漏洞

5月9日消息，今日，360网站安全平台日前透露，自网站系统漏洞悬赏项目“库带计划”上线以来，首月即收集到264个开源建站系统漏洞，并协助厂商修复了漏洞，涉及Discuz!、ShopEx、ECShop、PHPWind、PHPCMS、DEDECMS等客户量众多的知名建站系统。保守估计，360“库带计划”上线首月就已帮助百万级网站避免了漏洞威胁。

5月8日消息，微软公司的IE浏览器近日又曝出新的0Day漏洞(CVE-2013-1347)，该漏洞影响IE8浏览器，无论是个人电脑还是企业网络用户，均有可能因此遭到黑客攻击。据最新的报告显示，IE8在国内的浏览器市场上占有13.93%的份额，按照这个比例测算，约有7000余万用户将受其影响。

5月7日消息，近日，美国劳工部网站被发现植入木马病毒。根据国外安全机构披露的信息，黑客利用了一个存在于IE8浏览器中的0day漏洞实施此次攻击，当用户使用IE8内核浏览器打开带有恶意攻击代码的网站时，木马病毒将自动下载并执行，用户网络账户及个人隐私面临被窃风险。目前，360安全浏览器已第一时间更新，可拦截利用该IE 0day漏洞攻击。

5月7日消息，今日，据微软和国外安全机构披露，一个新的IE 0day漏洞被黑客利用，在五一劳动节前后针对美国劳工部网站实施攻击，影响Windows XP和Win7平台的IE8内核浏览器，目前微软尚未推出补丁。由于该漏洞可被挂马网页利用远程植入木马，360安全卫士为此紧急升级防护措施，国内率先拦截该漏洞攻击。

今日，360网站安全检测平台透露，该平台近期协助国内著名建站系统Discuz!修复两处安全漏洞，并获得Discuz!官方致谢。据介绍，这两处漏洞分别由技术高手“passer_by”和“mark_team”提交给360网站安全漏洞悬赏“库带计划”，从而推动Discuz!快速修复了漏洞，建议广大采用Discuz!建站系统的网站和社区尽快安装补丁。

一个利用波士顿马拉松事件的APT定向攻击邮件已经出现。该攻击会触发CVE-2012-0158漏洞，链接到gnorthpoint.eicp.net并下载一个木马，窃取用户文件。

垃圾邮件蔓延，企业网站被篡改，计算机病毒泛滥成灾，核心数据遭到泄漏.....，这些发生在网络系统中的犯罪活动已经到了触目惊心的地步，所造成的财产损失也难以估计。究竟是不法分子越来越狡猾，还是传统的安全措施出了问题?两者兼而有之。一方面，在追名逐利的驱使下，不法分子难掩贪婪本性，不惜代价加大攻击力度;另一方面，传统的安全措施在面对新型攻击时不能与时俱进，显示出很多漏洞。

日前，启明星辰发现了一个APT攻击——一个拥有合法数字签名的后门程序可能已经存活了半年多的时间，并且可以凭借合法数字签名躲过几乎所有主流病毒检测产品的查杀。

SQL注入漏洞是在目前的攻击中最常被滥用的漏洞，也是最容易修复的漏洞。根据Veracode最新软件安全状况报告显示，三分之一的应用程序中仍然存在SQL注入漏洞，并且这个数量趋于稳定，这反映了保护软件安全仍然有漫长而艰难的道路要走。

日前，微软向全球用户发布4月安全补丁，其中修复了由360安全卫士工程师独家发现的Windows系统漏洞(CVE-2013-1291)。迄今，360已八次独立报告漏洞而登上微软安全公告致谢榜，是国内协助微软修复漏洞数量最多的电脑安全厂商。

微软在其3月安全通告中发布了7个安全公告，解决了20个包括有IE6-10、Office、OneNote，、SharePoint Server、Visio和Silverlight等产品的漏洞。天融信阿尔法实验室建议用户特别关注代号为MS13-21，名称为“Internet Explorer 的累积性安全更新”的安全公告。

近日，启明星辰研发本部在对微软较早之前的一个漏洞进行分析研究时发现了一个新的高危漏洞（CVE-2013-1288）。

上周爆发的韩国遭受黑客攻击事件引起全球瞩目，也引发了企业经营者及IT从业人员对于企业自身防御方案是否周全的热烈讨论。全球服务器安全、虚拟化及云计算安全领导厂商趋势科技在事前通过定制防御策略(Custom Defense Strategy)，帮助趋势科技的韩国客户事先发觉并采取防护措施。通过趋势科技的TDA搭配定制的防御方案，全球6大银行当中就有三家采用TDA，更有超过80多个政府机构也采用这套解决方案免于此类攻击。

近日，安全宝安全专家检测到discuz SQL注入0day攻击，即此前被披露的discuz v63积分商城插件注入漏洞，并分析其漏洞，期间发现discuz本身的防注入机制可以被绕过，且无限制。

Pwn2Own是一场黑客竞赛，每年在温哥华网络系统安全大会上举行。黑客们可以通过系统本身的漏洞破坏系统的安全防护从而完全控制系统。Pwn2Own是世界上最著名的黑客大赛之一，由安全研究机构TippingPoint DVLabs赞助，亦今为止已连续举办了七届。

Pwn2Own是一场黑客竞赛，每年在温哥华网络系统安全大会上举行。黑客们可以通过系统本身的漏洞破坏系统的安全防护从而完全控制系统。Pwn2Own是世界上最著名的黑客大赛之一，由安全研究机构TippingPoint DVLabs赞助，亦今为止已连续举办了七届。

安全宝官方微博近日发布信息表示，企业网站管理系统易思ESPCMS在interface/search.php 文件和interface/3gwap_search.php文件in_list()函数都存在SQL注入漏洞，极易造成网站数据库被窃取或者网站服务器被入侵。目前，安全宝已提供了应对该漏洞的解决方案。

惠普公司今天宣布成立惠普安全研究(HPSR)机构，该机构将通过发布报告、威胁简报，以及对惠普安全产品组合进行改进，从而提供实用的安全情报。

虽然Java零日攻击已经被披露多时，但是其对网络安全造成的威胁从来就没有消失过。最近，苹果公司宣称，其内部Mac电脑遭受到黑客团体的攻击，此次攻击利用了Java零日攻击的漏洞，以企图窃取苹果的研发资料。此外，微软也在内部信息中表明了自己可能受到了类似攻击，这向我们警示了网络安全所存在的巨大不确定性与风险性。

苹果iOS6.1最新的安全漏洞允许任何人都可以花费几秒钟的时间绕过锁屏界面，让iPhone上的联系人、语音信息和照片暴露。绕过iOS 6.1锁屏的方法可以在下面的视频中查看，