黑客v8(黑客v演讲视频)

程序员头条（ID：CoderTop） 报道

程序员头条（ID：CoderTop） 报道

近期安全领域要闻：

1、罕见！腾讯向 360 发感谢信：发现严重漏洞并通报

6 月 8 日消息，昨日@腾讯安全应急响应中心官方微博发布感谢信，感谢 360 阿尔法团队的帮助与支持。

据了解，腾讯安全应急响应中心收到 360 阿尔法团队漏洞报告：chrome 使用的 v8 引擎暴露一处严重漏洞，利用此漏洞可以实现远程任意代码执行，部分系统 Webview 的 APP 以及手机系统可能都会受到影响。该漏洞可能会影响腾讯旗下的部分产品。

目前腾讯已修复漏洞并启动紧急在线更新机制，暂未有用户因这一漏洞导致信息泄露和损失。

展开全文

腾讯感谢 360 团队以其过硬的技术保障了千万互联网用户的隐私和财产安全。

以下是感谢信全文

【致谢信】感谢 360 阿尔法团队对腾讯安全应急响应中心的帮助与支持

近日，腾讯安全应急响应中心（TSRC）收到 360 阿尔法团队漏洞报告：chrome 使用的 v8 引擎暴露一处严重漏洞，利用此漏洞可以实现远程任意代码执行，部分系统 Webview 的 APP 以及手机系统可能都会受到影响。该漏洞可能会影响腾讯旗下的部分产品。

腾讯安全响应中心（TSRC）收到此报告后第一时间推动业务团队进行修复工作，现已修复漏洞并启动紧急在线更新机制。

目前暂未有用户因这一漏洞导致信息泄露和损失。

在此特别向 360 阿尔法团队致以诚挚的感谢，以其过硬的技术保障了千万互联网用户的隐私和财产安全。也欢迎社会各界通过腾讯安全响应中心（TSRC）向我们提交潜在漏洞，共同助力互联网+安全生态建设。

【致谢信】感谢 360 阿尔法团队对腾讯安全应急响应中心的帮助与支持

近日，腾讯安全应急响应中心（TSRC）收到 360 阿尔法团队漏洞报告：chrome 使用的 v8 引擎暴露一处严重漏洞，利用此漏洞可以实现远程任意代码执行，部分系统 Webview 的 APP 以及手机系统可能都会受到影响。该漏洞可能会影响腾讯旗下的部分产品。

腾讯安全响应中心（TSRC）收到此报告后第一时间推动业务团队进行修复工作，现已修复漏洞并启动紧急在线更新机制。

目前暂未有用户因这一漏洞导致信息泄露和损失。

在此特别向 360 阿尔法团队致以诚挚的感谢，以其过硬的技术保障了千万互联网用户的隐私和财产安全。也欢迎社会各界通过腾讯安全响应中心（TSRC）向我们提交潜在漏洞，共同助力互联网+安全生态建设。

2、12306 网站用户信息外泄？铁总深夜“辟谣”

6 月 13 日，网络传闻“12306 数据疑似泄漏”，从 2016 年到 2018 年 3 月的近三千万条用户信息被以 10 个比特币的价格在暗网售卖，信息内容包括用户密码，支付信息及密码保护答案等。

6 月 13 日晚间 22 点 54 分，中国铁路总公司在官方微博@中国铁路 上辟谣，表示铁路 12306 网站未发生用户信息泄漏，网传信息与铁路 12306 网站无关。

3、17 岁大学生发现重大安全漏洞，谷歌奖励 3.6 万美元

据 CNBC 报道，谷歌发给乌拉圭 17 岁青年埃兹基埃尔·佩雷拉(Ezequiel Pereira)3.6 万美元“漏洞赏金”。他报告了一个安全漏洞，从而帮助谷歌内部系统做出改变。这是佩雷拉第五次发现谷歌系统漏洞，但却是迄今为止他获奖最高的一次。

佩雷拉在 10 岁时得到了他的第一台电脑，11 岁时参加了一个初始编程班，然后花了几年时间自学不同的编程语言和技术。2016 年赢得编码比赛后，谷歌用飞机将他带到了公司的加州总部。他的零星行为终于得到了回报：谷歌刚刚发给这名少年 36337 美元，因为他发现了一个漏洞，可以让他对公司内部系统做出改变。

4、超过 115000 个 Drupal 站点仍易受到高危漏洞攻击

2018 年 3 月 28 日，Drupal 安全团队披露了一个名为 Drupalgeddon 2 （SA-CORE-2018-002/CVE-2018-7600）的高危（21/25 NIST等级）漏洞，对于使用默认或标准 Drupal 安装的站点来说，该漏洞允许攻击者在未经身份验证的情况下远程执行代码。据 The Hacker News 最新报道，安全研究员 Troy Mursch 发现目前仍有超过 115000 个 Drupal 网站易受到 Drupalgeddon2 漏洞的影响。

