本周安全要聞帶大家一起回顧一下上周的安全事件以及2015年安全領域的賽事。虛擬主機管理公司cPanel被黑，用戶遭數(shù)據(jù)泄露；研究人員一款可以監(jiān)控用戶的上網(wǎng)行為習慣的惡意Chrome擴展程序進行了深入調查；聯(lián)想修復了產(chǎn)品中發(fā)現(xiàn)的多個高危漏洞，其中一個漏洞涉及到一個硬編碼密碼：12345678……

回顧2015年，無論對中國的網(wǎng)絡安全競技領域還是中國網(wǎng)絡安全人才的培養(yǎng)，都發(fā)生了重大變化，且將產(chǎn)生深遠的影響。

[[162713]]

對中國網(wǎng)絡安全行業(yè)來說，2015年無疑是濃墨重筆的一年;但如果再要從激情澎湃的網(wǎng)絡安全領域挑選兩個最重大的事件的話，51CTO記者認為，一是中國網(wǎng)絡安全立法工作取得了重大突破，另一個就是中國網(wǎng)絡安全競技領域的迅速崛起——前者是國家戰(zhàn)略，后者卻是民間推動。

年度盤點:中國安全競賽星火燎原 人才培養(yǎng)機制面臨突破

近日，安全公司Malwarebytes的研究人員對一款惡意Chrome擴展程序進行了深入調查。該款款惡意Chrome擴展程序可以監(jiān)控用戶的上網(wǎng)行為習慣，并自動出現(xiàn)彈窗，并干擾用戶正常上網(wǎng)。

Chrome惡意擴展程序可監(jiān)控用戶上網(wǎng)行為

近日，虛擬主機管理公司cPanel承認被黑，已通知用戶其信息或已被泄露。cPanel虛擬主機管理系統(tǒng)可以讓您的網(wǎng)站和服務器管理更加簡單，它成功克服了Linux操作系統(tǒng)圖像化界面不夠優(yōu)秀的缺點，給您提供一個非常友好的功能強大的界面。

虛擬主機管理公司cPanel被黑 用戶數(shù)據(jù)泄露

聯(lián)想修復了產(chǎn)品中發(fā)現(xiàn)的多個高危漏洞，其中一個漏洞涉及到一個硬編碼密碼：12345678。聯(lián)想的Lenovo ShareIT中發(fā)現(xiàn)了4個漏洞，會導致信息泄露、安全協(xié)議繞過和中間人攻擊，影響版本為Lenovo ShareIT for Android 3.0.18和Windows 2.5.1.1。

聯(lián)想ShareIt產(chǎn)品被發(fā)現(xiàn)一個硬編碼密碼：12345678

無論是使用自行購買的可穿戴設備，還是在企業(yè)環(huán)境下進行IT事務管理，追蹤裝置與智能手表等產(chǎn)品正變得愈發(fā)談及——但這也意味著可穿戴式設備很可能成為網(wǎng)絡犯罪分子們的下一類重要攻擊目標。作為ESET公司的資深安全研究人員，Cobb指出他還沒有真正經(jīng)歷過指向可穿戴式設備的攻擊活動，但這并不是說我們還可以繼續(xù)高枕無憂地面對未來。

可穿戴式設備的安全水平究竟如何?

根據(jù)SafeNet公司2015年數(shù)據(jù)安全信心指數(shù)(DSCI)報告顯示，在IT社區(qū)內(nèi)，企業(yè)對網(wǎng)絡外圍安全有效性的感知和現(xiàn)實之間的差距在不斷擴大。該報告指出，87%的IT決策者認為其網(wǎng)絡外圍安全系統(tǒng)可以有效阻止未經(jīng)授權用戶。

為什么單靠網(wǎng)絡外圍安全行不通?

技術解析：

Magento項目小組目前已經(jīng)發(fā)布補丁，修復Magento上一個高危的安全漏洞。這個漏洞是一個存儲型XSS，是安全廠商Sucuri于2015年11月10日發(fā)現(xiàn)的，可實施攻擊的場景為：當用戶注冊一個新賬戶時或者當用戶更改當前賬戶的郵件地址時等涉及到郵箱賬號提交的場景。

Magento存在XSS漏洞，在線商城可被攻擊者操控

權限濫用漏洞一般歸類于邏輯問題，是指服務端功能開放過多或權限限制不嚴格，導致攻擊者可以通過直接或間接調用的方式達到攻擊效果。

物聯(lián)網(wǎng)時代 權限濫用漏洞的攻擊及防御

Nest的產(chǎn)品中一個比較厲害的特點就是它們?nèi)慷际切┲荒芡ㄟ^Web操作的產(chǎn)品。而獲取Nest攝像頭或者恒溫器數(shù)據(jù)的唯一途徑就是通過Nests的云。而Nest攝像頭和Nest恒溫器可能會在任何端口運行著任何的服務，我們無從得知。

Google Nest智能設備逆向姿勢詳解

其他：

如何從威脅數(shù)據(jù)當中提取出威脅情報

2016黑客必備的Android應用都有哪些?

緊跟谷歌腳步，三星修復Galaxy高危漏洞

2015年度互聯(lián)網(wǎng)安全報告發(fā)布 移動支付成重災區(qū)