FreeBuf周报 | Gartner发布2022年新兴技术成熟度曲线；两款红米手机存在安全漏洞

各位Buffer周末好，以下是本周「FreeBuf周报」，我们总结推荐了本周的热点资讯、安全事件、一周好文和省心工具，保证大家不错过本周的每一个重点！

热点资讯

1、Gartner 发布 2022 年新兴技术成熟度曲线

Gartner 2022 年新兴技术成熟度曲线列出了 25 项值得关注的新兴技术，这些技术正在推动沉浸式体验的发展和扩展、加速人工智能（AI）自动化并优化技术人员交付。

2、网信办发布国内互联网算法备案清单，含微信、淘宝、抖音等30款App

8月12日，根据《互联网信息服务算法推荐管理规定》，国家网信办公开发布了境内互联网信息服务算法名称及备案编号。包括多个大型企业和产品的相关算法，比如网易、360、快手、微博、美团、优酷、百度、抖音、小米、天猫、淘宝、苏宁易购、富途牛牛、微信、腾讯等。

3、“五眼”联盟国家参与美国网络司令部大型年度演习

美国网络司令部举行年度大型演习“网络旗帜22”，“五眼”联盟国家的网络保护团队（CPT）均参与了此次演习。

4、Instagram 被曝通过 App 内浏览器跟踪用户网络活动

IT之家 8 月 14 日消息，对 Meta 旗下 Instagram 应用程序的一项新分析表明，每次用户点击应用程序内的链接时，Instagram 都能够监控他们的所有交互、文本选择，甚至是文本输入，例如内部网站内密码和私人信用卡详细信息应用程序。

5、《网络安全标准实践指南——健康码防伪技术指南（征求意见稿）》发布

《指南》依据有关政策法规要求，做好支撑疫情防控工作，防止健康码伪造安全风险，对健康码防伪提供技术实践参考。

安全事件

1、黑客组织 Lazarus 冒充 Coinbase 针对 IT 求职者发起攻击

黑客组织 Lazarus 使用适用于 macOS 系统的经过签名的恶意可执行文件，冒充 Coinbase 招聘信息并吸引金融技术领域的员工。

2、研究人员在Intel、AMD处理器中发现了ÆPIC和SQUIP漏洞

一组研究人员透露了一个影响英特尔 CPU 的新漏洞的详细信息，该漏洞使攻击者能够从处理器获取加密密钥和其他秘密信息。

3、两款红米手机存在安全漏洞，可能被利用来禁用移动支付

Check Point发现，红米Note 9T和红米 Note 11型号中存在安全漏洞，这些漏洞可能被利用来禁用移动支付机制，甚至通过设备上安装的流氓Android应用程序进行交易。

4、利用macOS端Zoom安装器漏洞，黑客可接管用户Mac

一名安全专家近日发现利用 macOS 端 Zoom 应用程序，掌控整个系统权限的攻击方式。上周五在拉斯维加斯召开的 Def Con 黑客大会上，Mac 安全专家帕特里克·沃德尔（Patrick Wardle）在演讲中详细介绍了这个漏洞细节。

5、首批针对星链卫星网的攻击手法曝光：篡改接入终端执行任意代码

研究人员只需要花费25美元，就能用小零件制作出硬件入侵工具，在星链卫星天线上运行任意代码。

一周好文共读

1、聊聊新版风险评估的变化

经过15年时间，和2007版相比，新版《信息安全风险评估方法》（以下简称“风评”）有了较大的变化。

新版风评简化了要素关系，只保留了资产、脆弱性、威胁、安全措施和风险要素，本以为这将一定程度减少风评整体工作量，但实际上并没有，反而增加了很多需要计算的过程。

2、数据出境安全合规路径梳理

企业要开展数据出境合规工作，需要掌握和了解多部法律法规及技术标准，还是有一定难度的（必要时需要借助专业的机构进行梳理），因此作者在实践过程中，总结了现阶段的数据出境合规路径。合规路径一：数据出境安全评估；二：个人信息安全认证；三：按照国家网信部门制定的标准合同与境外接收方订立合同。

3、Redis未授权漏洞蜜罐模拟与捕获分析

文章主要分析Redis未授权漏洞的原理及形成原因，使用vulhub靶场进行漏洞复现，在了解漏洞原理并复现的基础上使用golang编写蜜罐代码进行模拟，开放端口在网上捕获真实存在的恶意攻击行为，对恶意样本进行分析，总结出威胁情报。

安全工具

1、如何使用SilentHound枚举活动目录域

SilentHound是一款针对活动目录域安全的检测工具，该工具可以通过LDAP解析用户、管理员和组信息，并以此来在后台悄悄枚举活动目录域。该工具由Layer8 Security的NickSwink开发和维护，基于纯Python开发。

2、如何使用truffleHog敏感数据以保护代码库安全

truffleHog是一款功能强大的数据挖掘工具，该工具可以帮助广大研究人员轻松从目标Git库中搜索出搜索高熵字符串和敏感数据，我们就可以根据这些信息来提升自己代码库的安全性了。该工具可以通过深入分析目标Git库的提交历史和代码分支，来搜索出潜在的敏感信息。

3、LAUREL：一款功能强大的Linux事件日志审计和转换工具

LAUREL是一款功能强大的Linus事件日志处理插件，可以帮助广大研究人员处理Linux系统事件日志，并对其进行后续处理，以便将日志应用到其他现代安全监控系统之中。

精彩推荐

原文始发于微信公众号（FreeBuf）：FreeBuf周报 | Gartner发布2022年新兴技术成熟度曲线；两款红米手机存在安全漏洞