3、Docker 漏洞允许攻击者获得主机 root 访问权限

1、易到用车回应遭黑客攻击：恢复还需时间 提现将暂停

就易到平台遭到网络黑客攻击事件，易到用车27日在官方微博发布声明称，已经发动公司全部技术力量，并获得了包括360公司在内的第三方网络安全防护专家的技术支持，一方面争取数据恢复，一方面架设新服务器，争取在最短时间里恢复服务。

目前已经取得了一定成果，但由于黑客造成的破坏巨大，要完全恢复正常，还需要时间。

易到用车严厉谴责这种不法行为，并已向警方报警，北京网安已经开始侦破工作。由于黑客的犯罪行为导致易到各项服务无法正常运转，正在进行中的提现安排将暂停并顺延至服务及数据恢复后继续开展。公司会根据解决此次事件的时长，为车主和用户制定补偿方案。

以下为易到用车声明全文：

各位关心易到的朋友们：

5月25日-26日，易到平台遭到网络黑客攻击，引发了各方关注，现将相关情况与安排通报如下：

2019年5月25日夜间至26日凌晨，易到用车服务器遭到连续攻击，核心服务器被入侵，攻击导致易到核心数据被加密，服务器宕机，绝大部分服务功能受到波及，给用户使用带来严重的影响。攻击者以删除数据、曝光司乘隐私信息向易到勒索巨额比特币。

我司已经发动公司全部技术力量，并获得了包括360公司在内的第三方网络安全防护专家的技术支持，一方面争取数据恢复，一方面架设新服务器，争取在最短时间里恢复服务。目前已经取得了一定成果，但由于黑客造成的破坏巨大，要完全恢复正常，还需要时间。在此诚挚地恳请广大易到车主和用户予以理解和体谅，再耐心等待一段时间，在服务恢复后，我们会第一时间通知大家。

黑客的行为已经严重触犯了我国刑法，涉嫌罪名包括：非法入侵计算机系统罪、破坏计算机信息系统罪、敲诈勒索罪。我司严厉谴责这种不法行为，并已向警方报警，北京网安已经开始对本案的侦破工作。奉劝实施黑客行为的犯罪分子，及早认识到自身行为的严重性，尽快向警方自首，争取宽大处理！

由于黑客的犯罪行为导致易到各项服务无法正常运转，正在进行中的提现安排将暂停并顺延至服务及数据恢复后继续开展。易到团队会根据解决此次事件的时长，为广大车主和用户制定补偿方案。

给大家带来的不便，我们再次表示诚挚的歉意！

2、GDPR实施一周年：爱尔兰数据监管机构对Facebook展开了最多的调查

根据国际隐私专家协会（IAPP）给出的简单统计数据，除了开出 5600 万欧的罚单，欧盟还在过去一年增设了 50 万名数据保护官员、数据保护机构接收了 20 万+ 的案件、涉及 9.4 万多名申诉人、并且发出了 6.4 万+ 的数据泄露通知。不过英国广播公司（BBC）报道称，社交网络巨头 Facebook，遭到了来自爱尔兰数据监管机构的最多调查。

（截图来自：Facebook 官网）

据悉，自欧盟《通用数据保护条例》（GDPR）实施一年以来，Facebook 及其子公司（包括 Instagram 和 WhatsApp），一直受到爱尔兰数据监管机构的重点调查。

目前爱尔兰数据保护委员会已经启动 19 项法定调查，其中 11 项重点关注着 Facebook、WhatsApp 和 Instagram 。

除了 Facebook，其它社交网络平台也未能独善其身，比如 Twitter 和 LinkedIn 。此外上周，爱尔兰数据监管机构对谷歌使用个人数据来投放针对性广告的行为展开了调查。

此前，法国数据监管机构 CNIL 因‘缺乏透明度、信息不完善、个性化广告未取得用户的有效认可’等原因，向谷歌开出了 5000 万欧元的罚单。

尽管谷歌已就此事提起了上诉，但后续不见得有大翻盘的可能。

此外，大多数美国大型科技企业，都在爱尔兰注册过处理个人数据的业务，包括 Facebook、谷歌、微软、Twitter、苹果、LinkedIn、Airbnb、以及 Dropbox 。

正因如此，爱尔兰数据监管机构 DPC（数据保护委员会）也遵从着欧盟的通用数据保护条例（GDPR），担负起了对上述企业展开调查的责任。

DPC 的九项调查，是在接到个人或企业的投诉后启动的，另有 10 项调查是由该机构自行发起的。最常见的问题，涉及企业对个人数据的收集和处理、缺乏透明度、以及人们访问数的权利。

DPC 通讯负责人 Graham Doyle 表示，自 GDPR 生效以来，个人对于其数据权利的认知，已经有了很大的提升。

同时这也造成了投诉量的急剧增加，从 2017 年的 2500 件、到现在 6500 件。原先才 27 人的办公室，也不得不扩充到了 130 人，预计明年会增加到 200 人以上。

Facebook 发言人称：该公司在 GDPR 合规性上花费了 18 个月的时间。新政策下，隐私设置可以轻松找到、文字描述变得更加清晰易懂、并为人们提供了访问、下载和删除信息的实用工具。

这家社交网络巨头表示其与爱尔兰数据保护办公室（DPC）保持着密切的联系，以确保可以回答该机构提出的任何问题。

Graham Doyle 预计，爱尔兰的数据保护专员 Helen Dixon 有望在 7~8 月作出对某些案件的裁定，并在年底前公布最终的结果。

【背景资料】《通用数据保护条例》（GDPR）让大家知晓了企业是如何收集、使用和存储他们的个人数据的，并赋予了欧盟用户更多的知情权和控制权。

此外，企业有责任保护用户的数据安全。如发生泄露或未经授权的分享，企业必须在 72 小时内通知国家数据监管机构。在 Facebook 发生了剑桥分析数据收集丑闻后，这一点显得尤为重要。

来源：cnBeta.COM

3、电影公司起诉 YTS 等盗版网站的运营者

多家电影公司试图通过起诉关闭流行的 BT 下载网站 YTS.am 和 yifymovies.is。YTS.am 是目前访问量最高的盗版网站，超过了海盗湾。在原 BT 下载站 YTS 在 2015 年关闭之后，YTS.am 非正常的接手了 YTS 的品牌，它是多家尝试复活 YTS 和 YIFY 品牌的网站之一。

它的流行也让它成为版权持有者的目标，电影公司向夏威夷法院起诉 YIFYMovies.is 和 YTS.am 的运营者，指控其诱导大规模版权侵犯。除了要求赔偿外，电影公司还试图杀死 YIFYMovies.is、YTS.ag 和 YTS.am 的域名。

1、旧版高通Wi-Fi驱动会导致Windows 10 2019年五月更新无法联网

微软最近承认了另一个有关Windows 10 May 2019更新的问题，但幸运的是，用户实际上可以很容易地解决它。具体表现在Windows 10 2019年5月更新或版本1903会因为旧的高通驱动程序而遭遇Wi-Fi连接丢失。微软没有提供问题驱动程序的详细信息，但表示已经解决问题并提供更新后的驱动程序，建议用户尽快获取它。

“由于过时的Qualcomm驱动程序，一些较旧的计算机可能会失去Wi-Fi连接。应该可以从您的设备制造商（OEM）获得更新的Wi-Fi驱动程序。“微软解释道。

“为了保护您的升级体验，我们已经禁止在设备上使用此Qualcomm驱动程序的用户升级到Windows 10版本1903，直到安装了更新的驱动程序。“

虽然用户可以选择使用Media Creation Tool手动安装May更新，但微软建议不要使用此方法，除非部署了新的驱动程序。

2、Android Q设备重启不断：谷歌证实将尽快修复

如果你升级到Android Q第三个测试版的话，那么最近是不是被设备不断重启搞崩溃了，事实上也确实如此，因为有很多用户都遇到了类似的情况，大家吐槽谷歌的声音越来越大。不少用户发现，自己设备升级至Android Q Beta 3之后，设备市场会发生重启，而且重启的状态没有任何预警，让人猝不及防。

从一些开发者分析的结果看，上述情况是Project Mainline所导致的。Project Mainline是Android Q Beta 3中主推的更新，谷歌的目标是，尽可能快速、一致、轻松地为用户的手机提供安全更新。

由于用户吐槽的声音越来越多，谷歌方面回应称，确实发现了运行Project Mainline后出现了强制重启设备的情况，不过表示这些问题会在Android Q Beta测试版本中修复，不会出现在正式版本中。

在Project Mainline中，一共包含了14个Mainline组件，涉及安全、隐私、一致性三个方面，而且在全新的模块组件升级机制下，你可以更加便利的升级，比如通过Play应用商城来下载和安装更新。

来源：快科技 

3、人民日报追踪浏览器主页劫持：我的主页我做主

连日来，本报持续跟踪报道“浏览器主页劫持”现象，在网民中引发广泛共鸣。大家纷纷留言，吐露心声，揭露各种网络侵权行为，呼吁主管部门加强监管，督促相关企业严守底线，期盼进一步净化网络生态，实现“我的主页我做主”。

一名网民在专业IT技术社区CDSN网站发帖，讲述他在使用某些浏览器时，自主设置的主页都失效了，一旦打开浏览器，弹出的主页都是“毒霸网址大全”。图为这名网民发帖的截图（局部）。

自己的主页，自己不能做主

在网民留言中，很多是反映自身遭遇，吐槽遇到“浏览器主页劫持”等各种网络侵权行为时的无奈。

有的是反映浏览器被恶意捆绑后严重影响工作生活——

“2345浏览器一直恶意捆绑我的浏览器，害得我重装系统，真是无法无天。”

“驱动精灵安装后卸载不了，自己的主页自己不能做主。”

“只能打开指定网页，不管你怎么操作最终都会到指定网页。”

“这种现象早就该整顿了。电脑越来越慢，主页莫名被篡改，乱七八糟的东西一大堆，对于我们来说真是太伤脑筋了。”

有的是吐槽广告弹窗频繁弹出、软件捆绑安装——

“不少网站是虚假下载链接、下载按钮，并非真下载！”

“除了这个（浏览器主页劫持），还有捆绑安装、频繁弹窗、开机启动、信息非法收集等问题。”

“很多App广告虽然设置了‘跳过’或者‘关闭’，但范围都特别小，不明显，而且操作特别不顺手。”

