilla周五禁止使用证书，这意味着Safari、Chrome、Edge和Firefox都已经打了补丁，防止利用证书进行中间人攻击以拦截用户数据。

参考来源：

https://www.cnbeta.com/articles/tech/1067653.htm

12月15日，水利部网信办组织开展2020年水利网信建设和应用监督检查及网络攻防演习工作总结。本轮监督检查共发现128个问题，包括建设管理、网络安全、数据共享、软件正版化等方面。攻防演习中主要存在老旧漏洞未整改、个别单位仍有大量弱口令、内网敏感信息存储不规范、暴露面过大、内网分区分域不合理、访问控制不健全等问题。

参考来源：

https://www.secrss.com/articles/28063

据XDA报道，谷歌宣布将于明年年初关闭Android Things。Android Things是谷歌打造的物联网操作系统，早在2015年的全球开发大会上，谷歌对外宣布将会开发一个面向物联网设备的操作系统，内部代号为“Brillo”。这一操作系统最终定名为Android Things，它是Android系统的一个分支版本，类似于面向智能手表和穿戴设备推出的Wear OS等。

参考来源：

https://www.fromgeek.com/telecom/368391.html

F5(F5 Networks)是全球领先的应用交付网络（ADN）领域的厂商。12月17日,F5 BIG-IP(负载均衡器)发现XSS(跨站脚本攻击)漏洞，需要尽快升级。攻击者可以利用此漏洞在当前登录用户的上下文中运行JavaScript,发起XSS攻击。具有成功利用此漏洞的高级外壳（bash）访问权限的管理用户可以通过远程执行代码来完全破坏BIG-IP系统。

参考来源：

http://techweb.com.cn/article/2020-12-18/2817202.shtml