今天的安全早报包括：暗网毒枭 Gal Vallerius 在参加世界胡子大奖赛时被美国当局抓捕；NGO网站遭遇鱼叉式钓鱼攻击；思科修复了将设备暴露于远程攻击的几个关键IOS缺陷；苹果悄悄地修补了 macOS 安全绕过缺陷；Ponemon 机构的研究报告显示，企业来自第三方的安全威胁正在增长。

【国际时事】

暗网毒枭 Gal Vallerius 在参加世界胡子大奖赛时被美国当局抓捕

美国当局逮捕了一名从法国来到美国的世界胡子与胡须锦标赛的参赛者。Gal Vallerius是一名三十八岁的法国国民，他从法国前往美国德克萨斯州奥斯汀进行比赛，但在亚特兰大国际机场时遭到逮捕。目前，从相关的证据来看，当局已经证实了 Vallerius 在暗网的身份确实是 OxyMonster。而这名 OxyMonste 正是暗网 Dream Market 上的管理员、主持人和供应商，这个市场则专门贩卖非法麻醉药物以及毒品的。

Vallerius 涉嫌在 2015 年 5 月至 2017 年 8 月期间在暗网市场公开宣传和销售包括可卡因，LSD，甲基苯丙胺，芬太尼和羟考酮等药物。官员在搜寻笔记本电脑之后发现了 Vallerius 的登录凭证，并发现了大约 50 万美元的比特币和一个名为 OxyMonster 的 PGP 加密密钥。[参考来源：thehackernews]

NGO网站遭遇鱼叉式钓鱼攻击

NGO 组织网站这两天也也面临了一波钓鱼攻击，Fight for the Future 以及 Free Press的雇员表示他们在 7 月7 以及 8月 8 之间遭遇了一波鱼叉式钓鱼。而电子前沿基金会（EFF）表示，被此次攻击针对的这几家组织都是为美国网络中立性服务的。EFF 网络安全总监 Eva Galperin 和 EFF 安全研究员 Cooper Quintin 表示，根据目前的证据，攻击似乎是由位于 UTC + 3-5：30 时区的一个攻击者策划的。[ 来源：bleepingcomputer]

【系统安全】

苹果悄悄地修补了 macOS 安全绕过缺陷

研究人员声称，苹果公司已经默默修补了macOS漏洞，这个漏洞本身可以绕过其操作系统中的安全机制，并且不受限制地执行任意JavaScript代码。意大利安全企业 Segment 的 Filippo Cavallarin 发现的这个问题已经被描述为一个本地的 JavaScript 旁路漏洞，它的风险等级为 3/5 。

Cavallarin表示，他发现通过利用存储在操作系统的/ System / Library / CoreServices文件夹中的名为rhtmlPlayer.html的HTML文件中的基于DOM的跨站点脚本（XSS）漏洞可以绕过文件隔离功能。利用缺陷的另一种方法是使用 .webloc文件，允许用户将网站地址保存到本地系统。在 macOS 上，使用 Safari Web 浏览器会自动打开这些类型的文件。[ 来源：securityweek]

【网络安全】

思科修复了将设备暴露于远程攻击的几个关键IOS缺陷

思科已经发布了其 IOS 软件的更新，以修复十几个关键和高度严重性的漏洞。攻击者可以利用这些漏洞，远程接管公司的交换机和路由器。影响 REST API 的 CVE-2017-12229 漏洞如果被远程攻击者利用，还可以绕过身份验证，直接访问网络设备中的用户界面。

【企业安全】

Ponemon 机构的研究报告显示，企业来自第三方的安全威胁正在增长

本周由 Ponemon 和 BitSight 发布了两个单独的报告。Ponemon 调查了 625 名熟悉其组织第三方风险管理态势的人员。 而 BitSight 研究则采取了不同的方法，他们调查了超过 5200 家法律，技术和商业服务公司的安全状况，这些公司都是融资机构的第三方代表。两项调查显示，组织及其第三方供应商的安全状态之间存在显著差距。对于许多大型组织来说，越来越多恶意行为者会利用企业漏洞，渗透和进入企业内部网络。

而 BitSight 研究则突显出第三方供应商中常见的一些安全漏洞。Ponemon发现，56％的受访者在去年遭受了第三方的数据泄露 – 比上年增长了7％。原因不明确，但很可能与行业对第三方，特别是云服务供应商的依赖程度有关。[来源：securityweek]

转载至freebuf网站：freebuf