尊重用户知情权选择权，优化产品、改善服务质量

不少网民在留言中认为，流量劫持行为不仅是一种骚扰行为，更是一种“抢劫”行为——

“各种弹出和骚扰电话有什么区别？”

“这些网络公司，不是靠创新挣钱，而是靠改网页抢钱。”

“网络劫持，不只是骗流量这么简单，还可能收集个人偏好甚至个人信息。最坏的就是个人账号被窃取，太讨厌了。”

还有网民对互联网公司和行业提出了期盼，希望互联网企业能够守住商业底线，要在优化产品、改善服务质量上下真功夫——

“要换主页，也要让用户明确知情，有自主选择权。不能不选就不停地骚扰让你选。”

“守住商业底线，净化营造网上健康环境！”

“尊重用户的知情权、选择权。给行业和企业提个醒，确实要在优化产品、改善服务质量上下真功夫。”

“消费者越来越理智，哪怕你公司做得再大，不守住底线，终究会加速自己的消亡。”

“希望广大企业以客户至上、服务第一的原则奋发图强。相信网民必将支持国产，你们也将迅速壮大，不再依靠其他方式获取流量！”

监管要落实到位，提高法律保障能力

针对如何整治、管理，网民在留言中着重强调自律作用有限，需要有关部门落实监管，让违法者付出更大的代价——

“该加强网络管理了，不应该让网络成为法外之地。”

“应该抓住几个问题突出的浏览器狠狠惩治！”

“网络安全还有很多不完善的地方，被人钻空子、打擦边球。希望有关部门行动起来，使之更规范、更健全！”

“自律作用有限，加大查处和处罚力度才是正解。”

“国家要加大打击力度，让那些违法者付出更大的代价。”

“只求监管一定要落实到位，加大惩罚力度，真正起到杀鸡儆猴的效果。”

“早该整治了，希望监管不是一阵风。”

还有网民指出，应该从立法上下功夫，提高法律保障能力，这样才能治本——

“应该出台法律法规，明令禁止浏览器弹窗行为。”

“捆绑浏览器、篡改网址等是突破底线的行为，国家要尽快立法，约束突破底线的企业。”

“网络安全是大事，必须完善法律法规，提高法律保障能力。”

“不光是一个小小浏览器，解决大多数问题都不能单单靠行业自律和外部指导性规定，需要完善立法，明确监管责任，加大违法惩治力度，才能治标又治本。”

（为保护网民权益，隐去网民姓名或网名）

来源：人民日报

1、身中21世纪六大病毒 这台笔记本拍卖价约合829.5万元

那些伟大的艺术品要么是大师苦心孤诣打造的精品，要么具备复杂且深厚的人文历史，但今天要给大家介绍一个非常另类的艺术品--装备21世纪6大恶意程序（已经在全球范围内造成了950亿美元的损失）的笔记本，目前拍卖价格为1200749美元（约合829.5万元人民币），而且这个拍卖价格还在不断上升。

这台装备6大恶意程序的笔记本/艺术品出自郭偶东之手，是他和美国纽约网络保护公司Deep Instinct合作推出的，同时也是“The Persistence of Chaos”活动的一部分。在美国地区，如果是以破坏为目的出售恶意软件属于违法行为，因此在拍卖介绍中明确表示这台中毒的笔记本电脑的买主不能连接到互联网上，仅以“艺术品/学术理由”购买。

这台电脑是三星NC10-14GB 10.2吋的蓝色笔记本电脑，因为操作系统为 Windows XP，当时意外感染了6种21世纪以来最强大的病毒，分别为2000年的 ILOVEYOU电脑蠕虫、2003年一种邮件蠕虫与木马的结合 Sobig、2004年传播速度最快的蠕虫 Mydoom、2007年垃圾邮件变种病毒 BlackEnergy、2013年专门窃取金融凭证、公司数据的 DarkTequila以及2017年勒索比特币的软件 WannaCry等。但也因为病毒性能太强，整台电脑还被隔离在特殊空间运行，并且切断网络连线以防扩散，所以只能透过直播来看这台电脑运作，让人相当震撼。

这其中内含的6大恶意程序包括：

1. WannaCry：2017年5月时出现，这款勒索软件在全球发动攻击，只要电脑中标就无法作任何挽救，必须支付“赎金”比特币，电脑的档案才能被解密，否则就只能放弃所有档案重灌。

2. BlackEnergy：自2007年以来一直在流传网络上，主要利用机器人来寄送垃圾电子邮件，进行大量的DDoS攻击，在后期演变出不同的变种病毒，通常会躲藏在应用程式的数据文件中，如 PowerPoint 或 Excel，甚至在2015年12月造成乌克兰大规模停电。

3. ILOVEYOU：首次出现在2000年5月，是一种电脑蠕虫病毒，通过联系人列表，向每个人都发送一封主旨为“ILOVEYOU”的电子邮件，并在附件中夹带“LOVE-LETTER-FOR-YOU.txt.vbs”的档案。只要有用户打开附件，随即将重复再传给该名用户的所有连络人，虽然病毒本身并没有太大的杀伤力，只会感染电脑内的影音文件档，但因为散播快速，短时间内上千万的邮件瘫痪服务器，在一周内就造成全球55亿美金的损失。

4. Mydoom：从2004年1月时开始，是有史以来传播速度最快的电子邮件蠕虫，甚至比ILOVEYOU透过独特的判断系统在USB之间进行感染还要快。它主要通过受感染的电脑发送垃圾邮件，同样触发许多服务器瘫痪。

5. Sobig：一种蠕虫和木马的结合体，最初于2003年8月通过电子邮件中出现，除了如同蠕虫病毒攻击服务器外，还有可能会损坏使用者个人的电脑硬件与软件。但它于2003年9月10日自行停止运作，直到2018年它仍然是世界第二快传播的蠕虫病毒，肇事者也还未被抓获。

6. DarkTequila：自2013年以来一直存在至今，主要影响范围在拉丁美洲的，它可以从电脑中窃取银行金融凭证、公司数据和个人资料，并透过独特的判断系统在 USB 之间交互感染，因此它只能活动在真正的电脑上，而不是隔离的分析环境中。

2、易到用车服务器遭连续攻击：攻击者索要巨额比特币

5月26日，据易到用车官微消息，2019年5月26日凌晨，易到用车服务器遭到连续攻击，因此给用户使用带来严重的影响。据悉，攻击者索要巨额的比特币相要挟，攻击导致易到核心数据被加密，服务器宕机。我们的相关技术人员正在努力抢修。

易到表示，我们严厉谴责这种不法行为，并已向北京网警中心报案，并保留一切法律途径追究攻击者责任的权利。运营团队会根据解决此次事件的时长制定补偿方案，希望广大用户能够理解和保持耐心等待。

5月22日，针对用户余额减少甚至变成0的状况。易到用车发布《易到用车乘客端账户系统故障说明》表示，在紧急调试全新模式的用户充返活动时，技术工作发生了故障与失误，导致部分用户的账户余额受到影响。

易到表示“已及时的进行了系统修复，此次受影响的用户账户将在7个工作日内陆续恢复。”

来源：快科技 

3、macOS被爆安全漏洞:可轻松绕过门禁功能安装恶意程序

在向苹果反馈三个月之后，一位安全专家详细披露了如何绕过Gatekeeper（门禁），欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示，macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞，现在决定公开披露。

Cavallarin在个人博客上表示：“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后，我公开了这些信息。”

Gatekeeper设计目标根本不是为了防止这种漏洞，而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用，审查通过后予以接受并添加签名，确保应用未经篡改或改动。如果某个应用存在问题，Apple 会迅速从商店中下架。

但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示：“根据设计规范，Gatekeeper将外部磁盘和网络共享视为安全位置，而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择，在下次打开的时候Gatekeeper就不会继续检查它。

Cavallarin继续说道：“Zip档案可以包含指向任意位置的符号链接（包括automount enpoints），并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说，用户可以“轻易”欺骗安装网络共享驱动器，然后该文件夹中的任何内容都可以通过Gatekeeper。

在向苹果反馈三个月之后，一位安全专家详细披露了如何绕过Gatekeeper（门禁），欺骗用户运行潜在的恶意程序。安全顾问Filippo Cavallarin表示，macOS系统中的设计缺陷可以让黑客轻松绕过Gatekeeper。他在2019年2月22日向Apple报告了这一漏洞，现在决定公开披露。

Cavallarin在个人博客上表示：“根据供应商表示这个问题在2019年5月15日已经得到解决。不过在刚开始的时候苹果并没有接受我的电子邮件。在反馈给苹果90天的披露截止日期之后，我公开了这些信息。”

Gatekeeper设计目标根本不是为了防止这种漏洞，而是确保只有受信任的软件才能在 Mac 上运行。Apple 会审查 App Store 中的每个应用，审查通过后予以接受并添加签名，确保应用未经篡改或改动。如果某个应用存在问题，Apple 会迅速从商店中下架。

但是值得注意的是Gatekeeper 本身根本不负责检查APP的行为。Cavallarin表示：“根据设计规范，Gatekeeper将外部磁盘和网络共享视为安全位置，而且它允许这些磁盘下的所有应用程序运行。”因此当用户下载并做出了启动应用程序的选择，在下次打开的时候Gatekeeper就不会继续检查它。

Cavallarin继续说道：“Zip档案可以包含指向任意位置的符号链接（包括automount enpoints），并且在macOS上负责解压缩zip文件的软件在创建符号链接之前不会对符号链接执行任何检查。”他接着解释说，用户可以“轻易”欺骗安装网络共享驱动器，然后该文件夹中的任何内容都可以通过Gatekeeper。

来源：cnBeta.COM

1、女黑客SandboxEscaper又曝光4个Windows 10零日漏洞

两天前名为SandboxEscaper的安全研究人员发布了一些针对Windows 10系统的零日漏洞，并承诺后续会公开更多Windows 10零日漏洞。昨天这名安全研究人员兑现承诺，又发布了四个零日漏洞，所幸的是其中的一个漏洞已经在本月的补丁星期二活动日中进行了修复。

根据她的博客内容，她希望将她发现的漏洞出售给那些“讨厌美国的人”，显然是FBI对她谷歌账号发出传票的报复行为。GitHub概念验证（proof-of-concepts）中包含了三个Windows本地权限提升（LPE）安全漏洞，以及一个在IE 11浏览器中的沙盒逃脱漏洞。不过其中一个LPE漏洞已经在本月补丁星期二活动中修复。

