新闻链接：http://netsecurity.51cto.com/art/201503/468408.htm
新闻时间：2015-03-15 16:56 杜美洁 51CTO.com

转自51CTO

一年一度的Pwn2Own黑客大赛即将举行;苹果公司的iTunes和应用商店服务中断近12个小时;近十年，美中情局针对苹果设备进行各种破解与监控研究;：“网安企业500强”评选，可花钱买名次;贝恩资本公司即将收购Blue Coat;WordPress、开源软件Xen等先后曝出安全漏洞……这就是上周的一些重要资讯。

AD：WOT2015 互联网运维与开发者大会 热销抢票
51CTO线下公开课报名：帮你加速移动跨平台开发（免费，更有运维大会门票赠送）

近期，最受国民关注的事件莫过于2015全国两会的召开。在今年的两会上，中国电信股份有限公司湖南分公司总经理廖仁斌就“加快建设大数据时代个人信息安全保护体系”提出建议，而中国移动广东公司总经理钟天华提交了《关于加快制定的议案》,呼吁国家加快立法，保护网络信息安全。欲了解更多信息，请关注我们的专题报道：聚焦两会 话说安全。

下面，让我们一起来看看本周有哪些重要的安全要闻。一年一度的Pwn2Own黑客大赛即将举行;苹果公司的iTunes和应用商店服务中断近12个小时;近十年，美中情局针对苹果设备进行各种破解与监控研究;：“网安企业500强”评选，可花钱买名次;贝恩资本公司即将收购Blue Coat;WordPress、开源软件Xen等先后曝出安全漏洞……

2015年的Pwn2Own黑客破解大赛将于3月18日在加拿大温哥华开幕，由美国五角大楼入侵防护系统供应商TippingPoint赞助。近日，Pwn2Own 2015公布全新的比赛规则，本届赛事难度超高、史无前例，包括VUPEN等赫赫有名的黑客团队也望而却步。Pwn2Own以IE、Chrome、Safari、Firefox等浏览器作为主要攻击目标，参赛黑客需要发现并攻破上述软件漏洞，完全控制操作系统。而在本届比赛上攻破IE也被视为几乎不可能完成的任务，其难度堪比“射击手蒙上双眼打移动靶”。

Pwn2Own 2015黑客大赛：难度提升、奖金减少

爱德华·斯诺登提供给The Intercept网站最新的一份报告显示，近十年来，CIA一直在试图渗透iPhone手机和iPad平板，专注于破解苹果设备的监听以及安全密钥破解，目的是收集苹果用户的数据。而苹果现任CEO蒂姆·库克公开发誓要保护这些数据。

揭秘美中情局对苹果设备的各种破解与监控研究

漏洞解析

安全研究人员发现在英特尔PC上的Linux系统中可以利用某些种类的DDR DRAM芯片所存在的物理缺陷来获取系统最高权限。该技术被称为“Rowhammer”，其可使最近一代的 DRAM 芯片多次访问内存导致相邻行发生“位翻转”，并允许任何人改变计算机内存中的存储内容。

DRAM芯片内核提权漏洞解析

Android 4.4之前版本的Java加密架构(JCA)中使用的Apache Harmony 6.0M3及其之前版本的SecureRandom实现存在安全漏洞。据了解，2013年8月份的比特币应用被攻击也与这个漏洞相关。比特币应用里使用了ECDSA算法，这个算法需要一个随机数来生成签名，然而生成随机数的算法存在这个漏洞。

技术分析：SecureRandom漏洞详解(CVE-2013-7372)

恶意程序

最近某安全研究人员收到一封钓鱼邮件，邮件中附带着一个.doc的附件。他们利用再平常不过的工具Notepad++，一步一步脱去ZeuS木马的伪装外衣，并进行了非常深入的静态分析。该木马的伪装用到了多项关键技术，例如信息隐藏、加密解密等。

解码“深度伪装”的ZeuS网银木马

近几年POS恶意软件活动频繁，LogPOS是2015年发现的一个新成员。该恶意软件的一个重要的特点是其利用了邮件槽，可以躲避传统的检测机制。此外，在该样本中，主程序创建了邮件槽，并作为邮件槽服务器，而注入到各个进程中的代码则作为客户端，它们将获取到的信用卡号码写入邮件槽，然后通过邮件槽直接将数据传输出去。
【责任编辑：蓝雨泪 TEL：（010）68476606】

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课