不是所有黑客都以最新的物联网设备或网联汽车为目标。2020年的SolarWinds黑客事件赤裸裸地告诉人们，支撑现代文明的技术不但“乏善可陈”，而且还存在着漏洞。也许正是这起事件启发了那些在圣诞假期前创建Log4Shell的攻击者。

  Log4Shell 是针对 Log4j 的漏洞利用，Log4j 是 Java 社区研发人员常用的开源日志库，为错误消息、诊断信息等的日志记录提供框架。 Log4j 存在于世界各地公司使用的产品中，也包括许多中国的组织。

  该漏洞最终能够导致个人隐私信息泄露和远程代码执行（RCE），给企业机构和他们的客户造成各种不同的问题。由于Log4j库的功能非常全面（包括查找、嵌套和JNDI等），因此开发者很喜欢使用它。目前已有大量利用该漏洞的尝试，而且这一数量的增速非常惊人。

  全世界的个人、大规模的公司机构和政府机构都将继续讨论该漏洞，而我们已进一步探索该漏洞的运作方式和发展趋势以及在未来减轻该漏洞影响时所需要仔细考虑的独特因素。

  为找到存在漏洞的服务器而执行全网扫描的服务器数量与日俱增，这使得发起者能够窃取信息并执行恶意代码。

  数据窃取是攻击者用来锁定、复制和传输敏感数据的技术，攻击者能够最终靠Log4j查询表达式访问这一些数据并且轻易地将这一些数据劫持到他们所控制的系统。同样，攻击者还能够最终靠精心编写的日志行来执行远程代码，以便在服务器内运行任意命令。

  在我们所发现的攻击载体中，网络应用成为了攻击者的第一目标，这些应用记录了访问网站的终端用户与网站的互动。另一个攻击载体是DNS。为了搜索是否有任何存在漏洞的DNS解析器，攻击者正在DNS查询中嵌入可利用的攻击载荷并发布这些查询结果。

  但企业机构所受到的威胁远不止这一些状况。鉴于全世界有几十亿台设备正常运行Java，因此许多设备中的漏洞没办法得到修补。再加上其庞大的足迹和设备的暴露时间，我们大家都认为该漏洞将在未来几年继续对我们造成威胁。

  随着对该漏洞的持续监测，我们得知该威胁正在向两个不同的方向发展。首先在攻击载荷方面，企业越来越依赖网络应用防火墙（WAF）等缓解措施为他们提供保护。这类系统能够扫描网络请求中是否有可利用的字符串。一经发现有此类字符串，它们就会放弃该请求。

  第二个发展趋势是攻击目标和协议的多样化。网络应用目前已成为主要的攻击载体，所以企业机构会不断为其提供更多的保护和漏洞修补，因此攻击者正在将矛头指向DNS和其他不太受到关注的协议，此类攻击的数量已有所增加。

  鉴于针对该漏洞的攻击载体类型十分广泛，唯一的解决方案是修补全部有漏洞的系统。但在很多情况下，企业机构无法在第一时间全方位地了解哪些系统存在漏洞，因此一定要采取额外的缓解措施来尽可能减少威胁面。

  为了提供最大限度的保护，凡是可以修补漏洞的系统，都应在最新版本上运行Log4j。在其他情况下，企业机构必须优先运行WAF和DNS防火墙以及零信任网络分段等系统，以便发现可能的漏洞。

  随着该漏洞的扩大和发展，我们正在研究未来如何消除它的影响。为满足最终用户需求，开发者必须将快速增加的库、语言ECO以及第三方基础架构和服务视为一种新常态。

  领先的企业机构不但慢慢的开始评估特定库的风险，而且还通过评估该开发社区的实践来检查自身的依赖性。即便进行了此类风险评估，漏洞还是会出现。因此在这样的一种情况下，可见性最重要。许多企业机构无法发现存在漏洞的系统，所以他们必部署能够及时做出响应并防止被完全利用的系统。

  最后，企业机构应采取最小权限原则，包括限制服务器、机器和软件的访问权限，这样用户就只能访问执行自身任务所需的系统。这可以大幅度减少漏洞出现时的威胁面。

  Log4j漏洞对全球企业造成了复杂、高风险的威胁。由于该漏洞的威胁面巨大并且全球存在大量未修补漏洞的系统，攻击者将会继续利用该漏洞尝试发起攻击并在此过程中影响许多企业机构。但只要企业能够努力构建成熟的安全基础，就能够具备比以往更快的恢复速度。

