Vim 和 NeoVim 曝出了一个允许任意代码执行的高危漏洞。漏洞编号 CVE-2019-12735，Vim 8.1.1365 和 Neovim 0.3.6 之前的版本都受到影响。漏洞位于编辑器的 modelines 功能中，该功能允许用户指定窗口大小和其它定制选项，modelines 限制了沙盒内可用的指令，但安全研究员 Armin Razmjou 发现 source! 指令会绕过这一保护。因此如果用户打开一个恶意文本文件，攻击者可以控制计算机。漏洞利用需要编辑器启用 modelines，部分 Linux 发行版默认启用了该功能，而苹果的 macOS 没有默认启用。

流行消息应用 Telegram 周三报告它遭到了大规模 DDoS 攻击，导致部分地区用户出现连接问题。官方报告称访问问题持续了大约一个小时，而 Downdetector 上的用户报告访问问题持续了两个多个小时。官方 Twitter 账号解释了 DDoS 攻击，称攻击者利用僵尸网络发送大量的垃圾请求，阻止服务器处理合法请求，就好象麦当劳门口有一群旅鼠插队跑到你的队列前面每个人都订了大量的食物。Telegram 表示用户的数据没有受到影响。

Google Project Zero安全 团队研究员 Tavis Ormandy 披露了一个微软尚未修复的 Windows 10 0day 漏洞。Project Zero 的漏洞披露截至时间是 90 天，微软也承诺在 90 天里修复漏洞，但未能兑现，所以在第 91 天 Ormandy 公开了漏洞。漏洞存在于 Windows 10 和 Windows 8 的核心加密库 SymCrypt 中，Ormandy 发现利用特制的数字证书他能迫使 SymCrypt 在计算时进入死循环，这本质上能对运行 IPsec 协议的 Windows 服务器发动拒绝服务攻击。Ormandy 称，微软安全响应中心联络了他，解释说由于测试中发现的问题他们无法如期释出补丁， 这个月来不及需要等到下个月。Ormandy 的做法在安全社区引发了争议，认为 Google 在截止日期上应该更灵活些。

一个国际研究团队发表论文，描述了 Rowhammer 比特翻转攻击的新变种，称能用于窃取内存中的数据。Rowhammer 攻击利用了 DRAM 临近内存单元之间电子的互相影响，当重复访问特定内存位置数百万次后，攻击者可以让该位置的值从 0 变成 1，或从 1 变成 0。新的攻击被称为 RAMBleed，通过观察 Rowhammer 诱导的比特翻转，攻击者能推断出附近 DRAM 行中的值。在论文中，研究人员演示了对 OpenSSH 7.9 的攻击，他们利用 RAMBleed 攻击获取了 2048 比特的 RSA 密钥。研究人员称 RAMBleed 潜在能读取储存在内存中的任何数据，表示 ECC (Error Correcting Code)内存并不能防止 RAMBleed 攻击。

Have I Been Pwned?（HIBP）维护者 Troy Hunt 宣布他正在积极寻找买家。HIBP 是知名的数据泄露通知网站，储存了各个网站和服务已知的泄露数据。Hunt 称至今 HIBP 的每一行代码、每一个配置和数据泄露记录都是他一个人做的，不存在 HIBP 团队之说，他一个人做了所有的事情。现在是时候壮大 HIBP，从一个个人维护的服务转变到由一个资源和资金更充足的机构维护的服务。他表示已经与部分有意收购的组织进行了非正式对话。Hunt 公布了部分 HIBP 服务的数据：80 亿泄露记录，300 万人订阅通知，发送了 700 万次邮件通知，每天独立访客 15 万，特殊情况下一天的访客数量会增加到 1000 万。对于收购，他希望搜索功能仍然免费，希望能继续参与该项目。

去年 10 月，香港国泰航空披露包含 940 万乘客资料的信息系统被未经授权获取。未获授权获取的资料包括了个人身份信息和飞行记录，此外还有部分信用卡。香港个人数据隐私专员上周公布了调查报告，称国泰航空的网络先后遭遇了两次入侵。第一次入侵发生在 2014 年 10 月，攻击者在系统中植入了按键记录器去收集登录凭证，他们在 2018 年 3 月 22 日停止了活动，国泰不知道攻击者是如何进入系统的。第二批攻击者利用了服务器的一个有十年历史的漏洞绕过身份验证访问了服务器上的管理工具。国泰声称由于空客飞行手册应用的兼容性问题它无法更新系统。国泰实现了二步认证，但仅针对于 IT 支持人员。国泰航空首次检测到可疑活动是在 3 月 13 日，原因是一次暴力破解攻击导致了 500 名员工的账号被锁定。随后的内部调查发现了两次入侵，但它直到 10 月才披露入侵。

