ZONE.CI 全球网

资讯类
macOS的#iAmRoot漏洞现在可以通过命令行触发了
$ osascript -e 'do shell script "id" with admin

作者：360 MeshFire Team
投稿方式：发送邮件至linwei#360.cn，或登录网页版在线投稿
0x00 背景介绍
近些年来，越来越多的攻击者利

作者：360天眼实验室
投稿方式：发送邮件至linwei#360.cn，或登录网页版在线投稿引言
360威胁情报中心自在2015年首次揭露海莲花（OceanLo

作者：蔡思阳@360天眼实验室
投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿0x00 漏洞概述
在前段时间，WordPress修复了两个

公司概况
上海圆通物流公司，目前在全国建立了8大管理区、64个转运中心、6000余个派送网点，拥有12万余名员工，服务范围覆盖国内1600余个城市，通达包括港、

作者：任子行攻防实验室
预估稿费：300
投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿0x01 漏洞概述
开发者 Lemi Orhan

事件背景
几个月前，我们曾揭露有超过1.43亿美国人的个人信息从Equifax系统中被盗，日前UpGuard网络风险小组发现了一家金融公司内部存在新的数据泄露，

资讯类
Struts官方发布S2-054和S2-055漏洞公告，建议用户赶紧升级至Struts 2.5.14.1！
http://struts.apache.o

资讯类
时间来到12月2日，可导致苹果手机崩溃？
（从App Store下载的，调用了Apple的“本地通知”API的第三方app（而非内置app）在发送本地通

工具概述
TEMPEST是指一些间谍机构通过捕获无线电发射信号（包括声音、震动等）以窃听电子设备的技术。所有的电子产品都会在工作过程中发出射频信号，而通过捕获和

译者：eridanus96
预估稿费：200RMB
投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿摘要
众所周知，脏牛（Dirty COW

资讯类
Paypal下属TIO Network遭遇重大数据泄露事件，影响超过160万顾客。目前TIO Network已暂停运营，并开启审查。不过在此事件中Pay

图：移动安全联盟成立
作者：360安全卫士
投稿方式：发送邮件至linwei#360.cn，或登录网页版在线投稿简介
12月4日，由中国信息通信研究院泰尔终端实

事件背景
最近英特尔核心CPU技术被指充斥着多个安全漏洞，一些硬件供应商已开始采取实际行动做出回应。截止本文发稿之前，已有三家笔记本电脑供应商开始提供不含Int

事件还原
PayPal表示最近收购的TIO Networks公司遭受一起数据泄露事件，攻击者似乎已经访问了存储着160万消费者信息的多台服务器。这起安全事件的受

CVE-2017-14377（高危）
http://seclists.org/fulldisclosure/2017/Nov/46由RSA认证代理for Web

事件
欧洲刑警组织联合多个国际执法机构在一次国际网络行动中拿下了被称为“运行时间最长的恶意软件家族之一”的Andromeda。Andromeda简介
Andro

“360新一代智慧防火墙”边界塔防体系
前言
伴随全球数字化转型的风潮，网络安全风险愈演愈烈，新威胁局势下传统的网络安全观和方法论开始被重新审视。作为安全防护体

资讯类
Leakbase.pw被黑，网站被导向社工库
https://www.bleepingcomputer.com/news/security/leakba

作者：rain
预估稿费：400
投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿1. 前言
近日（2017.11.30）国外安全团队Bin

事件
上周末，专门出售其它公司在数据泄露事件中泄露的用户名和密码的网站Leakbase.pw服务突然中止。访问该域名会被重定向至研究员Troy Hunt开设的h

译者：WisFree
预估稿费：200RMB
投稿方式：发送邮件至linwei#360.cn，或登陆网页版在线投稿前言
据统计，全球29%的网站使用的都是Wor

漏洞描述
苹果前天发布了iOS 11.2版本（安全更新细节尚未公布），经测试发现此次更新修复了一个沙盒内可以直接利用的内核漏洞。我们团队在去年发现该漏洞，并一直

“你最大的理想是什么？”
这是一个几乎每个19岁的人都会被问到的问题，而年轻时的你我对于这样宏大的开放式题目，答案往往也会说的更为宏大，比如考上知名学府、拿下X

事件
一名密歇根州男子上周承认入侵了该州 Washtenaw 县监狱的计算机网络并尝试提前释放一名囚犯。27 岁的 Konrads Voits 利用了钓鱼邮件和