超过 30% 的 Log4J 应用程序使用了存在漏洞的版本库

• 超过 30% 的 Log4J 应用程序使用了存在漏洞的版本库

在使用 Apache Log4j 库的应用程序中，约有 38% 所使用的版本容易受到安全问题的影响，其中包括 Log4Shell，该关键漏洞被认定为 CVE-2021-44228，具有最高严重性等级，尽管补丁已推出两年多。

来源: BleepingComputer

• 自动溢出攻击从安卓密码管理器中窃取凭证

安全研究人员开发了一种名为 AutoSpill 的新攻击，可在自动填充操作过程中窃取安卓系统上的账户凭据。

来源: BleepingComputer

• 诺顿医疗保健公司在五月勒索软件攻击后披露数据泄露事件

肯塔基州医疗系统诺顿医疗保健公司（Norton Healthcare）证实，5 月份发生的勒索软件攻击暴露了病人、员工和家属的个人信息。

来源: BleepingComputer

• 传言执法部门导致 ALPHV 勒索软件网站中断

据传，在过去的 30 个小时里，ALPHV 勒索软件团伙的网站出现了中断，而这一中断的背后是一次执法行动。

来源: BleepingComputer

• 超过 50% 的内部攻击使用权限提升漏洞

企业内部人员在网络上进行未经授权的活动时，无论是出于恶意目的还是以危险的方式下载有风险的工具，权限提升漏洞都是最常见的漏洞。

来源: BleepingComputer

• 亚马逊起诉盗取数百万美元非法退款的 REKK 诈骗团伙

亚马逊的客户保护和执法团队已对一个地下商店退款计划采取法律行动，该计划已导致亚马逊在线平台上价值数百万美元的产品被盗。

来源: BleepingComputer

• 新的 5Ghoul 攻击会影响采用高通和联发科芯片的 5G 手机

高通（Qualcomm）和联发科（MediaTek）的 5G 调制解调器存在一组新的漏洞，统称为 "5Ghoul"，影响到谷歌合作伙伴（安卓）和苹果的 710 款 5G 智能手机、路由器和 USB 调制解调器。

来源: BleepingComputer

• 新的SLAM攻击从AMD和Intel CPU中窃取敏感数据

学术研究人员开发了一种名为 SLAM 的新型侧信道攻击，利用英特尔、AMD 和 Arm 即将推出的 CPU 为提高安全性而设计的硬件功能，从内核内存中获取根密码哈希值。

来源: FreeBuf

• Linux基金会提出软件安全开发十项指导原则

这些原则涵盖了一系列已被实践验证的安全保障措施，从安全功能融入设计到实现应用软件可观察性等不一而足。

来源: FreeBuf

• 德国住房协会的裁决将导致 GDPR 罚款增加

法律专家警告说，欧洲法院（ECJ）的一项 "里程碑式 "裁决可能会对违反 GDPR 的组织造成重大经济损失。

来源: FreeBuf

• 美国参议员称政府通过手机通知监视苹果和谷歌用户

应用程序开发者必须使用苹果和谷歌的通知网关，这使得科技巨头可以深入了解客户的应用程序使用模式，也让美国或国际政府更容易通过数据请求监控相关个人。

来源: FreeBuf

原文始发于微信公众号（赛欧思安全研究实验室）：超过 30% 的 Log4J 应用程序使用了存在漏洞的版本库