0x14

–PCWorld

根據思科官方的安全通告，該漏洞在于思科ASA防火墻處理互聯網密鑰交換協議版本1和2（IKEv1、IKEv2）的代碼中，是由處理碎片IKE載荷功能形成的緩沖區溢出而產生的。攻擊者只需發送惡意構造的UDP包，即可執行任意代碼并獲得系統的完整權限或引起系統重載。思科將此漏洞的威脅程度評定為最高級10分。

　　簡單說就是，發送一個UDP包即可遠程控制思科ASA防火墻。

思科ASA產品的優點是，僅通過一個設備即可提供IP路由、網絡防病毒、入侵防護和VPN功能。

受影響的產品如下：

Cisco ASA 5500 Series

Cisco ASA 5500-X Series 下一代防火墻

Cisco ASA 服務模塊

Cisco Catalyst 6500 Series 網關

Cisco 7600 Series 路由器

Cisco ASA 1000V 云防火墻

Cisco ASAv

Cisco Firepower 9300 ASA 安全模塊

Cisco ISA 3000 工業級安全設備

思科已經發布相關補丁，建議用戶盡快安裝更新。另據安全研究機構報告，已經發現互聯網上對UDP 500端口的大量掃描，很可能是針對此漏洞的探測行為。

0x15

–Fackbook

臉譜漏洞獎勵項目的負責近日表示，自從2011年項目啟動以來，已經為白帽子提交上來的2400個漏洞發放獎金430萬美元。這些漏洞包括跨站腳本（XSS）、跨站請求偽造（CSRF）和業務邏輯方面的漏洞，由800多名白帽子提交。

僅在去年一年，臉譜就發放了93.6萬美元。出人意料的是，在斬獲獎金數目方面，印度白帽子居首，埃及、特立尼達和多巴哥緊隨其后，計算機技術最為領先發達的美國和英國則被擠在后面。

由于臉譜使用諸如XHP和React等自動化工具和框架，很容易發現Web應用漏洞，白帽子越來越難找到如XSS、CSRF等傳統的安全問題，因此許多能力較高的研究人員開始轉向業務邏輯方面的問題。而這種問題的發現，非常有助于企業消滅一整類的漏洞。

臉譜平均每年發放的獎金是86萬美元，谷歌則達到了120萬。后者在2015年發放了200多萬美元獎金，并且把安卓漏洞的提交也包含到它的漏洞獎勵計劃中來。

0x16

–HTXT

這個惡意軟件攻擊所有安卓手機，除了俄羅斯以外。

一個名為MazarBOT的惡意軟件，在地下網絡黑市中出售了幾個月之后，終于開始作惡。

攻擊者首先隨機群發包含有惡意鏈接的文本短信，當手機用戶點擊鏈接時，就會下載并安裝MazarBOT。它可以完全控制手機，包括在手機上打開一個后門以供監視，還可向提供商業服務的號碼發送短信并讀取短信中的雙因素認證碼。它甚至還提供遠程調試功能。

有意思的是，當它檢測到當前設備處于俄羅斯境內時，便停止自身的安裝。研究人員認為，它這樣做的目的可能是在避免引起俄羅斯當局的注意。

MazarBOT只需用戶點擊鏈接即可安裝，并能夠繞過大多數網上銀行的安全措施。研究人員認為，這是一種設計水平極為高級的惡意軟件，主要針對目標為網上銀行的用戶。