無法在短期內減輕這一攻擊的影響，未來發布的 OpenPGP 將會包含一些削弱攻擊的方法，但目前沒有時間表。

作者/來源： 安華金和

OpenPGP 項目的兩位知名開發者 Robert J. Hansen (rjh) 和 Daniel Kahn Gillmor(dkg) 過去一周成為證書中毒攻擊的受害者。未知攻擊者利用 OpenPGP 協議本身的缺陷給 rjh 和 dkg 的 OpenPGP 證書下毒。

導入中毒版證書會破壞存在缺陷的 OpenPGP。中毒證書已經存在於 SKS Keyserver Network 中，沒有理由認為攻擊者在對兩個證書下毒後就停止攻擊。

dkg 稱 Tor 項目的多個證書也遭到攻擊。SKS keyserver 或 OpenPGP Working Group 無法在短期內減輕這一攻擊的影響，未來發布的 OpenPGP 將會包含一些削弱攻擊的方法，但目前沒有時間表。權宜之計是不要從 SKS Keyserver Network 提取數據。Keyserver 使用的軟體是一名研究員使用 OCaml 語言為自己的博士論文開發的，社區缺乏理解其演算法或該語言的人才。軟體沒人維護，也沒有人有資格去修改代碼。

來源：solidot.org

更多資訊

Cloudflare 因自己軟體的問題導致宕機事故雲服務商 Cloudflare 遭遇了一次持續約半個小時的宕機事故，用戶訪問報 503 錯誤。根據官方博客的解釋，這個問題是它自己軟體導致的。Cloudflare 稱，為了改進內聯 JavaScript 屏蔽，它在 Cloudflare Web Application Firewall 防火牆內部署了新的規則，其中一條規則包含的正則表達式導致了其在全世界各地的機器 CPU 佔用 100%，從而導致了 502 錯誤。

來源： solidot.org

詳情： http://www.dbsec.cn/zx/20190704-2.html

網路攻擊事件發生後 美國海關與邊境保護局已暫停與分包商合作今年 5 月，美國海關與邊境保護局（CBP）的分包商遭遇了一起「惡意網路攻擊」，導致出入境旅客的照片信息泄露。本周二，《華盛頓郵報》報道稱，該機構現已暫停了為其製作車牌掃描儀和其它監控設備的 Perceptics 聯邦政府合同。6 月 12 日，CBP 證實該分包商違反政策，將收集到的車牌和出入境旅客照片副本轉移到了企業網路中。

來源： cnBeta.COM

詳情： http://www.dbsec.cn/zx/20190704-3.html

工信部點名：這些金融 APP 非法收集個人信息日前，工業和信息化部（以下簡稱：工信部）發布了 2019 年第一季度電信服務質量通告。通告顯示，多款金融 APP 存在非法收集個人信息問題，工信部表示已對違規軟體進行下架處理，並責令企業整改。

來源： 人民網-金融頻道

詳情： http://www.dbsec.cn/zx/20190704-4.html

「沉默」的黑客襲擊了孟加拉國，印度，斯里蘭卡和吉爾吉斯斯坦的銀行一群專門攻擊銀行的黑客再次展開攻擊，這次他們分別在孟加拉國，印度，斯里蘭卡和吉爾吉斯斯坦攻擊了四個目標，來自 Group-IB 的安全研究人員告訴 ZDNet。根據當地媒體的報道，目前公開的唯一事件是影響荷蘭孟加拉銀行的事件，該銀行在5月份發生的幾輪 ATM 取款攻擊中損失了 300 多萬美元。

來源： ZDNet

詳情： http://www.dbsec.cn/zx/20190704-5.html

（信息來源於網路，安華金和搜集整理）

點擊「了解更多」可訪問文內鏈接

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！