WordPress 和 Apache Struts 佔所有被武器化和利用的漏洞中的 55％

根據風險分析公司 RiskSense 本週釋出的一份報告顯示，對 2010 年至 2019 年之間所有披露的漏洞進行分析研究發現，所有被武器化和利用的漏洞中約有 55％ 是針對兩個應用程式框架的，即 WordPress 和 Apache Struts。Drupal 內容管理系統排名第三，其次是 Ruby on Rails 和 Laravel。

就程式語言而言，PHP 和 Java 應用程式中的漏洞是過去十年中武器化最多的。

密切關注 Node.JS 和 Django

最少的是 JavaScript 和 Python 中的錯誤，但 RiskSense 預計，隨著這兩種語言現在已變得廣泛和流行，並且其採用率已經激增，這種情況將在未來幾年內改變。

更具體地說，使用者和安全公司應密切注意 Node.js 和 Django，這兩個分別是 JavaScript 和 Python 生態系統最流行的應用程式框架。

RiskSense 表示：“ Node.js 的漏洞數量明顯高於其他具有 56 個漏洞的 JavaScript 框架，儘管迄今為止只有一個已經武器化。同樣，Django 具有 66 個漏洞，僅一個被武器化。”

RiskSense 表示：“雖然武器化程度仍然很低，但這些框架中的大量漏洞使它們容易遭受潛在風險的侵害。”他預計，駭客將把目光投向程式設計界的新星，並考慮將其中的舊 bug 武器化。試圖破壞當今的 JavaScript 和 Python 應用程式。

與過去十年的程式設計趨勢相一致，RiskSense 還指出，Perl 和 Ruby 這兩種在世紀初很流行的程式語言，現在隨著十年的結束，以及程式設計師轉向 JavaScript 和 Python，武器化的開發越來越少。

注入漏洞最受追捧

但是 RiskSense 的研究人員不僅檢視了正在被武器化的應用程式錯誤。他們還研究了漏洞型別。

根據研究小組的說法，跨站點指令碼（XSS）錯誤是 2010 年代披露的最常見的安全錯誤，但它們並不是武器最多的錯誤。

RiskSense 團隊說：“與 SQL 注入、程式碼注入和各種命令注入相關的漏洞仍然很少見，但武器化率最高，通常超過 50％。”

研究人員補充說：“實際上，按武器裝備率排名前三的弱點是命令注入（武器裝備佔 60％），作業系統命令注入（武器裝備佔 50％）和程式碼注入（武器裝備佔 39％）。”

有興趣瞭解過去十年漏洞武器化趨勢的更多讀者，可以在 RiskSense 的長達 22 頁的報告中找到更多資訊，該報告名為“Cracks in the Foundation: Web and Application Framework Vulnerabilities.”。

來源：ZDNet

更多資訊

以色列正使用手機位置資料來追蹤新冠病毒疫情

外媒報導稱，以色列總理內塔尼亞胡已授權該國安全機構 Shin Bet 使用手機位置資料，以幫助抗擊新冠病毒引發的 COVID-19 疫情。《紐約時報》指出，該資料將用於追溯病毒檢測呈陽性的個人的動向，以確定並隔離潛在的密切接觸者。在接下來的 30 天時間裡，該機構將有權呼叫運營商收集的相關資料。

來源：cnBeta.COM

Brave 投訴 Google 違反歐洲資料保護規定

Brave 瀏覽器正式投訴競爭對手 Google 違反了歐洲的資料保護條例 GDPR。Brave 認為 Google 濫權，透過它的不同服務收集使用者資料並進行共享，違反了 GDPR 5(1)b 條款。

來源：solidot.org

英首相鼓勵人們在家辦公 結果四大行動網路全部癱瘓

由於新冠病毒疫情導致數百萬英國人在家辦公，今日，英國所有的主要行動網路全部癱瘓。報導稱，英國四大移動運營商 EE、沃達豐、O2 和 Three 今日全部遭遇網路癱瘓，導致數百萬在家辦公的英國人失去網路連線。

來源：新浪科技

Intel 處理器曝新漏洞：打補丁效能驟降 77％

幽靈、熔斷漏洞曝光後，Intel、AMD處理器的安全漏洞似乎突然之間增加了很多，其實主要是相關研究更加深入，而新的漏洞在基本原理上也差不多。事實上，Intel、AMD、ARM、IBM等晶片巨頭都非常歡迎和支援這類漏洞安全研究，有助於提升自家產品的安全性，甚至資助了不少研究專案，近日新曝光的LVI漏洞就是一個典型。

來源：快科技

（資訊來源於網路，安華金和蒐集整理）