5、Apache Ignite 高危漏洞预警：攻击者可执行任意代码

Apache Ignite 的开发团队近日在 Apache 邮件列表上发布了一个高危漏洞（CVE-2014-0114）预警，所有 Ignite 2.4 及更早之前的版本都会受到影响。据悉，Apache Ignite 使用了 commons-beanutils-1.8.3.jar 库，由于该库不禁止类属性（class property），导致远程攻击者可通过类参数“操作” ClassLoader 并执行任意代码。当 Ignite 的类路径包含易受攻击的类时，攻击者可以在 Ignite 节点上执行任意代码。

6、Git 曝任意代码执行漏洞，所有使用者都受影响

Git 由于在处理子模块代码库的设置档案存在漏洞，导致开发者可能遭受任代码执行攻击，多数代码托管服务皆已设置拒绝有问题的代码储存库，但建议使用者尽快更新，避免不必要的风险。

此代码是 CVE 2018-11235 中的一个安全漏洞。 当用户在恶意代码库中操作时，他们可能会受到任意代码执行攻击。 远程代码存储库包含子模块定义和数据，它们作为文件夹捆绑在一起并提交给父代码存储库。

7、2018 Q1 威胁态势报告：58% 的僵尸网络攻击持续不超过一天

Fortinet 上周发布《2018 年第一季度威胁态势报告》。报告统计了针对桌面、移动端、服务器、物联网和网络设备的多种僵尸网络数据，报告显示，58％ 的僵尸网络攻击持续不超过一天；17.6％ 的僵尸网络可以持续两天；7.3％ 的僵尸网络能持续三天，而只有 5％ 的僵尸网络可以持续一个多星期。

8、更安全！Mozilla 将为 Firefox 帐号添加“两步验证”的支持

Mozilla 正在推出用于支持 Firefox 帐号的两步验证流程，认证系统通过 Firefox Sync 功能保护书签、密码、打开的标签和其他数据在设备之间的同步。根据 Mozilla 工程师 Vijay Budhram 的说法，该功能正在逐渐推广给用户，它不是基于 SMS 代码的。相反，该系统使用由标准 TOTP（基于时间的一次性密码）应用程序和服务生成的验证代码，例如 Authy, Duo, Google Authenticator 等。

9、腾讯研究员发现宝马多款汽车存在漏洞

腾讯科恩实验室在对几款宝马车型进行研究后，发现了多个漏洞。研究人员称，他们所发现的 14 个漏洞，可通过不同方式触发，并有可能影响到从 2012 年到 2017 年生产的多款宝马汽车，对车内的 CAN 网络产生恶意影响。宝马方面称，他们在 3 月收到报告后，确认这些被发现的漏洞确实存在于车载影音娱乐系统和车载通信系统中，其中涉及到蜂窝网络的漏洞已经在4月被修补，其他模块的更新将会通过宝马官方渠道进行。

10、CIA 黑客工具 Vault 7 泄密者身份曝光

去年初，Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集。Vault 7 包含了感染 iPhone、Wi-Fi 路由器和思科网关等设备的漏洞利用和文档，被认为是 CIA 历史上已知最大规模的机密信息泄漏。

现在，美国政府披露了背后泄密者的身份：29 岁的 Joshua A. Schulte，他已经在一年前就遭到逮捕，Schulte 在 NSA 工作了 4 个月，其职务是系统工程师，在 2010 年以软件工程师的身份进入 CIA，一直工作了六年直至 2016 年加盟彭博社。

11、Def Con 黑客大会首次在中国举办

世界最大的美国黑客大会之一的 Def Con 黑客大会首次在中国举办，随着中国寻求收紧对技术和信息的控制，政府命令本土黑客放弃参加一些全球黑客大赛，尽管如此，上周末仍有逾 1300 人参加了在北京举行的 Def Con 全球黑客大会。

“中国成为（在美国以外）举办 Def Con 的最佳地点，是因为未来互联网安全领域确实将会有两个超级大国：美国和中国，”该大会的创办人 Jeff Moss 称，“安全问题是全球性问题，需要全球应对。

12、黑客窃取了 2000 万美元以太坊

奇虎 360 旗下的 Netlab 报告，一组黑客从以太坊应用和矿机窃取了超过 2000 万美元以太坊，原因是这些应用暴露了一个远程过程调用接口。该接口允许第三方服务或应用查询和检索以太坊服务如钱包的数据，允许第三方应用获取私钥，转移资金和提取用户个人信息。他们从今年 3 月起将目标对准了端口 8545，至今没有停止，其中一个黑客组织已经窃取了价值 2000 多万美元的以太坊。

●编号610，输入编号直达本文