GitHub发布2020年度Octoverse态势的分析报告；谷歌披露iOS中可通过Wi-Fi接管附近任意设备的漏洞

GitHub发布了2020年度Octoverse态势的分析报告。该报告主要统计了超过5600万名开发人员在2020年创建的超过6000万个新存储库。研究发现，与2019年相比，现在94％的项目依赖开源组件，平均有接近700个依赖项，JavaScript中有94％的开源依赖关系，而Ruby和.NET中有90％的开源依赖关系。此外，开源软件中的大多数漏洞并不是恶意的，相反，GitHub发出的CVE警报中有83％的漏洞是由人为错误引起的。

IBM X-Force发布了针对COVID-19疫苗供应链的攻击活动的报告。在COVID-19开始时，IBM X-Force成立了威胁情报特别工作组，致力于追踪针对疫苗供应链运转的组织的网络威胁，该团队最近发现了一场针对与COVID-19冷链相关组织的全球钓鱼活动。此次攻击活动跨越六个国家，目标可能与全球疫苗免疫联盟(Gavi)的冷链设备优化平台(CCEOP)项目有关，或与国家间谍组织有关。

Xerox发布补丁，修复企业文档管理平台DocuShare中的SSRF和XXE漏洞。该漏洞被追踪为CVE-2020-27177，可导致Solaris、Linux和Windows DucuShare用户遭到服务器端请求伪造（SSRF）攻击和未经身份验证的外部XML实体注入攻击（XXE）。攻击者成功利用这些漏洞，可获得对目标系统机密数据的访问权限。该公司并未透露具体漏洞详情，但提供了修复程序链接，以解决受影响版本中的漏洞。

Google Project Zero披露iOS中可通过Wi-Fi接管附近任意设备的漏洞。该漏洞被跟踪为CVE-2020-3843，是一个双重释放漏洞，黑客利用该漏洞可以访问照片和其他敏感数据，包括电子邮件和私人消息。攻击者将目标锁定在AirDrop BTLE框架上，通过强制使用存储在设备中的联系人的哈希值来启用AWDL接口，然后触发缓冲区溢出以获得对设备的访问权，并以根用户身份植入恶意代码，实现对设备的完全控制。尚不清楚该漏洞是否被在野利用，但相关厂商已发布修复程序。

俄罗斯APT组织Turla利用新的恶意软件Crutch窃取敏感文件。该APT组织Turla自2007年以来一直活跃，针对在中东、亚洲、欧洲、北美、南美、和前苏联集团的公司和外交等政府机构。ESET研究人员发现，Turla利用Crutch在针对欧盟国家的外交部的网络间谍活动中，部署后门程序并窃取敏感文件。此外，Crutch能够利用合法基础设施Dropbox来绕过某些安全层，以入侵正常的网络流量，窃取文档并从黑客组织那里接收命令。

开曼群岛离岸银行配置错误的Azure Blob泄露用户个人数据。此次事件泄露的备份数据涵盖了5亿美元投资组合，包括个人银行信息、护照数据甚至是网上银行的PIN码。由于Microsoft Azure Blob配置错误，该公司已删除多年的备份数据非但没有消失，反而直到最近都可以轻松在线获得。据悉，目前泄露数据已被IT供应商移除。ImmuniWeb的CEO称，大多数地区的司法部门都会将这一事件视为重大过失，这将导致企业声誉受损，无法与受影响的客户继续合作，最终可能会破产。

信息安全那些事儿~

长按二维码关注