風險漏洞 處處小心

Log4j反序列化漏洞影響所有2.x版本

Apache Log4j被曝出存在一個反序列化漏洞，攻擊者可以通過發送一個特別制作的二進制payload，在組件將字節反序列化為對象時，觸發并執行構造的payload代碼。目前官方已發布新版本修復了該漏洞。

UEFI漏洞可被用于安裝底層勒索軟件

安全廠商Cylance揭示此漏洞深入到了計算機硬件組件的底層固件，可使攻擊者獲得操作系統訪問權，權限提升，并在系統管理模式(SMM)下執行惡意代碼。

物聯網醫療設備成為安全重災區

被稱為MedJack的攻擊，特指對于醫療設備的攻擊，黑客將惡意軟件植入醫療設備中，從中竊取個人醫療數據信息，或跟蹤活動藥物處方，使黑客能夠在線訂購藥物，并在暗網上銷售，甚至可用于操控物聯網醫療設備。

Linux 內核遠程代碼執行漏洞

Linux 4.5之前的內核允許遠程攻擊者通過UDP在帶有MSG_PEEK標志位的recv系統調用中觸發不安全的二次校驗和計算，攻擊者利用該漏洞可實現Linux內核遠程代碼執行，可能導致系統被完全控制。

刷臉登錄有漏洞？

人臉識別的安全漏洞被曝光后，再次表明生完特征識別的不可靠。生物特征數據庫被盜取帶來的風險要比‘盜刷’嚴重得多。現階段人臉認證技術還不能做到非常成熟，在涉及個人隱私、財產等重要信息的場景下，建議啟用多重認證方式。

方程式又一波大規模 0day 攻擊泄漏

名為Shadow Brokers的黑客組織再次泄露出一份文檔，其中包含了多個Windows遠程漏洞利用工具，可以覆蓋全球70%的Windows服務器，Windows服務器幾乎全線暴露在危險之中。……