俄罗斯安全研究人员 Vasily Kravets 披露了 Steam 客户端的一个 0day 漏洞细节，这是他两周内公开的第二个 Steam 0day。他向 Valve 报告了第一个漏洞，试图让Valve 在披露前修复，但第二个 Steam 0day 他无法报告给 Valve，因为 HackerOne 平台的 bug 悬赏项目封杀了他。Valve 拒绝承认他递交的第一个 Steam 0day 是安全问题因此拒绝修复，他试图将漏洞公开但 HackerOne 禁止他这么做，最终他披露了这个本地提权漏洞，得到了媒体广泛的报道，随后他就被封掉，而 Valve 最终释出了补丁，但其他安全研究人员发现这个补丁是不充分的。

安全研究人员在最近举行的安全会议 DEFCON 上披露了 Webmin 的一个安全漏洞，而在漏洞正式披露前 Webmin 的开发者并没有收到通知。漏洞主要影响 Webmin 1.882 到 1.921，如果没有修改默认设置大部分版本其实是无法被利用的，只有 Version 1.890 在默认设置下受到影响。Webmin 开发者解释说，恶意代码要利用漏洞 Webmin 需要修改设置 Webmin -> Webmin Configuration -> Authentication -> Password expiry policy 设为 Prompt users with expired passwords to enter a new one。默认情况下这个选项没有启用。开发者认为这是有意植入的后门，事故的调查仍然在进行之中。

VideoLAN 项目释出了 VLC 3.0.8，修复了 13 个安全漏洞。漏洞类型从拒绝访问到远程代码执行，目前还没有漏洞正被利用的报告。这些漏洞都可以通过打开一个嵌入恶意代码的媒体文件利用，部分漏洞可以通过浏览器插件利用。 13 个漏洞中有 11 个书 Semmle 安全团队的 Antonio Morales 发现的，另外两个由 Hyeon-Ju Lee 和 Xinyu Liu 发现。VLC 用户最好尽快升级。

黑客被发现利用假的 NordVPN 网站传播银行木马。NordVPN 克隆网站是在 8 月 8 日上线的，使用了 Let’s Encrypt 签发的有效证书，吸引搜索 NordVPN 服务的用户下载安装程序，安装程序在安装 NordVPN 客户端的同时会丢下恶意负荷银行木马 Win32.Bolik.2 Trojan。这种木马能对不同银行客户端系统执行 Web 注入、流量拦截、按键记录和窃取信息。安全研究人员发现，同一黑客组织还利用类似的克隆知名网站或服务的方法传播银行木马。

法国安全研究人员 Pierrick Gaudry 发现（PDF）计划在下个月使用的莫斯科区块链投票系统存在严重漏洞，能根据公钥计算出私钥。该私钥和公钥被用于在选举中加密用户投票。漏洞主要在于密钥长度太短，现代计算机可以在很短时间内破解出来。攻击者可以利用密钥做什么暂时还不清楚，研究人员认为可能会曝光投票者的身份。莫斯科信息技术部门承诺将解决该问题，该部门发言人承认 256x3 的私钥长度不够安全，他们计划将密钥长度改为 1024 位。但 1024 位显然还是太弱，Gaudry 认为密钥长度至少应该 2048 位。

苹果、Google 和 Mozilla 采取行动封杀了哈萨克斯坦政府上个月用于对加密流量发动中间人攻击的 CA。从今天开始， Chrome、Firefox 和 Safar 用户如果遇到使用哈萨克斯坦政府 CA 证书加密的 HTTPS 流量将会显示错误信息。主要浏览器开发商的这次协同行动是为了确保被迫安装证书的哈萨克网民的安全。上个月哈萨克斯坦的 ISP 强迫用户安装了 政府的 root CA ，官员给出的理由是保护公民的安全，抵御黑客攻击、网络欺骗和其它类型的网络威胁。但实际上哈萨克斯坦利用该 root CA 签发伪造证书拦截和解密加密流量。它被发现伪造了流行网站 Facebook、Google、Twitter、Instagram 和 YouTube 的证书。哈萨克斯坦政府本月初以实验结束终止了强行的证书的安装。

RubyGems 软件包仓库的维护者移除了 11 个 Ruby 库的 18 个恶意版本，其中包括流行的 rest-client 库的 4 个版本。rest-client 中的恶意代码会收集发送 URL 和环境变量到乌克兰的一台远程服务器上。后门中的代码还允许攻击者发回 cookie 文件，执行恶意命令。其后门机制甚至还允许植入挖矿脚本。这些恶意版本在被移除前总共下载了三千多次，其中 rest-client 1.6.13 被下载了一千多次。