安全研究员通过搜索 Shodan，发现了一个没有任何身份验证的 ElasticSearch 数据库。该数据库属于上海交大，包含了 8.4TB 邮件元数据，但不包含邮件正文内容。数据库包含了 95 亿行数据，5 月 23 日数据库容量只有 7TB，24 日就增加到了 8.4 TB。交大安全团队在收到报告之后就在当天关闭了开放访问。元数据包括了发送方，接收方，IP 地址、检查邮件时的用户代理，以及设备类型等。

大约十年前，一位以色列企业家分别在矛和盾上下了注，他投资了两家公司，一家公司宣称能破解任何智能手机，另一家公司则宣称要开发出难以破解的智能手机。前者叫 NSO Group，它向执法机关和政府出售间谍软件 Pegasus，其估值达到了 10 亿美元。后者叫 Communitake Technologies，开发定制安全手机 IntactPhone。它们相当于星球大战里的西斯和绝地。这位企业家叫 Shalev Hulio，他仍然运营着 NSO，但 Communitake 已经选择和他分手。Communitake 并没有称自己是反 NSO，但至少有一个国家在测试了两家公司的技术之后为高级官员配备了 IntactPhone 手机。 IntactPhone 系统的价格从几千美元到数百万美元，最昂贵的配置包括了私有服务器，它生成短时间有效的密钥去加密通信。NSO 和 Communitake 都受到以色列国防部监管，为了消除后门的担忧，Communitake 称它允许买家检查手机源代码和物理架构。Communitake 表示没有手机是能 100% 防破解，你只能保证 95%。

Exim 开源邮件服务器爆出了一个高危漏洞，影响 4.87 到 4.91 版本，漏洞允许本地攻击者和某些情况下的远程攻击者以 root 权限在服务器上执行指令。要远程利用漏洞，攻击者需要与存在漏洞的邮件服务器保持连接 7 天，每数分钟就要传输一个比特。发现该漏洞的安全公司 Qualys 的研究人员表示，由于 Exim 代码极端复杂，他们不能保证漏洞利用方法是唯一的，可能存在更快的利用方法。漏洞编号为 CVE-2019-10149，运行 Exim 的服务器需要将其升级到今年2 月释出的 4.92 版本。根据 BinaryEdge 的搜索，有超过 470 万机器运行存在漏洞的版本。

三周前，微软不同寻常的向已终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708 aka BlueKeep，位于远程桌面服务中。微软表示它没有观察到该漏洞正被利用的证据，但认为攻击者很快会开发出漏洞利用代码并将其整合到恶意程序中。上周，微软再次发出警告，称仍然有多达一百万电脑没有及时打上补丁。本周，美国国家安全局也对这个漏洞发出了警告。虽然目前还没有利用该漏洞的恶意程序传播，但这只不过是时间问题。安全研究员 Sean Dillon 通过 Twitter 发布了视频，演示了对 BlueKeep 的漏洞利用，显示警告并非是空穴来风。视频展示了 Dillon 为 Metasploit 漏洞利用框架开发的一个模块，针对的是未打补丁的 Windows Server 2008 R2 系统。他认为这比 WannaCry 使用的 Eternal Blue 漏洞利用更简单。

上个月微软不同寻常的向已经终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708，位于远程桌面服务中，它也影响到仍然支持的操作系统如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。现在在半个月之后，微软安全响应中心的事故响应负责人 Simon Pope 在官方博客上警告说，虽然还没有观察到利用该漏洞的蠕虫，但这并不意味着没问题了。目前至少有一百万台联网的计算机没有打上补丁容易受到攻击。

多达 5 万服务器感染了挖矿恶意程序挖掘数字货币 TurtleCoin。攻击者被认为来自中国，受害者主要来自中国、美国和印度。攻击者使用了汉语编程语言易语言编写代码，但利用伪造证书和提权等比较高级的黑客技术。安全研究人员根据攻击者使用的一个服务器文本字符串将其命名为 Nansh0u。研究人员发现，攻击者几乎每周一个的速度创建恶意程序负荷，而且创建之后立即使用。攻击者首先使用端口扫描器扫描 MS-SQL 服务器，检查端口是否开启，如果开启使用暴力工具尝试登录，成功之后开始执行代码，利用了一个 2014 年的漏洞进行提权获得系统权限。攻击者服务器上的一个文件夹名字叫“传”——大概是传染的意思。

安全公司 Intezer 的研究人员披露了一种正被利用发动针对性攻击的 Linux 后门，它能逃避几乎所有杀毒软件的检测。被称为 HiddenWasp 的恶意程序包含了特洛伊木马、rootkit 和初始部署脚本。文件时间戳显示它是在上个月创造的。感染 HiddenWasp 的计算机被发现已经感染了相同攻击者的其它恶意程序，显示它是作为感兴趣目标的后续攻击使用的，能够上传下载代码，以及上传文件，执行多种指令。研究人员的分析显示，HiddenWasp 的部分代码借用自物联网僵尸网络恶意程序 Mirai，部分代码与 Azazel rootkit 和 ChinaZ Elknot 有相似之处。