在3款尚未修复的零日漏洞中最为严重的是编号为CVE-2019-0863漏洞，是针对Windows Error Reporting服务的LPE漏洞，在CVSS 3.0严重性评分中为7.8分（高）。

来源：cnBeta.COM 

2、调查发现一位工程师伪造SpaceX火箭所用部件的检查报告

来自纽约州北部的一名男子被指控为SpaceX的Falcon 9和Falcon Heavy火箭以及国防部雇用的其他航空航天承包商提供的部件提供虚假检查报告和测试认证。由于美国NASA总检察长、联邦调查局和空军特别调查办公室进行调查，这一不当行为被曝光。

这位名叫他叫詹姆斯·斯莫利的男子，是PMI工业公司的质量保证工程师，这是一家位于纽约罗切斯特的机械加工公司，生产各种航空航天零件。2018年1月，SpaceX指导PMI工业公司SQA服务部门进行内部审计时，发现许多用于确认零件安全性和质量的PMI检验报告和测试证书上伪造了检查员签名。具体来说，斯莫利据称复印了SQA检查员的签名，然后复制并粘贴到报告上。

根据纽约西区的美国检察官办公室的说法，Smalley被指控篡改了SpaceX的Falcon 9和Falcon Heavy火箭线中使用的关于38个关键部件的报告。调查还发现，多达76个没有通过检测，或者根本没有被检测的PMI产品被送到了SpaceX。总而言之，SpaceX承包的政府任务中有多达10个任务可能受到影响，其中包括7个NASA，2个空军和1个国家海洋和大气管理局任务。一些伪造的报告甚至影响了NASA 2018年4月发射的系外行星探测航天器TESS。

根据美国检察官办公室的说法，如果罪名成立，Smalley可能面临长达10年的监禁，并支付25万美元的罚款。

3、Windows Defender Application Guard​扩展登陆Chrome和Firefox

对于那些注重安全的Google Chrome和Mozilla Firefox用户，微软今天带来了一个新的浏览器扩展程序--Windows Defender Application Guard。适用于两款热门浏览器的WDAG提供了和Microsoft Edge相同的硬件隔离技术，当用户访问不受信任的网站时候自动将用户重定向至隔离的Edge会话中。

该扩展程序完成安装之后，用户可以通过点击浏览器上上的扩展图标来打开Windows Defender Application Guard。公司解释道：“在隔离的浏览器会话中，用户可以自由地导航到尚未明确定义为企业信任的任何站点，在该模式下的访问不会对系统的其余部分产生任何影响。配合我们即将推出的动态切换功能，如果用户尝试在隔离会话中访问受信任的企业网站，用户将会被切换回默认浏览器。”

适用于Chrome和Firefox扩展程序需要在Windows 10 PC上对 Windows Defender Application Guard进行配置，此外IT管理员需要对网络隔离设置进行定义，以及Microsoft Store安装新的Windows Defender Application Guard配套应用程序。此应用程序是允许Chrome和Firefox用户在隔离的Microsoft Edge环境中浏览不受信任站点的必要组件。

下载： Google Chrome  |  Mozilla Firefox

来源：cnBeta.COM

1、一指纹识别技术漏洞曝光：可跟踪Android和iOS设备

据美国科技媒体ZDNet报道，一项新的设备指纹识别技术可以使用出厂时设置的详细传感器校准信息，跟踪互联网上的Android和iOS设备，任何应用或网站都可以在没有特殊权限的情况下获取这些信息。这种新技术称为校准指纹识别攻击或SensorID，它通过使用iOS上的陀螺仪和磁力计传感器的校准细节来实现；也可以使用Android设备上的加速度计、陀螺仪和磁力计传感器的校准细节。

（题图 via ZDNet）

根据英国剑桥大学的一个学术团队的说法，SensorID对iOS设备的影响大于对Android设备的影响。

原因是苹果喜欢在其工厂生产线上校准iPhone和iPad传感器，但却只有少数Android供应商通过这一过程来提高智能手机传感器的准确性。

研究小组在昨天发表的一份研究报告中说：“我们的方法是通过仔细分析来自传感器的数据，这无需对网站和应用程序提供任何特殊许可即可访问。”

“我们的分析推断出制造商嵌入到智能手机固件中的每个设备的工厂校准数据，他们通过这种方法来补偿系统制造失误。”研究人员说。

然后，该校准数据可以当做指纹，产生唯一标识符，广告或分析公司可以使用该标识符来跟踪用户的上网情况。

SensorID - Sensor Calibration Fingerprinting for iOS Devices（via）

https://v.youku.com/v_show/id_XNDE5Mjc2ODExNg==.html?spm=a1z3jc.11711052.0.0&isextonly=1

此外，由于校准传感器指纹在使用应用程序或网站提取时都是相同的，因此该技术还可用于跟踪用户在浏览器和第三方应用程序之间的切换，允许分析公司全面了解用户的设备使用情况。

“提取校准数据通常需要不到一秒的时间，并且不依赖于设备的位置或方向。”研究人员说，“我们还尝试在不同位置和不同温度下测量传感器数据，我们确认这些因素也不会改变SensorID。”

即使在重置出厂设置之后，传感器校准指纹也永远不会改变，从而允许跟踪实体把访问标识符作为不变的唯一IMEI码。

此外，由于无需获取特殊权限，因此用户无法察觉这种类型的跟踪。

发现这种新跟踪载体的三人研究小组表示，他们分别于2018年8月和2018年12月通知了苹果和谷歌。

苹果在今年3月发布iOS 12.2修补了这个问题。但谷歌只告诉研究人员他们会展开调查。之所以出现这种情况，很可能是因为iOS设备比Android智能手机更容易受到这种类型的跟踪。

来源：新浪科技 

2、首款数字断路器获得商用认证

世界第一款数字断路器本周获得了商用认证。这种新型断路器能让电力更容易管理，比机械断路器快 3000 倍，但也引发了安全方面的担忧，因为它可以通过互联网远程管理，而互联网从来不是安全之地，如果黑客劫持了数字断路器的网络连接控制了你家的电源勒索你支付赎金否则就没有电力？

数字断路器由 Atom Power 公司发明，公司 CEO Ryan Kennedy 在数十年的从业生涯中认识到基于模拟电路的基础设施无法实现精细的电力控制。他的公司从 2014 年开始设计使用数字断路器的基础设施，使用固态半导体和软件去管理来自分布式电源的电力。

Kennedy 说，不是用机械切换开关而是用数字输入，可以通过 iPhone 和 iPad 远程管理电力，这将可以改进安全和效率，可以实现不同电源的无缝自动切换，灯光将不会再闪烁。

3、伦敦地铁将于7月开始使用Wi-Fi接入点跟踪所有乘客的手机

从7月8日开始，伦敦交通局（TfL）将默认开始跟踪伦敦地铁的乘客电话。首都260个站点的Wi-Fi接入点将使用乘客手机的MAC地址跟踪乘客，这将使TfL能够看到他们从一个站点移动到另一个站点时查看他们通过的网络以及通过各个车站的路线。

由于系统依赖于手机在尝试连接时自动发送到Wi-Fi接入点的MAC地址，因此选择退出此系统的唯一方法是完全关闭手机的Wi-Fi。但是，TfL将对其收集的数据进行匿名化，MAC地址将被标记化，这意味着它们将被替换为无法追溯到智能手机或拥有它的客户的标识符。运输当局表示不会从设备收集任何浏览或历史数据。

跟踪的目的是更好地了解人们如何使用地铁网络并提供有关站点拥挤程度的实时信息。伦敦交通局已经可以使用门票来了解人们在哪些车站之间旅行，但是从今年晚些时候开始，伦敦地铁工作人员将可以访问人群数据，以便为人们提供更好的旅行建议。 TfL还计划通过其网站和社交媒体渠道发布拥挤警报。

也许更重要的是，人群数据也将通过权威机构现有的API提供，理论上允许Google Maps和Citymapper等地图公司定制他们的公共交通建议，以避免高度拥挤的地区。TfL表示，该计划还将通过实际乘客量，来利用其广告空间，如大量乘客通过某个走廊，TfL希望该数据将提供给潜在的广告客户。

来源：cnBeta.COM

1、谷歌发现G Suite漏洞：部分密码明文存储长达十四年

据美国科技媒体The Verge报道，谷歌在博客文章里披露，公司最近发现一个漏洞，导致部分G Suite用户的密码以明文方式存储。博文中称，该漏洞自2005年以来就存在，但谷歌未能找到任何证据表明，任何人的密码被非法访问过。公司正在重置可能受影响的密码，并已告知各G Suite管理员。

G Suite是Gmail和谷歌其它应用的企业版本。显然，G Suite中出现的这个漏洞源于专为企业涉及的功能。一开始，公司的G Suite应用管理员可以手动设置用户密码——例如，在新员工入职前——如果管理员这样操作了，管理控制台会以明文方式存储这些密码，而非哈希加密存储，之后，谷歌便删除了这个管理员功能。

谷歌的帖子详细地解释了加密哈希的工作原理，似在为了分清楚与这一漏洞有关的细微差别。虽然密码是以明文方式存储，但它们至少是明文存储在谷歌的服务器上，因此比起存储在开放互联网上，这些明文密码还是比较难访问的。虽然谷歌并未明确说明，但谷歌似乎也在努力让人们相信，这次的漏洞与其他遭到泄露的明文密码问题不一样。

另外，谷歌并未说明具体有多少用户受到这一漏洞的影响，只是表示该漏洞影响了“我们部分的企业G Suite用户”——估计是2005年时使用G Suite的那些人。尽管谷歌也没有发现任何人恶意使用这一访问权限的证据，但我们也无法清楚地知道究竟谁访问过这些明文密码。

目前这个漏洞已经修复，同时谷歌在博文最后表达了歉意。

2、全世界谁最有钱？他们的信息全被泄露了

全世界谁最有钱？他们住在哪里？手机号是什么？富豪们买了什么？想必你跟我一样好奇。这些信息很值钱，这些信息也很危险。最近，富豪们要瑟瑟发抖了。5月21日据Forbes报道，位列福布斯全球2000强榜单的Hindustan Computers Limited（HCL）在多个子域上托管的可公开访问的页面和Web界面暴露了大量的员工和商业信息。

