欢迎使用SSL.com综述的四月版,其中回顾了过去一个月的数字安全性。 继续阅读我们收集的过去四个星期给我们造成的影响,并保持安全!
安息吧,丹·卡明斯基
SSL.com加入网络安全社区以哀悼研究员 丹·卡明斯基。 丹以他的2008年最出名 发现重大缺陷 域名系统(DNS)中的攻击,它可以进行广泛的攻击,并且可以将不知情的用户定向到恶意冒名顶替者站点。 他的研究还包括 发现漏洞 在X.509身份验证中, PKI 和数字证书。 Kaminksy被记得在 “纽约时报” 作为“互联网安全救星” 在感动的ob告中 由Nicole Perlroth撰写。 她写道:
卡明斯基在2016年的一次采访中回忆说:“互联网从未被设计为安全的。” “互联网旨在移动猫的照片。 我们非常擅长拍摄猫的照片。” 但是,他补充说:“我们认为您不会为此花费数万亿美元。 我们会做什么? 答案就在这里:我们中的一些人必须出去修复它。”
eSigner公开Beta注册
在来自我们自己阵营的新闻中,SSL.com邀请 EV代码签名 和 文件签署 客户参加 公测 of 电子签名者,这是SSL.com的新的统一云平台,用于文档和代码签名。
eSigner包括:
- 电子签名者快递 用于文档签名和EV代码签名的GUI Web应用程序
- 云签名联盟(CSC)API 用于文档签名和EV代码签名
- CodeSign工具 EV代码签名的命令行工具
任何SSL.com 文件签署 or EV代码签名 证书可以注册到eSigner中,使您可以在没有USB令牌,HSM或 PKI 专业知识。 组织可以将eSigner与他们的文档和代码签名工作流程集成在一起,包括CI / CD自动化。 软件发行商和服务提供商可以使用eSigner向其客户提供数字签名功能。
全面启动后,eSigner将成为基于订阅的服务。 但是,在eSigner正式发布之前,测试版参与者将可以免费使用eSigner Express,CSC API和CodeSignTool,而无需付费。 要注册,请填写 eSigner Beta注册表格 SSL.com团队成员将与您联系以提供详细信息。
IoXT联盟宣布新的移动应用安全标准
特 ioXt(安全物联网)联盟,是一个开发并倡导IoT安全标准的行业组织, 已公布 它正在通过针对移动应用程序的新安全性标准扩展其合规性计划。 这 新的移动应用程序配置文件 包括对虚拟专用网(VPN)应用程序的要求。 您可以在网站上阅读有关新标准的更多信息。 Google安全博客。 正如他们解释的那样:
ioXt移动应用程序配置文件为运行在移动设备上的所有与云连接的应用程序提供了最少的商业最佳实践集。 此安全基准有助于缓解常见威胁并降低重大漏洞的可能性。 该配置文件利用了OWASP MASVS和VPN Trust Initiative提出的现有标准和原则,并允许开发人员围绕加密,身份验证,网络安全和漏洞披露程序质量来区分安全功能。 该配置文件还提供了一个框架,用于评估特定于应用类别的要求,这些要求可以基于应用中包含的功能来应用。
就公钥基础结构而言,或 PKI,新标准要求所有网络流量均已加密并经过验证 TLS 尽可能使用。 新程序还对主要服务强制执行x509证书固定。
``大型''macOS错误绕过了安全性要求
苹果的macOS操作系统中存在一个漏洞,允许攻击者安装恶意软件而不会触发安全警告。 该错误允许不良演员绕开 macOS安全功能 如Gatekeeper,文件隔离区和App公证等来控制计算机。 洛伦佐·弗朗切斯·比奇埃莱(Lorenzo Franceschi-Bicchierai) 掩盖了错误 在《恶习杂志》的主板上,该文章强调了该漏洞的危险性。 由于它绕过了安全警告,因此任何用户双击都可能会引入恶意软件。 不仅如此:
更糟糕的是,针对苹果的网络安全公司Jamf Protect的检测负责人Jaron Bradley表示,至少有一群黑客利用此漏洞感染了几个月的受害者,“我们的检测之一使我们意识到了这一新变种,仔细检查后,我们发现它使用了这种旁路,可以在没有最终用户提示的情况下进行安装。”布拉德利在网上聊天中说。 “进一步的分析使我们相信,该恶意软件的开发人员发现了零日漏洞,并对其恶意软件进行了调整,以便在2021年初使用它。”
苹果发布了macOS版本11.3,应立即下载,因为它包含一个 补丁 对于错误。 处理完之后,您可能要检查一下 详细的清单 丹·古丁(Dan Goodin) Ars Technica的 撰写了有关黑客如何利用此漏洞安装恶意软件的文章。