  10月，高通公司（Qualcomm）发布安全警告，称其多达64款芯片组中存在严重漏洞，由于首次被发现时已存在被利用的可能，因此归类于“零日漏洞”，被标识为CVE-2024-43047，CVSS评分为7.8。安全419聚焦汽车安全领域，与多家网安厂商和车企对话，透过高通零日漏洞事件，了解业内对车联网安全的见解与思考。 芯片漏洞冲击车企 隐藏何种潜在威胁 漏洞涉及高通FastConnect、Snapdragon（骁龙）等多个系列共计64款芯片组，这不仅包括了智能手机、物联网设备，还涵盖了汽车智能

  间：2014年8月03日 06:57 索尔尼克（MathewSolnik）说，他可以在不惊动用户或手机公司的情况下控制30英尺（约9米）外的一部手机，随后便能将其变成一个“即时话筒”，并浏览手机通讯录及其短信内容。 28岁的索尔尼克现任AccuvantInc.安全顾问，该公司与世界500强企业和美国政府合作。索尔尼克说，黑客们想做什么就能做什么，如果他们想在他人的手机上安装《愤怒的小鸟》（AngryBirds），他们就能做到。 索尔尼克的黑客攻击能力凸显出网络安全的一个新前沿阵地——智能手机。 智能手机总是与互联网相连并且会不定期更新数据，其安全难以保障。智能手机储存有照片、联系人信息及聊天

  上星期，一年一度的电脑安全论坛 Blackhat 2014 在美国拉斯维加斯举行，会中有一位资安专家 Dan Rosenburg，提出了一个需要我们来关注的行动装置系统漏洞，一旦有技巧的骇客运用这项漏洞，可以在使用者不知情的情况下，泄漏手机中的敏感隐私资讯，甚至把 bootloader 解锁，获得系统的全部权限。 这个漏洞是存在于 ARM 的 TrustZone 系统保安技术中，而高通把这项技术也用在旗下所有的骁龙（Snapdragon）处理器里面；也就是说，目前几乎所有采用 Snapdragon 处理器的手机都有风险。 Dan Rosenburg 在报告中特别提到，包括 Galaxy S4、Galaxy Note 3、

  两位芬兰防病毒软件公司芬氏安全（F-Secure）的研究人员，发现黑客其实只需要随便一张房卡，就能透过复制卡片内的数据，制作一张可以通行所有房间的万用卡片…… 许多新型、中高阶的旅馆为了管理方便，客房大多使用刷卡感应的电子锁，两位芬兰防病毒软件公司芬氏安全（F-Secure）的研究人员，发现黑客其实只需要随便一张房卡，就能透过复制卡片内的数据，制作一张可以通行所有房间的万用卡片，过程中甚至不会留下任何可追踪痕迹，这个案例也替旅宿业敲响了警钟。 电子锁系统不安全，连过期房卡也能备份 发现旅馆电子锁漏洞的是，芬氏安全的顾问 Tomi Tuominen 以及 Timo Hirvonen，之所以促成他们研究这个大众再熟悉不过的锁具设备

  引言 IPv6运用AH和ESP对所传输的数据来进行认证和加密，保证了数据的机密性、完整性和可靠性，实现了信息在传输过程的安全性。但IPv6并不能保障网络系统本身的安全及其提供的服务的可用性，也不能防止黑客的非法入侵和窃取私有数据。面对IPv6将要广泛的应用，有必要将其和防火墙相结合来保障整个网络系统的安全。 目前Linux操作系统自2.2内核以来已提供对IPv6的支持，其稳定性很高且安全性较高，因此本文以Linux为平台来研究设计针对IPv6的防火墙系统。 Linux内核对数据包的过滤处理 netfilter框架机制 netfilter是linux2.4内核以后实现数据包过滤处理的一个抽象的、通用化的功能框架，它提供了不同于B

  的设计 /

  Spectre( 幽灵)和Meltdown(熔断)漏洞显然是不会通过一些快速补丁就被修复的，问题要严重的多。好在是英特尔宣布，今年晚些时候推出的新芯片将包括硬件/架构级别的改进，以防止这些缺陷。   英特尔首席执行官Brian Krzanich在公司博客中宣布了这一消息。在感谢了几个合作伙伴之后，他指出，过去5年来所有受影响的产品都收到了软件更新以保护它们免受漏洞攻击。当然，这些更新的效果是有争议的。 值得一提的是，实际上总共有三个漏洞：Spectre变种1、2和3，研究人员将前两个称为Spectre，将第三个称为Meltdown。变种1能够说是其中最难解决的，英特尔目前还没有硬件解决方案，但已经有了针对变种2和3的硬件