该公司拥有200多名财富500强以及600多名来自福布斯全球2000强名单的重要客户，这也为其客户企业带来机密信息泄露的重大风险。

HCL什么鬼？

没错，上述故事中担任“坑货”公司的原型就是HCL（Hindustan Computers Limited）。HCL是一家印度跨国信息技术（IT）服务和咨询公司，其总部位于北方邦的诺伊达。

其业务涉及多个领域，包括航空航天和国防、汽车、银行、资本市场、化学和加工业、消费品、能源和公用事业、医疗保健、高科技、工业制造、保险、生命科学、制造业、媒体和娱乐，采矿和自然资源、石油和天然气、零售、电信、旅游、运输、物流和酒店等等。

这意味着什么？HCL内部存储了海量行业企业的商业信息及数据。

HCL内部数据遭泄露

OK，到这我想你已经猜到接下来要讲什么了。

根据安全评估公司UpGuard的说法，此次HCL暴露的公共数据“包括新员工的个人信息和明文密码，客户基础设施安装报告以及管理人员的Web应用程序。”

暴露的HCL人力资源管理系统

据悉，UpGuard的研究团队在5月1日发现这些被暴露的数据，当时在HCL域上检测到可免费下载并包含客户关键字的文档。文档中包含了其他可公开访问的页面以及个人和商业数据。

鉴于包含泄露数据的页面托管在多个HCL子域上，并且只能通过Web界面访问，研究人员最终决定在五天后才公开信息的详细分析结果。

5月6日，UpGuard在进一步分析泄露的信息后发现了一个电子统计表，其用于管理新雇用的共364条人事记录。

UpGuard研究人员称，364天记录中最古老的可以追溯到2013年。而直到2019年仍有超过200条相关记录在其中，这里面有54条记录是2019年5月6日加入的新员工。

暴露的SmartManage报告系统

暴露的数据包括候选人ID、姓名、手机号码、加入日期、加入地点、招聘人员SAP代码、招聘人员姓名、创建日期、用户名、明文密码、BGV状态、接受的要约以及候选表格的链接。

客户机密信息“危在旦夕”

正如上面所提，通过员工通行密码，黑客能够在HLC的内部系统之间“畅游”。而最新发现表明这些风险有极大可能会波及到其客户。

研究人员在其他不需要身份验证的页面上发现了更多泄露信息，这些信息中有超过2800名员工的名称和SAP代码可以被用于操控HCL内部的SmartManage报告系统查找或执行“停用”命令，以此管理全部客户的安装报告及项目数据。

SmartManage报告索引

UpGuard还发掘了一份内部分析报告数据库，其中列出了超过5700个事件记录，其中包含了大约18000个条目记录了每周的客户报告详细内容，而最早的安装报告甚至可以追溯到2016年。

真高冷？还是慌！

对于上述发现，UpGuard向HCL发送了一份通知并详细说明了泄露数据的性质——两个可公开访问的页面、一个包含子域名的列表，以及向HCL的数据保护官员公开展示其业务信息。

报告发送后尚未得到任何回复。

尽管如此，5月7日UpGuard研究团队发现其上报的数据泄露通知的一部分内容得到了保护——发送的两个页面目前都需要访问所需的身份验证，并且相对安全。然而，其他的页面则仍然没有被“纳入”HCL的保护范围内。

UpGuard称：“该研究人员尝试再次发送了一封电子邮件，其中包含与HCL数据相关的其他泄露数据的页面信息。截止5月8日晚间，研究人员验证并确认匿名用户已经无法访问这些页面。”

该研究人员表示，虽然HCL没有与报告数据泄漏的公司建立任何形式的沟通渠道，但UpGuard报告得出的结论是“HCL的此次泄漏事件应该引起商业领袖们的注意，他们很可能因此被沦为下一个受害者“。

HCL似乎准备联合BleepingComputer发表正式声明。但外媒核实情况后，截止本文发布前依旧未收到任何回复。

3、北京通信管理局出重拳 治理95短号码骚扰电话

近日，针对近期“95”短号码骚扰电话举报增多，给通信用户造成困扰的问题，按照工业和信息化部的要求，北京管局对北京恢弘科技有限公司等8家呼叫中心企业进行了行政约谈，同时，督促基础电信企业加强线路资源管理，对5月17日被工信部约谈的南京颢志苍信息科技有限公司等9家在京接入的呼叫中心企业的“95”短号码全部予以了关停处理。

北京管局要求呼叫中心企业要充分认识到骚扰电话问题的危害性，认真反思，严格落实企业主体责任、规范自身外呼行为、完善商业营销外呼管理机制，不得营销扰民。针对举报投诉问题突出的情况，各公司要深入剖析问题原因，立即整改，确保短期内取得实效。基础电信企业要建立对“95”短号码骚扰电话问题的动态监测机制，对于违规企业要及时处置，并采取联动机制，形成“一处违规，处处受制”的局面。

下一步，北京管局将持续深入推进综合整治骚扰电话专项行动。一是严肃问责，对整改效果未达要求的呼叫中心企业将依法依规采取行政处理措施。二是建立健全“95”短号码的监测防范和处置机制，组织基础电信企业加强对接入呼叫中心企业平台接入资源和外呼行为的管理。三是加强基础电信企业骚扰电话个性化拦截软件的服务能力和对外宣传。四是组织基础电信企业进一步完善骚扰电话的监测、统计和数据报送机制。五是及时落实12321举报投诉的核查处置工作，坚持以人民为中心的发展思想，真抓实干，为首都营造良好的通信环境。

1、想雇个黑客？小心他是个诈骗分子

2015年，一家提供“黑客服务”的网站Hacker’s List正式在新西兰成功注册成为公司。该网站采用了中介的形式，给雇主和职业黑客提供了有保障的交易。网站页面会列出了“黑掉Facebook账户”、“黑掉Gmail账户”、“黑掉某网站”，以及“黑掉某商业账户”等等项目。国内也有类似有相关的网站，只需要在搜索框内输入“黑客服务”就可以看到相关的网站。

就像购物网站上的物品有好有坏，有真有假，黑客服务也不例外。

近日，谷歌和加利福尼亚大学的研究人员通过伪装成有所需求的买家，直接与27个提供黑客服务的买家接触，并要求他们针对所选择的Gmail账户进行攻击。结果显示，大多数网上提供的黑客雇佣服务都是诈骗或者无效的。

黑客服务测试过程

首先，研究人员会创建一些Gmail账户。这些受害Gmail账户其实是研究人员与谷歌一起协调设计好的蜜罐，用来进行此次研究。账号允许研究人员记录其与受害者的关键互动行为，以及其它方面信息，如商业网络服务器、朋友或合作伙伴的电子邮件地址。

将蜜罐部署好以后，研究人员开始伪装成有需求的买家，与 27 个提供黑客服务的买家进行接触，并要求他们针对所提供的Gmail账户进行攻击。

在参与的 27 项黑客服务中，有 10 项从未回复过他们的请求，12 项做出了回复，但并没有真正尝试过发动攻击，只有 5 位黑客最终发起了针对测试Gmail帐户的攻击。在响应请求但没有发动攻击的 12 人中，有 9 人表示他们不再攻击Gmail帐户，而其他三人似乎是诈骗份子。

研究人员表示，如果按小时计算的话，黑客雇佣的价格在28美元到300美元之间浮动，完成一个黑客任务获得的报酬，则会达到100美元至500美元之间。，而且没有人使用自动化工具进行攻击，所有攻击都涉及社会工程，黑客使用鱼叉式网络钓鱼来微调针对每个受害者的攻击。在实验中，一些黑客询问了研究人员要攻击的受害者的详细信息，而其它人则不过问，并且选择使用可重复使用的电子邮件网络钓鱼模板。

黑市与黑客服务

黑市的存在使得雇佣黑客成为一件很简单的事情。

暗网和地下黑市除了售卖武器毒药、恶意软件、漏洞利用工具等各种商品，也会出售黑客服务。其中最为常见的几种黑客服务包含：

1、窃取信用卡、支付凭证、社交账号、邮箱账号等各种数据信息；

2、个人信息搜集和调查（Doxing）；

3、DDoS攻击服务。

戴尔安全工作室曾在2016年发布的一份俄罗斯地下黑客市场的报告，披露了诸多黑客攻击手法的雇佣价格。从软件售卖到黑客教学，再到银行卡盗窃、DDoS攻击等各种网络攻击服务，应有尽有。

有趣的是，黑客还提供客户支持，不收预付金，并承诺最快时间完成任务（依据入侵目标的复杂性），而且还保证完全的隐蔽性，“目标都不会注意到自己被黑”。

但是，从2016年4月开始，欧盟通过了《一般数据保护条例》（General Data Protection Regulation），2017年，我国颁布的《中华人民共和国网络安全法》全面施行。各国政府在打击暗网犯罪方面大有突破。

“四大”暗网交易市场中的AlphaBay、Hansa Market和RAMP在2017年相继被警察查封关闭。暗网最古老的市场之一Dream Market也于今年3月份宣布关闭。黑客服务的市场也随之缩减。

黑客服务不再只是影视剧中那样高风险的遥不可及的服务，而是可以解决人们日常生活中入侵系统的需要。然而这个领域的合法性似乎还颇具争议。无论如何，我们应该对网络安全知识有正面积极的认知，而不是触碰法律底线，游走在法律和道德的边缘。

来源：开源中国、计算机与网络安全、freebuf

2、人民日报：手机App过度索取权限何时休

记者在调查浏览器主页劫持现象的过程中发现，手机App（应用程序）也是互联网技术霸凌的重灾区。“灾情”如何？记者进行了调查。“我的手机App一打开网页，就弹出各种抽奖小广告”“看个视频，却要求获取我的通讯录权限，不打开权限就无法观看”“下载后安装App，需要获取我的地理位置信息，不同意就装不了”……手机App要求权限过多、过度收集信息非常普遍，也是被吐槽和投诉的技术霸凌“重灾区”。

■安装时要求权限过多、收集信息过度，App技术霸凌时有发生

记者在百度搜索框敲入“App权限”，马上就自动显示“App权限过大”和“App权限哪些需要禁止”的搜索提示。“App权限过大”的百度相关搜索结果量超过400万个，“App权限哪些需要禁止”的搜索结果量也超过200万个。