目前所有版本的 Docker 都存在一个漏洞，允许攻击者获得对主机服务器任何路径的读写访问权限。漏洞是一个竞争条件的结果，已经有修复补丁但还没有整合。bug 是软件处理某些符号链接 (symbolic links)的方式导致的。研究员 Aleksa Sarai 发现，在某些情况下，攻击者可在路径解析时间和操作时间之间的短时窗内将自己的符号链接插入到路径中。它是 time of check to time of use (TOCTOU) 的竞争条件问题的一个变种。

自称 GnosticPlayers 的黑客声称窃取了澳大利亚网站 Canva 的 1.39 亿用户数据。Canva 是一个非常受欢迎的平面设计服务，Alexa 排名在 200 以内。黑客窃取的数据包括了用户名字、真名 、电邮地址、城市国家信息，其中 6100 万用户有哈希密码，其他用户的信息还有用于登陆的 Google 令牌。有 7800 万用户使用了 Gmail 地址。Canva 证实它的数据库遭到非法访问，表示尚未发现账号被入侵，出于谨慎考虑它已经鼓励用户更改密码。

名叫 SandBoxEscaper 的黑客在 24 小时内披露了三个 Windows 0day 漏洞的技术细节和 POC 漏洞利用。其中一个是 Windows Task Scheduler 本地提权漏洞，允许有本地访问权限的攻击者获得系统级权限；第二个是 Windows Error Reporting 的提权漏洞，第三个漏洞工作在 Internet Explorer 11 上，允许攻击者使用超过浏览器沙盒所允许的系统访问权限执行 JavaScript。三个漏洞并不允许攻击者远程执行代码，但美国计算机安全响应团队证实其中一个提权漏洞能工作在 Windows 10 上。目前微软尚未对此发表声明。

流行的开源密码破解软件 John the Ripper 释出了 Ripper 1.9.0-jumbo-1。自 1.8.0-jumbo-1 发布以来新版本历经了 4.5 年的开发，包含了 6000+ commits，有两位华裔开发者贡献了超过 80 个 commits。新版一个备受期待的功能是支持 FPGA 破解密码。使用 FPGA 破解密码在多种情况下比使用 GPU破解性价比更高成本更低。FPGA 破解支持七种哈希函数 bcrypt、descrypt （包括 bigcrypt 扩展)、sha512crypt & Drupal7、sha256crypt、md5cryp(包括 Apache apr1 和 AIX smd5 ) & phpass，其中多种是首次实现 FPGA，测试结果显示有的强于 GPU 有点则弱于 GPU。

劫持其他用户帐户的黑客发现自己成为了被劫持的对象。Ogusers.com 论坛的管理员在 5 月 12 日发帖解释了最近的下线事故，称一块硬盘损坏抹掉了过去几个月论坛帖子和私人消息，他已经恢复到了备份，但这个备份日期仅截至 2019 年 1 月。Ogusers 管理员可能不知道的是，在硬盘故障的同时他的网站遭到了入侵。5 月 16 日，竞争对手 RaidForums 的管理员宣布上传了 Ogusers 的数据库供任何人免费下载，“Ogusers 管理员承认了数据损坏，但没有说出网站被入侵，所以我猜我是第一个告诉你们真相的，他没有网站的最新备份我这里有。”泄露的数据库包括了约 11.3 万用户的电子邮件地址、哈希密码、IP 地址和私人消息。已有用户抱怨他们的电子邮件开始收到钓鱼邮件。

知名编程问答社区 Stack Overflow 发布公告，证实过去的周末它遭到了攻击。攻击者在 5 月 11 日获得了其产品的部分访问权限，它发现和调查了访问的范围，修复了所有知道的漏洞，它没有发现客户或用户数据遭到泄漏，在完整调查之后它将提供更详细的信息。Stack Overflow 上的内容基本上都是公开的，受保护的用户数据主要是电子邮件地址或密码，可能还有简历，因为它提供了一个招聘服务。

华硕的更新机制再次被利用在用户 PC 上安装后门。Eset 的研究人员认为这是路由器级别的中间人攻击，攻击者利用了用户 PC 和华硕服务器之间的不安全 HTTP 连接，以及利用了不完整的代码签名去验证所接收文件的真实性。攻击者安装的后门叫 Plead，由间谍组织 BlackTech 使用。去年趋势科技报告 BlackTech 窃取了 友讯科技（D-Link）的证书去签名其恶意程序。上个月 Eset 的研究人员注意到 BlackTech 使用了一种不同寻常的方法将 Plead 植入到用户 PC。内含后门的文件叫 ASUS Webstorage Upate.exe，包含了华硕的更新。ASUS WebStorage 是华硕的云储存服务，没有证据显示它的服务器遭到了入侵，研究人员认为攻击者是通过中间人攻击拦截服务器和用户电脑的 HTTP 连接。研究人员还观察到，感染 Plead 的大部分机构使用了相同的路由器，该型号路由器的管理面板可通过互联网访问，因此一种可能的中间人攻击场景是攻击者纂改了路由器的域名系统。