安全半月谈：Java两年来首现0day、KCon2015将召开

安全要闻

\\

Firefox 42禁用未签名扩展

\\

尽管主要浏览器仍然在使用NPAPI技术，但插件这种历史遗留技术“已经成为导致众多失去响应、甭溃、安全事故以及代码复杂化的罪魁祸首。”Google已经宣布将移除Netscape插件API，自Chrome 42开始禁用NPAPI和Java、Unity、Silverlight插件。Mozilla今年初则宣布将推广强制的扩展签名，扩展开发者需要将扩展递交到AMO审查，审查之后将会自动获得签名，开发者可以选择将扩展托管在AMO或其它地方。从Firefox 40开始，Mozilla将对未签名扩展发出警告但不禁止安装，Firefox 42将禁止安装未签名扩展。Nightly版和开发者版仍然允许安装未签名的扩展。

\\

两年来首次发现Java 0day漏洞

\\

最近Oracle公司宣布了一个近两年以来首个Java 0day漏洞，它影响着Java Web Start的应用程序沙箱和Java applets的沙箱。该漏洞被确认为CVE-2015-2590，它是趋势科技的智能防护网络在分析一些针对北约成员国和美国国防组织的电子邮件后被发现的。Oracle公司已经发布了一个补丁，并敦促客户尽快升级。

\\

Kali Linux 2.0发布，变身滚动更新版

\\

8月11日，著名的数字取证和渗透测试专用操作系统Kali Linux发布了2.0版，该版本基于Debian Jessie，采用4.0内核，支持多种桌面环境。Kali Linux 2.0版最大的变化是此后将滚动更新。另外，2.0版以后将不再包含Metasploit Community/Pro，而只提供它的开源版本metasploit-framework。

\\

联想电脑再爆安全问题

\\

上半年，联想因在销售的笔记本产品中预装恶意广告软件Superfish引发了争议并被告上法庭，联想公布了卸载指南并在GitHub上发布了移除工具。时隔不久，用户再次发现联想电脑的BIOS会向干净安装的电脑中写入联想程序。8月11日，联想发表官方声明承认了这个问题，同时放出了新的固件和移除工具。

\\

韩国、哈萨克斯坦对华进行黑客攻击

\\

Hacking Team是一家在意大利米兰注册的软件公司，主要向各国政府及法律机构销售入侵及监视软件，其产品在几十个国家使用。7月5日，Hacking Team被黑客攻击，超过400GB数据随即被公布在互联网上。近日，国内著名第三方漏洞平台乌云网爆料，从泄漏的数据中发现韩国、哈萨克斯坦针对中国发起网络攻击的直接证据。

\\

---

安全开发

\\

移动应用安全手册
\《The Mobile Application Hacker’s Handbook》一书从黑客视角对iOS、Android、Windows Phone及Blackberry等平台的移动应用安全做了透彻的讲解，让读者了解和掌握常见的移动应用评估、攻击，防御及修复等方法与技巧。

\\

Wi-Fi安全与渗透测试

\\

Vivek Ramachandran是SecurityTube.net联合创始人、全球畅销书《Backtrack 5无线渗透测试》作者。作为著名WiFi安全专家，他同时也是BlackHat、Defcon、Hacktivity等全球顶尖安全峰会的演讲者。FreeBuf翻译了他的《Wi-Fi安全与渗透测试（一）、（二）》。

\\

DDoS攻击原理与防御

\\

DDoS（又名”分布式拒绝服务”）攻击历史由来已久，并被黑客广泛使用，近几年攻击手段更是日趋多元化。Sobug总结了CloudFlare的一些经验：《浅谈JS DDoS攻击原理与防御》，阿里安全的云舒也有详尽的《深入浅出DDoS攻击防御》。

\\

---

会议沙龙

\\

第三届KCon将于本周开启

\\

自6月以来，国内安全会议连绵不断，除了OWASP、阿里安全峰会、乌云安全峰会之外，还有其他小规模的安全沙龙。本周，另一个安全大会——第三届KCon 2015 “黑无止境”知道创宇黑客技术大会将招开。本届KCon将与XCon联合举办。XCon由“呆神”创办，是国内最顶尖且、老牌的黑客大会，迄今为止已经连续举办了14年。XCon去年曾与GeekPwn携手。

\\

---

给InfoQ中文站投稿或者参与内容翻译工作，请邮件至[email protected]。也欢迎大家通过新浪微博（@InfoQ，@丁晓昀），微信（微信号：InfoQChina）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入InfoQ读者交流群）。