在对40多万款App进行调查后，中国人民大学信息学院教授孟小峰团队发现，目前App的各类权限接近40个，但大部分权限跟App实现功能的正常需求并不匹配。

前不久，上海市消费者权益保护委员会对39款手机App涉及个人信息权限的测评显示：超过六成App在用户安装时申请了很多敏感权限，却不提供实际功能，包括读取通讯录、电话权限、短信权限、定位权限等。

DCCI互联网研究院首席专家胡延平告诉记者，为了提供服务、提升体验，一些App要求权限、收集信息是合理的，但应该有边界。“大多数用户并不知道App要这些权限做什么，也不会仔细了解每个权限的风险，很容易不知不觉地掉进风险盲区。”

安装App时，在用户不知情的情况下，违规捆绑无关软件、违规搜集用户个人信息……手机App中的“恶意分子”所引发的技术侵害则更加难以防范。据中国科学院信息工程研究所副研究员刘奇旭介绍，这类App技术入侵主要通过3种方式实现——

一是将正常的App安装包替换成攻击者的安装包，或是在用户正常安装时，关联安装恶意App，“操作者”通常是第三方应用商店或者手机中的恶意软件；

二是手机中的恶意软件监测手机App的运行状态并进行攻击。例如，当用户打开某个App的界面时，被恶意软件探知后，启动其仿冒界面来覆盖原界面，导致用户在仿冒界面中输入自己的账号信息，并被攻击者获取；

三是手机中的恶意软件会中途“劫持”用户对某个页面的访问，代之以返回错误或含有恶意代码的页面。例如用户在使用App时会被插入不良广告，操作者通常是不良运营商和手机中的恶意软件。

■影响体验，泄露隐私，App劫持的背后是经济利益驱动

安全专家表示，App存在的过度要求权限等技术霸凌行为，不仅影响用户使用体验，还可能导致隐私泄露，甚至造成财产损失。腾讯发布的《2018年手机隐私权限及网络欺诈行为研究分析报告》显示，手机App是重要的隐私泄露渠道之一。

智能手机是人们目前常用的移动互联网终端，存放着用户的社会交往、行为喜好、生活规律、账号密码、照片视频等隐私数据，甚至还包括商业机密文件。胡延平说，一些App越界获取权限，用户不小心就掉进“天罗地网”，手机里的个人信息随时处于“裸奔”状态，无异于被App“数据劫持”。

一些权限如果被恶意App获取，会引发更大的风险。比如，App要求的日历权限允许读取、分享或保存日历数据，如果该权限被恶意App利用，可能用来追踪用户每天的行程；电话权限被恶意App利用，可能会产生额外的电话费用、泄露智能设备的独有编码信息；通讯录权限被恶意App软件获取后，不仅联系人信息被泄露，还很有可能被传播垃圾邮件、短信或电话的人利用，轻则给日常生活带来骚扰，重则还会引发诈骗、勒索等后果。

“App技术霸凌给用户的手机带来了新隐患，使其可能成为攻击者攻击其他目标的跳板。尤其是获取高权限的App，更是能够随心所欲地控制用户手机。”刘奇旭说。

面对App的技术霸凌，用户缺少选择权，整体上处于任人宰割的弱势地位。

App运营方为什么要获取这么多的权限和数据？专家分析说，大数据的应用，让个人数据变得越来越有价值。一些App运营方通过各种手段，甚至在没有获得用户同意的情况下收集用户信息，主要是大数据背后的经济利益驱动。

“比如，App抓取广大用户的手机通讯录后，会将通讯录上所有人的电话、姓名、地址等信息汇聚形成一个用户数据库，借此给用户精准‘画像’，通过推送广告等获取收益。”胡延平说，“这些信息和数据甚至会被反复、多次出售，被网络黑色产业链利用。”

■专家呼吁完善相关法律，为App获取个人信息划定边界

针对App过度和越界索求手机权限，安全专家表示，App获取个人信息应遵循3个原则：一是最小必要原则，即App获取的信息是不是服务的必要数据；二是用户知情原则，即第一次使用App时，需要提示用户是否开启某项服务，即使选择不开启，也不能影响App其他功能的正常使用；三是必要保护原则，即App合规收集用户的数据时，要保证数据安全，确保不被泄露、贩卖和滥用。

“应该通过法律规范明确个人信息的收集边界，除特定情况并征得用户授权外，用户本人应绝对掌控自己的个人数据，信息采集方也无权违规使用。”北京师范大学网络法治国际中心执行主任吴沈括说。

吴沈括认为，与个人隐私相关的信息重点在于保护，与个人隐私不相关的个人数据重点在防止滥用，“维护数字生态健康发展，必须区分哪些数据是企业可以收集的，哪些数据的收集是要征得用户同意的。”

避免个人信息泄露，用户也有必要逐步提高自身安全意识。专家建议，用户要选择正规的渠道下载App，同时要重视手机隐私权限管理，及时关闭不必要的App权限。

对互联网技术霸凌现象，记者将继续跟踪报道。

人民日报 本报记者 喻思南 吴月辉 刘诗瑶 谷业凯 冯 华 余建斌

来源：人民日报 

3、 John the Ripper 支持 FPGA 破解密码 

流行的开源密码破解软件 John the Ripper 释出了 Ripper 1.9.0-jumbo-1。自 1.8.0-jumbo-1 发布以来新版本历经了 4.5 年的开发，包含了 6000+ commits，有两位华裔开发者贡献了超过 80 个 commits。新版一个备受期待的功能是支持 FPGA 破解密码。使用 FPGA 破解密码在多种情况下比使用 GPU破解性价比更高成本更低。FPGA 破解支持七种哈希函数 bcrypt、descrypt （包括 bigcrypt 扩展)、sha512crypt & Drupal7、sha256crypt、md5cryp(包括 Apache apr1 和 AIX smd5 ) & phpass，其中多种是首次实现 FPGA，测试结果显示有的强于 GPU 有点则弱于 GPU。

来源：solidot.org

1、黑客论坛被黑 竞争对手公开其数据库

劫持其他用户帐户的黑客发现自己成为了被劫持的对象。Ogusers.com 论坛的管理员在 5 月 12 日发帖解释了最近的下线事故，称一块硬盘损坏抹掉了过去几个月论坛帖子和私人消息，他已经恢复到了备份，但这个备份日期仅截至 2019 年 1 月。

Ogusers 管理员可能不知道的是，在硬盘故障的同时他的网站遭到了入侵。5月16日，竞争对手 RaidForums 的管理员宣布上传了 Ogusers 的数据库供任何人免费下载，“Ogusers 管理员承认了数据损坏，但没有说出网站被入侵，所以我猜我是第一个告诉你们真相的，他没有网站的最新备份我这里有。”

泄露的数据库包括了约 11.3 万用户的电子邮件地址、哈希密码、IP 地址和私人消息。已有用户抱怨他们的电子邮件开始收到钓鱼邮件。

来源：solidot.org

2、Linux内核曝出RDS漏洞 影响Red Hat, Ubuntu, Debiand与SuSE

如果您不习惯使用最新版本的Linux内核，那么现在可能是考虑升级的好时机。基于早于5.0.8的内核版本的系统在通过TCP实现RDS时已经发现一个缺陷。如果没有打补丁，该漏洞可能会使攻击者破坏系统。

Red Hat，Ubuntu，Debian和SUSE都受到了这个漏洞的影响，并且这些发行方均已为其Linux发行版发布了安全建议。值得注意的是，“攻击复杂性”被评为“高”，因此虽然安全漏洞的影响可能很严重，但成功实施攻击的难度较大。

在对该漏洞的分析中，红帽表示：在Linux内核的TCP上RDS实现中发现了一个漏洞。加载了rds_tcp内核模块的系统（通过运行listen（）的本地进程通过自动加载或手动加载）可能会导致在释放后使用（UAF），其中攻击者能够操纵网络命名空间的处理套接字状态，从而可能导致内存错误和权限提升。

Canonical的Ubuntu漏洞报告的语气则稍微和缓一点，他们表示目前没有看到证据支持这种可以远程利用的说法。将rds.ko模块列入黑名单可能足以防止易受攻击的代码加载。自14.04 LTS以来，kmod软件包的默认配置包括/etc/modprobe.d/blacklist-rare-network.conf中的RDS。

无论如何，该问题已在Linux内核的5.0.8版本中进行了修补，因此如果您还没有这样做，请更新它就可以一次性解决问题。

了解更多：

https://access.redhat.com/security/cve/cve-2019-11815

https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-11815.html

来源：cnBeta.COM 

3、思科针对 Nexus 数据中心交换机发出危急安全预警

日前，思科发布了 40 个左右的安全报告，但只有其中的一个被评定为“危急”：思科 Nexus 9000 系列应用中心基础设施（ACI）模式数据中心交换机中的一个漏洞，可能会让攻击者隐秘地访问到系统资源。这个新发现的漏洞，被通用漏洞评分系统给到了 9.8 分（满分 10 分）。

思科表示，它是思科 Nexus 9000 系列的安全 shell （ssh）密钥管理方面的问题，这个漏洞允许远程攻击者以 root 用户的权限来连接到受影响的系统。

思科表示，“这个漏洞是因为所有的设备都存在一对默认的 ssh 密钥对，攻击者可以使用提取到的密钥材料，并通过 IPv6 来创建连接到目标设备的 SSH 连接。这个漏洞仅能通过 IPv6 来进行利用，IPv4 不会被攻击”。

型号为 Nexus 9000 系列且 NX-OS 软件版本在 14.1 之前的设备会受此漏洞的影响，该公司表示没有解决这个问题的变通办法。

思科公司已经为解决这个漏洞发布了免费的软件更新。

该公司同样对 Nexus 9000 系列发布了一个“高危”级别的安全预警报告，报告中表示存在一种攻击，允许攻击者以 root 用户权限在受影响的设备上执行任意操作系统命令。思科表示，如果要用这种方式攻击成功，攻击者需要对应设备的有效的管理员用户凭证。

思科表示，这个漏洞是由于过于宽泛的系统文件权限造成的。攻击者可以通过向受影响的设备进行认证，构造一个精心设计的命令字符串，并将这个字符串写入到特定位置的文件里。攻击者通过这种方式来利用这个漏洞。

