一周新闻选编2013年第7期.docVIP

一周新闻选编 2013年第7期（总第389期） 上海市网络与信息安全应急管理事务中心选编 2013年3月8日 目录 一、计算机病毒 1 2013-03-05 U盘病毒伪装“少年派” 专盗隐私和密码 2 二、威胁与漏洞 2 2013-03-04 HTML5最新漏洞：用户硬盘或被垃圾数据塞满 2 2013-03-06 三星Note 2再现漏洞 黑客可进入主频控制应用 2 三、信息网络安全 3 2013-03-03 Evernote遭黑客攻击：要求近5千万用户重置密码 3 2013-03-05 虎嗅网被攻击 诱发云计算安全与服务重视 3 2013-03-05 英国黑客入狱后入侵监狱电脑系统 4 2013-03-05 “手机金融服务”存在安全隐患 4 2013-03-06 全球最性感女黑客将在今年春季受审 面临40年监禁 5 四、动态 6 2013-03-04 路由器故障致CloudFlare安全服务宕机一小时 6 2013-03-07 张近东：应加快制定《互联网个人信息保护法》 6 五、调查与评论 7 2013-03-06 报告称美国仍是垃圾邮件传播第一大户 中国第二 7 2013-03-06 报告称iOS应用比Android应用泄露更多个人数据 7 2013-03-06 政府网站频遭攻击 信息泄漏风险极高 8 2013-03-07 百度称政府网站最易遭攻击 9 一、计算机病毒 2013-03-05 U盘病毒伪装“少年派” 专盗隐私和密码 来源：扬子晚报 作者：徐晓风 随着第85届奥斯卡奖的落幕，李安导演与他的《少年派的奇幻漂流》再次成为公众关注的焦点。 近日，瑞星“云安全”系统拦截到一个名为“李安-少年派”的U盘蠕虫病毒，该病毒伪装成电影种子或视频文件来吸引用户下载，还利用U盘大肆传播，并会搜集电脑中的隐私和机密信息如银行密码等，并将全部信息发送到黑客指定地址。 病毒会隐藏自身和搜集到的文件，当检测到电脑可以上网时，就会伺机在后台将这些搜集到的信息偷偷发送到黑客指定的服务器。由于该病毒主要通过U盘、移动硬盘传播并盗取隐私，所以即便是一些内外网隔离的专业企业网络也会受到严重影响，导致企业机密信息外泄。专家建议用户在使用U盘、移动硬盘等存储设备前，应先对设备进行病毒扫描后再打开。在打开时，通过鼠标右键选择“打开”进行操作，避免双击运行U盘后直接染毒。 二、威胁与漏洞 2013-03-04 HTML5最新漏洞：用户硬盘或被垃圾数据塞满 来源：新浪科技 新浪科技讯 北京时间3月4日早间消息，HTML5编程语言的一个最新漏洞今天被发现，它允许网站利用数GB垃圾数据对用户展开轰炸，甚至会在短时间内将硬盘塞满。多款主流浏览器均会受此影响。一位名叫菲罗斯·阿伯克哈迪杰哈（Feross Aboukhadijeh）的开发者率先发现了这一漏洞，他表示，多数主流网络浏览器均会受到影响，包括苹果Safari、谷歌Chrome、微软IE和Opera。唯一能够阻止数据大量加载的是Mozilla的火狐浏览器，该产品的数据存储上限为5MB。该问题的根源在于HTML5存储本地数据的方式。虽然每个浏览器都有不同的存储参数，但很多都支持用户自定义限制，且至少会在用户电脑上存储2.5MB数据。阿伯克哈迪杰哈发现了一个绕过数据上限的方法，它创建了多个与用户访问过的网站链接的临时网站。由于多数浏览器不会计算这种偶然情况，所以二级网站也可以存储与主网站相同量的数据。通过大批生成这种网站，该漏洞便可向受影响的电脑加载海量数据。在测试这一漏洞的过程中，阿伯克哈迪杰哈每16秒即可向他的固态硬盘版MacBook Pro中加载1GB数据。他指出，Chrome等32位浏览器可能会在硬盘塞满前崩溃。“一些采用高明代码的网站其实已经取消了用户电脑对数据存储的限制。”阿伯克哈迪杰哈说。阿伯克哈迪杰哈已经发布一组代码来利用该漏洞，并创建了一个名为Filldisk的专用网站来凸显该漏洞的危害。他已经将此事报告给受影响的浏览器开发商，但尚未发现恶意行为的大面积爆发。 来源：和讯网 如果用Galaxy Note2而系统又是Android 4.1.2的朋友要注意了，最近有用户发现即使采用了图形或者PIN码锁屏，其他人一样可以访问到你的主页面，虽然时间基本上只来得及点开主页面的一个应用。这名用户发现，当在锁屏的时候点击“紧急呼叫”按钮，然后点击左下角的紧急联系人按钮，再用物理按键返回。这么做以后，在返回锁屏界面之前，主页面将会出现一段很短的时间。在这个时间内，只要你手够快，你可以通过widget拨打一个电话，又或者运行一个事先被植入的恶意程序。该用户已经在5天之前将这个BUG报告了三星，而三星目前还没做出回应。