安全资讯 | NIST发布网络安全实践指南;Windows XP源代码泄露……

微软回应Windows XP源代码泄露

Windows操作系统现在依然是使用人数最多、覆盖最广的桌面操作系统,从安全角度来看,其系统源代码对于公众而言更是绝密的。然而继几年前至少有 1GB 的 Win10相关源代码泄露,以及今年一系列Xbox相关源代码泄露后,Windows又出现了源代码泄露的问题。

近日,国外论坛、社交平台上出现了一批Windows源代码的Torrent文件,经确认属于Windows XP和Windows Server 2003的源代码,且代码已被多次下载,并被打包成种子或者用网盘,在网络上传播。

对此,微软已回应经过安全研究人员分析,认定源代码泄露属实,称这件事影响非常大,官方正在积极调查中。对于此次大规模泄露事件,有行业人士却有不同的看法。其表示,微软早在2014年就结束了对Windows XP的支持,最新的源代码泄露不太可能对仍然停留在运行Windows XP机器的公司构成重大威胁。

此外,其实微软此前就提供过一个特殊的政府安全计划(GSP),允许政府和组织有控制地访问源代码和其他技术内容,因此Windows XP的源代码本就并不是绝对的机密。



推特警告称开发者 API 密钥或遭泄露

Developer.twitter.com网站供开发人员管理 Twitter app 和 API 密钥以及Twitter 账户的访问令牌和密钥。Twitter 向开发人员发送邮件指出,该网站告知浏览器创建并将 API 密钥副本、账户访问令牌和账户密钥存储在缓存中,以便在用户再次访问该网站时,提高页面加载速度。Twitter 警告可能使用公共或共享计算机访问网站的开发人员称,他们的 API 密钥很可能存储在这些浏览器中。



Bitcoin Core 将启用一项加速签名验证的优化方法

9月25日,名为加速椭圆曲线加密操作方法的专利过期。Bitcoin Core 将启用一项被称为 GLV Endomorphism 的方法加快签名验证的速度和效率。GLV Endomorphism 是 Bitcoin 早期贡献者、最早从中本聪收到比特币的 Hal Finney 在 2011 年 2 月提议使用的,他的测试显示这一优化方法能将签名验证提速四分之一。 



NIST发布网络安全实践指南以帮助组织从网络攻击中恢复

美国国家标准技术研究院(NIST)发布了一份网络安全实践指南,以帮助组织从网络攻击中恢复。该指南指出,勒索软件攻击是目前影响企业的最具破坏性的因素之一,虽然最理想的做法是在勒索软件攻击的早期检测出它并发布预警信号,以将其影响最小化或完全阻止它。但仍有很多组织被入侵,并需要指南来帮助其从中恢复。

NIST的NCCoE创建了解决方案来解决这些网络安全挑战,并针对几个测试用例(勒索软件攻击、恶意软件攻击、用户修改配置文件、管理员修改用户文件、管理员或脚本错误地修改数据库或数据库模式)进行测试了。



CA / B论坛批准使用ALPN扩展验证域控制的新方法

SSL行业监管机构CA / B论坛以多数票通过了新的Ballot SC33。

正如该提案所建议的那样,3.2.2.4.10中验证域名所有权的方法(使用随机数)现在已被废弃。取而代之的是,引入了一个新的条款3.2.2.4.20,该条款允许您使用ALPN扩展名检查FQDN的所有权。


变更原因:

2018年1月,在ACME TLS-SNI-01域验证方法中发现了一个漏洞。尽管存在问题,但该方法被用作实施3.2.2.4.10的主要方法。ALPN是ACME TLS-SNI-01验证的替代方法;由于IETF将其标准化为RFC8737。因此,CA / B论坛决定放弃潜在的不安全方法3.2.2.4.10,而采用新的方法3.2.2.4.20。

该提案缺少任何关于验证方法3.2.2.4.10指定的过渡期的细节。以前使用此方法执行的所有检查以及使用此方法获得的验证数据均不应用于颁发证书。

该提议还限制了旧的验证FQDN的使用--不同的子域需要进行新的验证,并且不允许进行通配符验证。



【亚洲诚信搜集整理分享,以上信息均来自互联网】