思科发布了解决这个漏洞的软件更新。

另外两个被评为“高危”级别的漏洞的影响范围同样包括 Nexus 9000 系列：

思科 Nexus 9000 系列软件后台操作功能中的漏洞，能够允许一个已认证的本地攻击者在受影响的设备上提权到 root 权限。这个漏洞是由于在受影响的设备上用户提供的文件验证不充分。思科表示，攻击者可以通过登录到受影响设备的命令行界面，并在文件系统的特定目录中构造一个精心设计过的文件，以此来利用这个漏洞。

交换机软件后台操作功能中的弱点能够允许攻击者登录到受影响设备的命令行界面，并在文件系统的特定目录里创建一个精心构造过的文件。思科表示，这个漏洞是由于在受影响的设备上用户提供的文件验证不充分。

思科同样为这些漏洞发布了软件更新。

此外，这些安全警告中的一部分是针对思科 FirePower 防火墙系列中大量的“高危”漏洞警告。

例如，思科写道，思科 Firepower 威胁防御软件的 SMB 协议预处理检测引擎中的多个漏洞能够允许未认证的相邻、远程攻击者造成拒绝服务攻击（DoS）的情况。

思科表示，思科 Firepower 2100 系列中思科 Firepower 软件里的内部数据包处理功能有另一个漏洞，能够让未认证的远程攻击者造成受影响的设备停止处理流量，从而导致 DOS 的情况。

软件补丁可用于这些漏洞。

其他的产品，比如思科自适应安全虚拟设备和 web 安全设备同样也有高优先级的补丁。

来源：Linux 中国

1、25000台Linksys路由器可能泄露与之相连的任何设备的大量信息

可能泄露大量数据的自2014年一来就有的严重漏洞被暴露，未更改默认密码的Linksys路由器甚至可以帮助黑客在现实世界中物理定位设备和用户。研究人员Troy Mursch声称，目前使用的Linksys智能Wi-Fi路由器至少发现有25000个存在缺陷，这意味着黑客可以访问重要数据。在“网络威胁情报”公司的Bad Packets Report中写道，敏感信息正在泄露，尽管制造商正在否认这一点。

Linksys于2013年被Belkin收购 - 而后该公司于2018年又被富士康收购 - 富士康随后表示其员工未能重现Mursch的调查结果。

“我们使用最新的公开固件（默认设置）快速测试了Bad Packets标记的路由器型号，但无法重现[它]，”Linksys在一份在线安全公告中表示，“这意味着它不可能让远程攻击者通过这种技术检索敏感信息。“

Linksys进一步表示，该漏洞在2014年就得到修复。但是，Mursch并不同意，坚持认为这个安全风险依然存在。

“虽然[这个缺陷]据说是针对这个问题修补的，但我们的调查结果已经表明了其他情况，”Bad Packets说。 “在联系Linksys安全团队后，我们被告知要报告漏洞......在提交我们的调查结果后，审核人员确定问题是“不适用/不会修复”并随后关闭了这一报告。

如果您的路由器是以这种方式泄漏信息的，那么黑客可能获得的详细信息包括现在连接的每个设备的MAC地址。

它还可以包括设备名称，如“William's iPhone”以及该设备是Mac、PC、iOS以及Android设备。 Mursch声称，MAC地址和Linksys智能Wi-Fi路由器的公共IP地址的组合可能意味着黑客可以对被攻击者的进行地理定位或跟踪。

但是，更容易和立即发现的是路由器的默认管理员密码是否已被更改。这个漏洞和Linksys / Belkin的响应首先由Ars Technica报告，其中指出受影响的路由器的数量似乎正在减少。在25617个初步报告之后，几天后重复测试显示有21401个易受攻击的设备还未与互联网上。

已报告受影响的Linksys路由器型号的完整列表位于Bad Packets站点上。

来源：cnBeta.COM

2、Salesforce 闹剧：共享用户数据后陷入数小时的瘫痪

安全

Salesforce 的工程师在竭力保护客户信息，因此关掉了实例。自周五以来，Salesforce 客户无法访问服务，这归咎于糟糕的数据库部署。此后不久，这家云 CRM 公司表示，它正在调查与其 Pardot B2B 营销自动化系统的当前或过去用户有关的一个问题。

这家美国科技巨头似乎向 Pardot 客户授予了不该授予的访问权限，即访问所有数据的权限。Reddit 上有帖子发道：“我们的一个项目其所有配置文件都被修改了，以启用 Modify ALL（修改所有），允许所有用户访问所有数据。”

为了收拾残局，Salesforce 的 IT 团队拒绝访问托管 Pardot 用户的 100 多个云实例，同时关闭了使用那些服务器的所有其他实例。Salesforce 随后发布了说明，表示：

几个 Salesforce NA 和 EU 实例上的一部分客户遇到了服务故障。Salesforce 技术团队阻止访问含有受数据库脚本部署影响的客户的某些实例，这次部署无意中为用户授予了比预期更广泛的数据访问权限。为了保护我们的客户，我们已阻止访问含有受影响客户的所有实例，直到我们可以阻止访问拥有无意授予的权限的组织（org）。因此，未受影响的客户也可能会遇到服务故障。我们已开始取消阻止未受权限问题影响的客户。与此同时，我们正在努力为受权限更改影响的客户尽快恢复原来的权限。现在使用 Pardot 或过去使用过 Pardot 的 Salesforce 客户将继续有限制地访问或无法访问其组织。客户应继续检查 Trust 以获取更新。”

Salesforce 表示与 Pardot 无关的客户可能会遇到服务异常。这家公司坚称正在努力尽快恢复。当然，用户在社交媒体上怨声载道。一些人声称，由于云服务宕机，他们整个公司这周提前收工回家。

Salesforce 首席技术官和联合创始人Patrick Harris 通过推特就这次乌龙事件深表歉意。他发推文道：

致我们所有的salesforce客户，请留意我们的服务遇到了重大问题，对因此给你造成的影响深表歉意。放心，我们在全力以赴解决这个问题，会尽快解决。

安全公司 CloudKnox 的首席执行官 Balaji Parimi 在通过电子邮件发给 IT 外媒 The Register 的声明中提醒，其他公司要明白，过度配置权限比外部攻击或内部威胁更可能构成威胁。他表示：

安全团队需要确保，权利很大的权限仅限于少数经过适当培训的人员。除非公司更深入地了解哪些身份拥有可能导致这种类型的事故，并积极主动地管理这些特权，以便最大限度地降低风险，否则它们很容易受到灾难性事件的影响，就像现在我们看到的 Salesforce 的遭遇。”

来源：云头条

3、技术人员评估英特尔CPU新漏洞对性能的影响

本周，英特尔 CPU 爆出了一个被称为 Zombieload 的 Microarchitectural Data Sampling（MDS）漏洞，目前推荐的修正方法是关闭超线程，这毫无疑问会对性能产生巨大影响。但即便不关闭超线程，MDS 的修正方法对不同工作负荷产生了显著的性能影响。

Phoronix 测试了最新的内核补丁和最新的英特尔 CPU 微码，在关闭修正方法和启用修正方法的情况下进行比较测试，结果显示在不同测试中英特尔 CPU 性能出现了高达 20% 的下滑，而 AMD CPU 的性能下滑大部分在个位数甚至只有 2~3% 的差异。

AMD CPU 不受 MDS 漏洞影响，但补丁也会对它产生略微影响。

来源：solidot.org

1、Stack Overflow 安全事件新进展：部分用户私人信息遭窃

Stack Overflow 遭黑客入侵一事仍在调查中，官方博客披露了调查最新进展。入侵实际发生在5月5日，当时部署到 stackoverflow.com 的开发层的构建包含一个错误，该错误允许攻击者登录到开发层，并在网站的生产版本上升级他们的访问权限。

黑客潜入系统并探索了至少5天都未被发现，直到5月11日，“入侵者对我们的系统进行了更改，以便为自己提供访问特权。这一变化很快被发现，我们撤销了他们在整个网络的访问，开始调查入侵，并采取修复措施。”

调查显示整体用户数据库没有受到损害，攻击者提出的特权 Web 请求已经确定，这些请求返回了约 250 位 Stack Exchange 用户的 IP 地址、名称或电子邮件。受影响用户将很快接到官方的通知。

Stack Overflow 团队表示会针对此次安全事件采取以下措施：

终止对系统的未授权访问

对所有日志和数据库进行广泛而详细的审查

修复导致未经授权访问和升级的原始问题，以及在调查期间发现的任何其他潜在问题载体

主动发表公开声明

聘请第三方取证和事件响应公司协助进行补救

采取预防措施，如重置公司密码、评估系统和安全级别等

此次事件调查仍未结束，官方将持续公布更多信息。

来源：开源中国 

2、美官员警告5G网络或对天气预报系统造成严重破坏

几个月来，美国宇航局（NASA）国家海洋和大气管理局（NOAA）一直在向联邦通信委员会（FCC）发出警告，称之拍卖的 5G 无线网络频谱，可能对天气预报系统的数据收集系统造成严重的影响，从而影响飓风预测的准确性。周四的时候，NOAA 代理主席 Neil Jacobs 在国会山表示，正在推进的 5G 网络建设，或将天气预报的准确性降低 30% 。

墨西哥湾与美国东部卫星云图（来自：NASA，via Cnet）

据悉，问题主要出在 5G 网络使用的 24GHz 频段上。Neil Jacobs 向众议院环境小组委员会表示：

这将导致沿海居民对飓风的应急准备时间减少 2~3 天，且其登陆的地点也将变得不太准确。预报的误差，会让这些人错失生命。

今年 3 月，FCC 开始面向无线运营商拍卖 24GHz 的新 5G 频谱。

本周早些时候，俄勒冈民主党众议员 Ron Wyden 和华盛顿议员 Maria Cantwell 在致 FCC 的一封信中，恳请该机构在找到解决方案前，暂不发放频谱的许可。

