根据外媒arstechnica援引安全机构crowdstrike的报道称，流行的大多数虚拟化平台存在VENOM(毒液)漏洞，该漏洞存在于虚拟主机中的模拟软驱中，使用该漏洞能让攻击者越过虚拟化技术的限制，访问并监视控制宿主机，并通过宿主机的权限来访问控制其他虚拟主机。据悉，该漏洞由crowdstrike的高级技术员Jason Geffner在检查虚拟化平台安全性时发现的，漏洞自2004年模拟软驱代码首次添加到QEMU的代码库中就已经存在，时间长达11年之久。已知的XEN、KVM、QEMU受此漏洞的影响，而VMWare和Hyper-V不受影响。目前，包括Ubuntu、RedHat、XEN、QEMU以及Lionde等已经提供修复补丁或者发布安全通告。

虚拟化平台存在“毒液”漏洞 可控制宿主机

Google在自身企业安全实践方面迈出了大胆的一步——不再将自身的企业应用置于防火墙等安全设备的保护之下，不再有内外网之分。

Google的这项行动计划名为BeyondCorp。其基本假设是——内部网络实际上跟互联网一样危险。这种访问模式要求客户端是受控的设备，并且需要用户证书来访问。访问有通过认证服务器、访问代理以及单点登录等手段，由访问控制引擎统一管理，不同用户、不同资源有不同的访问权限控制，对于用户所处位置则没有要求。目前Google正在进行移植工作，最终目标是整个公司都采用这一模式。相对于大部分企业的安全管理来说，Google的这种模式的确有些惊世骇俗，但无疑代表了未来的企业安全方向。据知可口可乐、威瑞森通信、马自达汽车公司也在逐渐的采用类似的方式。

废弃防火墙：Google决定不再区分内外网

根据Onapsis的调查报告，全世界超过25万企业因SAP系统中存在的一系列安全漏洞而受到影响，可能导致严重的企业数据泄露。

全球95%的SAP企业管理系统存在安全漏洞

美国海军正在为它的导弹巡洋舰和驱逐舰寻找新的服务器供应商。虽然之前一直都是使用IBM的服务器，但由于联想于去年收购了IBM x86服务器业务，美国海军出于安全考虑决定另求供应商。

抵制中国制造：美国海军将弃用联想服务器

技术分析

想必很多人都想找一篇从零基础教学的漏洞分析文章，本例就是一个经典的利用IE UAF漏洞进行远程代码执行的完整过程，用本例来阐述到底什么是网页木马以及它的具体原理...

针对网页木马（CVE-2011-1260）的分析与实践

SSL全称是Secure Sockets Layer，安全套接字层，它是由网景公司(Netscape)设计的主要用于Web的安全传输协议，目的是为网络通信提供机密性、认证性及数据完整性保障。如今，SSL已经成为互联网保密通信的工业标准。

让SSL/TLS协议流行起来：深度解读SSL/TLS实现

网络欺骗攻击作为一种非常专业化的攻击手段，给网络安全管理者，带来严峻的考验。网络安全的战场已经从互联网蔓延到用户内部的网络，特别是局域网。目前利用ARP欺骗的木马病毒在局域网中广泛传播，导致网络随机掉线甚至整体瘫痪，通讯被窃听，信息被篡改等严重后果。

ARP攻击原理简析及防御措施

其他：

APT30-网络间谍活动分析

国外安全人员推荐的免费、好用的安全工具

秘白帽黑客：优秀女白帽子比大熊猫还稀罕

First Blood：苹果手表Apple Watch首次被黑

黑掉黑客 以牙还牙?

【编辑推荐】

【责任编辑：蓝雨泪 TEL：（010）68476606】

原文：一周安全要闻：虚拟机漏洞毒液曝光 谷歌不再分内外网 返回网络安全首页