  Black Hat是全球领先的信息安全事件提供者，宣布即将在3月31日至4月3日于新加坡滨海湾金沙举行的Black Hat亚洲活动的简报会要点。Black Hat Asia提供了一个沉浸式的项目，包括基于研究的简报、实践培训、由领先解决方案提供商组成的商务厅，以及一系列涵盖所有信息安全级别的特殊项目。 Black Hat Asia 2020计划亮点包括： 对工业控制器进行攻击，通过现场的对话式演示，揭示攻击者如何发送利用了URGENT/11漏洞的单个数据包来接管整个工厂。 在Wi-Fi技术中发现的漏洞，包括研究人员发现苹果、三星、亚马逊等流行设备中发现的Wi-Fi芯片组的安全漏洞。 另一次简报会将着重介绍密码验证前的

  检测技术探讨研究_陈泽恩

  东芝1200V SIC SBD “TRSxxx120Hx系列” 助力工业电源设备高效

  【电路】由LOG101/LOG104与运放OPA2335构成的精密电流反向器/电流源电路

  【电路】对数和对数比率放大器LOG101/LOG1104的偏流调零电路

  【电路】由精密对数和对数比率放大器LOG102构成的增大输出电压技术电路

  2024 瑞萨电子MCU/MPU工业技术研讨会——深圳、上海站， 火热报名中

  STM32N6终于要发布了，ST首款带有NPU的MCU到底怎么样，欢迎小伙们来STM32全球线上峰会寻找答案！

  TI 有奖直播 使用基于 Arm 的 AM6xA 处理器设计智能化楼宇

  凌华智能推出AmITX Mini-ITX 主板，助力边缘AI和物联网创新

  两款新系列Mini-ITX主板为边缘AI应用提供高能效、高性能的选项支持第 14 13 12 代Intel®Core™ i9 i7 i5 i3 和 Intel®N97 处 ...

  使用恩智浦的 FRDM 开发板自由发挥，打造自动化空间中国上海，2024 年 11月14日 —安富利旗下全球电子元器件产品与解决方案分销商e络 ...

  在新一代通信技术和智能创新的推动下，人们的生活方式正悄然发生着变化。依据工业与信息化部的最新多个方面数据显示，中国 5G 基站总数已突破 40 ...

  电动车解决方案和技术格局瞬息万变，物联网技术的融合正在重新定义充电设施的未来，另一方面，人们对智能充电网络的需求也在日益增加。物联 ...

  Nordic Semiconductor推出nRF54L15、nRF54L10 和 nRF54L05 下一代无线 SoC

  Nordic Semiconductor推出nRF54L15、nRF54L10 和 nRF54L05 下一代无线 SoC，巩固在物联网超低功耗无线连接领域的领导地位新型先进低功 ...

  基于OPENCV的相机捕捉视频进行人脸检测--米尔NXP i.MX93开发板

  Nordic Semiconductor nRF54H20 超低功耗 SoC 荣获 2024 年世界电子成就奖 (WEAA)

  AD9212-65EBZ，用于评估 AD9212 八通道、10 位、65 MSPS、串行 LVDS 1.8V ADC 的评估板

  基于ISD4002-180录音回放的ISD-ES302、ES302演示板

   使用 Analog Devices 的 LTC7851IUHH 的参考设计

  使用 NXP Semiconductors 的 UBA2014 的参考设计

  详解 Mobileye 第一款量产 Robotaxi：基于蔚来 ES8 打造，搭载中国产激光雷达

  意法半导体披露 2027-2028 年财务模型及2030年目标实现路径

  英飞凌与西门子将嵌入式汽车软件平台与微控制器结合 为下一代SDV提供所需功能

  有奖直播：新科技、新课堂、新学期~ ADI软件定义无线电ADALM-Pluto入门实战

  站点相关：综合资讯传感器RFID生物识别网络传输电源管理处理器物联网安全行业规范创新应用可穿戴设备智能家居智能工业智能交通物联网百科相关展会专家观点射频