NOAA 表示，24GHz 的频谱，与该机构收集有关大气条件数据的频段非常接近（23.8GHz）。

NOAA 需要将收集到的数据，注入其天体预报预测分析系统模型。但令人担忧的是，24GHz 的 5G 频段，会对气象卫星上敏感的传感器造成干扰。

虽然降低 5G 无线电发射功率的方法有助于防止这种干扰，但 Jacobs 指出：

FCC 当前的提议，将导致 NOAA 卫星传感器的数据损失 77％，目前双方专家正在合作提出一个解决方案。

对于此事，FCC 没有立即回应外媒的置评请求。

不过该机构也在寻求其它正在拍卖的频谱可能对预测系统造成的影响，因为 FCC 还打算拍卖 NOAA 用于探测冰雪等其它天气条件的临近频谱。

来源：cnBeta.COM 

3、苹果设备被曝存在PEAP认证漏洞 研究人员对官方修复方案存疑

研究人员发现苹果设备在PEAP认证上存在缺陷，攻击者可强迫苹果设备接入恶意热点。研究人员称，即使身份验证服务器（RADIUS）也不能证明密码的真实性，该错误依然允许攻击者强制任何Apple设备（iOS，macOS或tvOS）与恶意接入点关联。

初遇CVE-2019-6203

报告撰写者dominic称，去年我们在准备Defcon的演讲时，迈克尔（另一位研究人员）和我正尝试实施hostapd-wpe的EAP攻击试验。在此次攻击中，身份验证服务器将接受任何用户名，之后的动作并非将证明密码内容返回到工作站的步骤（因为它不知道密码），而是将EAP成功消息发送回工作站。

“对于迈克尔的执着，我拒绝了很长一段时间。因为我觉得这种攻击方案不会奏效。因为在MSCHAPv2中，验证服务器实际上证明了密码内容回到决策端的过程，即使不能，我认为决策段也会拒绝继续执行，毕竟这就是保障安全的重点。”

令dominic出乎意料的是，在唯一的一次测试中hostapd-wpe的EAP攻击试验竟然成功了，几乎全部接受实验的Apple设备（iPad，iPhone，MacBook）都成功连接到恶意接入点。由于WPE是由Brad Antoniewicz编写的，我只得向他询问问题所在：

在这之后，dominic针对此次发现进行了大量研究，并在4月份尝试进行了CVE-2019-6203漏洞攻击的再现实验。

复现Apple漏洞

复现攻击的第一步，是找出漏洞的所在之处。通常来说，PEAP-MSCHAP v2的认证过程分为两个阶段：

1、验证服务器身份和建立TLS隧道。服务端将向客户端发送服务端的证书信息，通过后建立TLS隧道保护传输的数据。

2、在TLS隧道内通过MSCHAP v2进行双向认证。

在Frame 4、Frame 5中，验证者和客户端的Response都是通过双方的Challenge + passwordHash + Username计算得出的，并发向对方进行身份验证。

那么，如何复现Apple漏洞攻击呢？

2008年，安全研究员Joshua Wright编写了一个名为FreeRADIUS 的补丁。Wright的WPE攻击试验同样使用了绕过PEAP-MSCHAP v2的方式，最终，它可以通过建立虚假PEAP-MSCHAPv2热点得到个人用户请求，并在第二阶段获取Challenge、NTResponse 和 Username。

“与之类似的原理，同样可以应用在此次研究中。”dominic称，我用同样的方式复现了PEAP认证上的漏洞攻击CVE-2019-6203。

具体方法如下：

安装：

hostapd-wpehttps://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/hostapd-wpe.patch 这是在Kali中使用“apt-get install hostapd-wpe”完成的，以下假定该方法。

使用-e开关运行它以启用“EAP Success”

https://github.com/OpenSecurityResearch/hostapd-wpe/blob/master/README#L135

在iOS设备上，在Wifi下，连接到“hostapd-wpe”网络。选择信任证书。可以使用任何凭据。

设备将连接，运行dnsmasq以分发DHCP将显示设备获取IP。

使用以下示例配置尝试使用wpa_supplicant进行相同的客户端连接将不起作用：

network = {

ssid =“hostapd-

wpe ” key_mgmt = WPA-EAP

eap = PEAP

phase2 =“auth = MSCHAPV2”

identity =“test”

password =“password”

ca_cert =“/ etc / hostapd-wpe / certs / ca.pem “

}

如此一来，将看到请求者将拒绝最终的消息验证者并断开连接。

修复问题及解决方案

复现试验中，未打补丁的Apple设备跳过发送验证器响应并且仅按照第7帧发送MSCHAPv2成功帧。这导致易受攻击的Apple设备轻松在其状态机制中跳过。随后它会发送一个PEAP响应——hostapd-wpe向其发送EAP-Success。

dominic称，这意味着如果Apple设备连接到未知用户密码的恶意AP，它不仅会获得NetNTLMv1质询响应，设备也将连接到网络。由于EAP的网络通常是企业网络，Apple设备会认为它与之相关（没有用户交互），此时也可以进行响应式攻击。

该缺陷影响2019年3月25日前的iOS、macOS、tvOS版本，包含MacBook、iPhone、iPad、Apple TV等多种苹果设备。但令dominic感到困惑的是，已修补的设备在PEAP，MSCHAPv2和WPA2级别上表现出完全相同的行为，即设备仍然连接到网络，在某些情况下甚至会请求DHCP。这是一个例子：

相反，Apple 在连接后使设备与网络断开连接。设备显示“无法连接”错误，并且设备上显示的日志条目显示：

Dominic解释道，这有点像一名保安在守护一座大楼，一旦有人进去无论是谁都会被全部赶出去。虽然它具有解决问题的效果，但很让人担心会不会暴漏出其他危险讯号。

“然而，在测试修复后的系统时，我确实注意到一个异常值，当在设备连接但导出不同的PMK时，握手的第二个消息中由MIC证明（这就是repo中的WPA代码所用的）出现了异常。当然，我觉得这只是一次偶然，因为PMK来自外部TLS会话并且未启用加密绑定，这应该是没有可能的。”

目前，Dominic仍不能确认这个问题是否真的存在，他表示会在之后的研究中用多台苹果设备展开试验，找出答案。

建议：

验证在最终EAP-Success消息中发送的消息验证器，并且不允许iOS / macOS设备连接到无法证明用户密码知识的恶意接入点。

可以在以下位置找到执行此验证的wpa_supplicant示例：

https ：//w1.fi/cgit/hostap/tree/src/eap_peer/mschapv2.c#n112

来源：雷锋网

安全研究人员近日报告称，黑客组织BlackTech在中国台湾通过中间人攻击（“MITM攻击”）部署了Plead恶意软件。该组织被曝利用华硕WebStorage软件的漏洞来上传绕过身份验证的恶意软件。

根据Eset的安全研究人员的说法，黑客一直在利用华硕的WebStorage软件在受害者的计算机上安装后门。其使用的恶意软件称为Plead，主要由被称为BlackTech的黑客组织部署，该组织主要针对亚洲政府和公司。

通常，恶意软件通过网络钓鱼攻击进行传播。然而，这一次研究人员注意到一个名为AsusWSPanel.exe的进程正在激活Plead后门。该程序是华硕云存储客户端WebStorage的合法部分。

研究人员认为，黑客正在使用中间人攻击。“华硕WebStorage软件很容易受到此类攻击，”Eset的Anton Cherepanov说道。“使用HTTP请求并传输软件更新。下载更新并准备执行后，软件在执行前不会验证其真实性。因此，如果更新过程被攻击者截获，他们就可以推送恶意更新。”

Plead将使用受感染的路由器作为恶意软件的命令和控制服务器。大多数受到攻击的组织使用相同品牌的路由器，其管理设置可通过互联网访问。

“因此，我们认为路由器级别的MitM攻击是最可能的情况，”Cherepanov说道。“为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。”

Eset表示另一种可能性是黑客正在使用供应链攻击。这种类型的破坏发生在制造商的供应链中，其中安全措施可能不严格。然而，研究人员表示，尽管这种载体是可能的，但它的可能性要小得多。

Cherepanov提供了这样的建议：“对于软件开发人员来说，不仅要彻底监控他们的环境是否存在可能的入侵，还要在他们的产品中实施适当的更新机制，以抵御MitM攻击。”TechSpot就其对情况的认识与华硕进行了联系。该公司发表以下声明：

“华硕云首次了解到2019年4月下旬发生的一起事件，当时一位遭受安全问题的客户与我们取得联系。在得知此事件后，华硕云立即采取行动，通过关闭华硕WebStorage更新服务器并停止来缓解攻击发布所有华硕WebStorage更新通知，从而有效地阻止攻击。

“为了应对这次攻击，华硕云已经改进了更新服务器的主机架构，并实施了旨在加强数据保护的安全措施。这将防止未来发生类似攻击。不过，华硕云强烈建议华硕WebStorage服务的用户立即运行完整的病毒扫描，以确保您的个人数据的完整性。”

1、Let’s Encrypt发布自己的Certificate Transparency日志

旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let’s Encrypt 发布了自己的 Certificate Transparency 日志 Oak，它欢迎其他 CA 递交证书日志。该项目得到了 Sectigo 的赞助。Certificate Transparency (CT) 是一个记录和监视证书签发的系统，有助于改进 CA 生态系统和 Web 安全，因此迅速成为关键的互联网基础设施。

Let’s Encrypt 决定创建和运作自己的 CT 是出于多个理由：首先是 CT 与该组织让互联网变得更安全和尊重隐私的使命相一致，它相信透明能增强安全，能让人做出深思熟虑的决定；

其次是运作一个日志有助于控制其命运，Google Chrome 要求所有的新签发证书递交到两个不同的日志系统，

因此 Let’s Encrypt 的运营必须要有多个日志选项；第三是它每天签发超过 100 万个证书，它想要设计一个能优化处理大量证书日志的系统。

来源：solidot.org

2、两家提供勒索软件解决方案的公司被发现是支付赎金

对于遭到勒索软件攻击的企业和机构，是向攻击者支付赎金还是寻找其它解决方案？支付赎金被认为会鼓励攻击者，被认为是不道德的。但其他解决方案可能会需要花更长的时间耗费更多金钱。

ProPublica 披露，两家提供勒索软件解决方案的数据恢复公司被发现是在欺骗受害者，他们所谓的解决方案其实就是支付赎金然后向受害者收取更多的费用，他们还声称能提供其他服务来防止未来的攻击。这两家公司分别是 Proven Data 和 MonsterCloud。报道称，在与受害者进行沟通时这些公司的雇员使用了化名而不是真名。报道指出，虽然比特币交易被认为是匿名的，但他们成功跟踪了四次交易，比特币从 Proven Data 控制的钱包转给了攻击者控制的钱包，这些钱经过多达 12 次转移最后到了伊朗人控制的钱包。

来源：solidot.org

3、美国联邦通信委员会计划为运营商提供更多权力来打击自动骚扰电话

美国联邦通信委员会主席Ajit Pai希望为移动电话公司提供更大的权力来阻止不受欢迎的自动骚扰电话。这项提议如果获得通过，将允许无线运营商默认为客户阻止这些自动骚扰电话。公司还允许消费者自己阻止来自未知号码的呼叫。

根据联邦通信委员会周三发布的消息，客户可以选择加入或退出任何阻止服务。

默认情况下允许呼叫阻止对于厌倦了自动骚扰电话的消费者来说是一个很大的好处。美国联邦通信委员会将给予语音服务提供商阻止自动骚扰电话的法律确定性，这样消费者就不会再收到自动骚扰电话。

Ajit Pai还建议就呼叫者身份验证标准寻求公众意见，这个标准框架将验证呼叫的来源，并允许更快地跟踪非法呼叫者，以找出谁对自动骚扰电话负责。周三晚些时候，Ajit Pai和其他四名FCC专员将在美国众议院专家小组就越来越多的自动骚扰电话问题作证。

在6月6日的会议上，预计美国电信监管机构将对Ajit Pai的提案进行相关审核。数据显示，从2017年到2018年，美国不受欢迎的自动骚扰电话数量飙升46%，2018年美国国内产生了263亿通自动骚扰电话，平均每人每月接到10通自动骚扰电话。

来源：cnBeta.COM

1、堪比 WannaCry ！微软面向Windows XP发布紧急修复补丁

今日凌晨，微软爆发了 RDP服务蠕虫级漏洞 ，CVE编号 CVE-2019-0708

微软紧急发布修复补丁，修复RDP服务漏洞。据称此漏洞堪比 WannaCry 。

远程桌面协议（RDP, Remote Desktop Protocol）是一个多通道（multi-channel）的协议，让用户（客户端或称“本地电脑”）连上提供微软终端机服务的电脑（服务器端或称“远程电脑”）。大部分的Windows都有客户端所需软件。

还记得当年被 WannaCry 支配的恐惧吗？电脑被锁，文件被锁，医院、公司、政府机构的电脑通通中招，整个世界都被 WannaCry 席卷。

为什么说这个漏洞堪比 WannaCry 呢？接下来我们一起来看看它究竟是何方神圣吧.....

漏洞一览

2019年5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞，此漏洞是预身份验证且无需用户交互，这就意味着这个漏洞可以通过网络蠕虫的方式被利用。最终可能会像野火一样蔓延至整个系统，从而让整个系统瘫痪。

利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与2017年WannaCry恶意软件的传播方式类似。

影响范围

该漏洞影响了某些旧版本的Windows系统，如下：

Windows 7

Windows Server 2008 R2

Windows Server 2008

Windows 2003

Windows XP

需要注意的是：Windows 8和Windows 10及之后版本的用户不受此漏洞影响。

修复建议

1、及时安装更新

对于Windows 7及Windows Server 2008的用户，及时安装Windows发布的安全更新。可以在Microsoft安全更新指南中找到支持Windows版本的安全更新进行下载。

2、升级到最新版本

对于Windows 2003及Windows XP的用户，请及时更新到最新系统版本。微软在KB4500705中为这些不支持的Windows版本提供了修复程序。

3、开启网络身份验证（NLA）

因为NLA要求的身份验证在漏洞触发点之前，所以受影响的系统可以利用NLA防御此漏洞的“蠕虫”恶意软件或高级恶意软件威胁。但是，如果攻击者具有可用于成功进行身份验证的有效凭据，则受影响的系统仍然容易受到远程执行代码执行（RCE）的攻击。

4、下载链接：

Windows 7, Windows 2008 R2, and Windows 2008：

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

Windows 2003 and Windows XP：

https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708

最后

如果你依然在使用联网的Windows XP或者Windows Server 2003系统，同时也包括Windows 7、Windows Server 2008以及2008 R2系统，那么应该立即安装微软刚刚推出的紧急修复补丁。

强烈建议所有受影响的系统-无论NLA是否启用-都应尽快更新！

2、报告称忠诚度计划是“黑客的蜜罐”

使用可以在用户最喜欢的餐馆或服装店节省几美元的忠诚度应用程序似乎是无害的。然而根据《纽约时报》上周六的报道，这正是黑客所依赖的 。据《纽约时报》报道，一个安全组织估计，每年因在线忠诚计划相关犯罪而损失10亿美元。此外，根据Javelin战略与研究公司的说法，此类犯罪从2017年到2018年翻了一番。

数字安全公司Sift的风险专家Kevin Lee告诉《纽约时报》，忠诚度计划应用程序“几乎是黑客的蜜罐”，并为个人信息提供“阻力最小的路径”。Kevin Lee表示忠诚度计划很容易注册，密码安全级别很低，并不总是频繁使用。

根据该报告，忠诚度计划可以显示有价值的个人信息，如您最喜欢的食物或风味、购物地点等，以及用户如何支付物品和账单明细以及联系信息。这些程序对黑客很有吸引力，因为它们是根据个性化的客户体验量身定制的。Forrester Research的分析师Emily Collins告诉《纽约时报》，创建这些应用程序具有“数据和洞察力的海洋”，并且它通常“超出了他们实际使用的范围”。

被盗的数据通常会在黑市销售给犯罪分子，这些犯罪分子将其用于欺诈和身份盗用。这就是数据泄露对日常人员构成危险的原因。如果用户从忠诚度计划或任何其他服务中了解到他们的数据被盗，身份盗窃资源中心会提供一种工具来帮助他们确定如何最好地保护自己。

3、研究人员拟公开来自政府、可能会被遗忘的网络攻击历史记录

据外媒报道，1989年，就在网络成为现实的几个月后，一种计算机蠕虫感染了全世界全球成千上万台计算机，其中包括了NASA的计算机。蠕虫病毒在受感染电脑的屏幕上显示一条信息:“你的系统已被正式WANKed。”

上个月下旬，也就是说这个"WANK蠕虫"攻击NASA 30年后，该机构公布了一份当时撰写的内部报告。这一切则要感谢一位记者和一名安全研究员，他们启动了一个利用《信息自由法案》获取历史网络攻击事件文件的项目。

这个项目被称作Hacking History，其背后的人则是自由记者Emma Best和安全研究员（前NSA黑客）Emily Crose。这两个人正在通过文件请求平台MuckRock众筹资金，以此来支付《信息自由法》申请所需要的资金。

在过去几年时间里，黑客和网络安全行业已经成为主流媒体内容、各大报纸的头条新闻、好莱坞电影的主要情节甚至成为热门电视节目。但情况并不总是这样。几十年来，信息安全和黑客行为是一个利基行业，鲜少有新闻报道和公众关注。

为此，这两名女性打算填补黑客历史上的这块空白。

据悉，Best和Crose迄今为止已经提交了50份左右《信息自由法案》申请，这些申请与创造黑客历史的知名组织有关，比如Legion of Doom、Cult of the Dead Cow、匿名者分支LulzSec、GoatSec等。

Best称：“这些文件将记录黑客的历史和FBI对他们的调查/兴趣。”

截止到现在，两人已经筹集到了2300多美元，用于支付提交《FOIA》申请的相关费用，并计划与Property of The People合作。Property of The People是一家通过《FOIA》申请和诉讼推动政府透明化的非营利组织。Best和Crose表示她们也还没有想好将如何处理这些资料，但Crose提到，她们可能会在一本实体版杂志上发表文件和相关报道。

无论哪种方式，Best的目标都是收集、发布并保存历史文档。

来源：cnBeta.COM 

4、德国网络安全局警告卡巴斯基杀毒软件存在安全缺陷

德国网络安全机构BSI就卡巴斯基杀毒软件的安全漏洞发出警告，建议用户尽快安装最新补丁。虽然该建议不包括基于该缺陷可能网络攻击的任何详细信息，但BSI警告说，黑客只需向其目标发送包含特制文件的恶意电子邮件，在某些情况下，甚至不需要打开该文件。

BSI警告的安全漏洞编号为CVE-2019-8285中，事实上是卡巴斯基上个月修复的。这个问题允许在易受攻击的电脑上远程执行任意代码，卡巴斯基说，只有4月4日之前发布的带有防病毒数据库的系统才会受到影响。

目前漏洞补丁已经通过卡巴斯基产品的内置更新系统发布，因此如果启用自动更新，用户设备应该是安全的。卡巴斯基在5月8日发布的一份咨询报告当中表示：“Kaspersky实验室在其产品中修复了一个安全问题CVE-2019-8285，可能允许第三方以系统权限远程执行用户PC上的任意代码。安全修复程序于2019年4月4日通过产品更新部署到卡巴斯基实验室客户端。”

卡巴斯基表示，从技术上讲，所有带有防病毒数据库的卡巴斯基产品都会受到该漏洞的影响。该漏洞与操作系统版本无关，因此所有Windows版本都会受到影响。此问题被归类为基于堆的缓冲区溢出漏洞。 JS文件扫描期间的内存损坏可能导致在用户电脑上执行任意代码。

来源：cnBeta.COM

据外媒The Verge报道，美国国防部不确定其运营了多少个网站。据美国军事专刊《星条旗报》(Starsand Stripes)报道，在上个月的一次活动中，马里兰州米德堡国防媒体活动代理主任、美国陆军上校Paul Haverstick表示，对五角大楼运营的网站数量“并不确定”。

国防媒体活动（DMA）是美军的多媒体推广运作，覆盖如Army News、 Air Force News、 Marines News、Navy News等军方网站和针对军人和平民的通讯教育平台。它还为国防部提供托管和Web开发。

但似乎国防媒体活动似乎并不负责对所有网站进行官方统计。DMA的网站称其支持“超过740个军事和国防部网站”，但Haverstick表示他估计DMA负责“2000到5000个”网站。这些网站包括各个军事分支机构的主要网站，以及博客和个别单位的网站。该服务不管理国防部的一切 - 一些网站托管在公共站点上。

《星条旗报》指出，近年来，DMA与五角大楼的一些部门一起面临预算削减，并且“该机构正在寻求集中其使命，并可能寻求放下国防部公共网站基础设施的责任。”为了做到这一点因此，DMA必须对其负责的内容进行评估，以便正确评估如何向前发展。

来源：cnBeta.COM 

2019/5/10 星期五