Google 向非正式 CA 行业组织 CA/B Forum 递交提议，建议将 HTTPS 证书的过期时间从 825 天减少到 397 天。设立证书过期时间是为了限制撤销证书清单的大小（有各种原因需要撤销证书），如果没有过期时间那么维护清单将会非常长，有了过期时间那么相关撤销证书就可以永久删除。对于 Google 的提议浏览器开发商表示支持，但 CA 机构不是很高兴。过去 15 年，SSL 证书的过期时间已经从 8 年减少到 5 年，再减少到 3 年，最后减少到 2 年。上一次改变发生在 2018 年 3 月，浏览器开发商尝试将证书过期时间缩短到 1 年，但在 CA 机构反对之后妥协为 2 年。在上一次改变不到 2 年之后再提将过期时间设为 1 年，CA 机构感到遭到了浏览器开发商们的欺压。CA 机构和浏览器开发商之间的斗争通常是在幕后进行，Google 的提议被认为更多是为了证明谁在控制 HTTPS。DigiCert 的代表 Timothy Hollebeek 认为该提议对于恶意网站没有任何影响，因为恶意网站通常运行的时间很短，从几天到数周，域名会被添加到黑名单，而攻击者则会转到新的域名获得新的证书。

微软修复了四个远程桌面服高危漏洞，漏洞允许恶意程序像蠕虫一样传播，整个过程无需用户操作。编号为 CVE-2019-1181、CVE-2019-1182、CVE-2019-1222 和 CVE-2019-1226允许未经授权的攻击者通过发送特制信息执行任意代码。漏洞影响 Windows 7、8 和 10，以及 Server 2008、2012、2016 和 2019。和今年五月修复的 BlueKeep 漏洞不同的是，它影响最新的 Windows 操作系统，而 BlueKeep 主要影响旧版本。在漏洞被逆向工程前计算机必须尽快打上补丁。

Google Project Zero 安全团队的研究员 Tavis Ormandy 报告，微软鲜为人知的 CTF 协议存在漏洞，很容易利用，已在受害者计算机获得立足之地的黑客或恶意程序可以利用该漏洞劫持任何 Windows 应用，接管整个操作系统。CTF 代表什么 Ormandy 没有查到，它是 Windows Text Services Framework (TSF) 的一部分，该系统用于管理 Windows 或 Windows 应用程序内的文本展示。当用户启动一个应用，Windows 会启动一个 CTF 客户端，这个客户端会从一个 CTF 服务器接收有关操作系统语言和键盘输入方法的指令。如果操作系统输入方法从一种语言切换到另一种语言， CTF 服务器会通知所有 CTF 客户端，实时改变语言。漏洞在于 CTF 服务器和客户端之间通信是不安全的，没有正确的身份验证。攻击者可以劫持另一个应用的 CTF 会话，伪装成服务器向客户端发送指令。如果应用运行在高权限上，攻击者可以控制整个操作系统。漏洞影响到 XP 以来的所有 Windows 版本，不清楚微软是否或何时会释出补丁。

选择 NULL 作为个性车牌号似乎是一个好主意，在数据库里这是一个空值，它可能会混淆自动车牌阅读器和机动车辆管理局的罚单系统。但在实际中，它可能是一个糟糕的主意。在上周拉斯维加斯举行的 DEF CON 安全会议上，一位安全研究人员分享了他将 NULL 登记为个性车牌号的经历：收到了总金额上万美元的不属于他的交通罚单。这位研究者称自己是一个谨慎的司机，在登记 NULL 作为个性车牌号的第一年没有收到任何罚单。然后他尝试在加州机动车辆管理局网站登记他的车牌，结果系统不认为 NULL 是一个有效的值。接着问题越发严重，他的邮箱开始收到各种交通罚单。原因被认为是数据不完整导致的，这些罚单分配给了 NULL，意思是不知道肇事司机车牌，但他的个性车牌却把这些罚单都揽到了自己身上，他总共收到了超过 1.2 万美元的罚单。他尝试与加州车管局和洛杉矶警方解释，他们都建议他改变车牌号。

安全研究员 Matt Wixey 发现大量电子设备在防止变成“进攻性”网络武器方面做得很少。他的博士研究主题是探讨恶意程序是否能导致直接的身体伤害。他检查了大量设备，观察设备上的音量和扬声器控制是否能被操纵去产生有害的高低频声音。他发现在某些情况下，电子设备发出的音量能迷惑人，噪音能接近损害人的听力的水平。他在 8 月 11 日拉斯维加斯举行的 Def Con 安全会议上报告了他的发现。

安全研究员 Dominik "zer0pwn" Penner 在 KDE Frameworks 5.60.0 中发现了一个自动执行漏洞，类似 Windows 的 Autorun.inf。 KDE Frameworks 软件库是 KDE 桌面环境的基础。漏洞与 KDesktopFile 类 处理 .desktop 或 directory 文件的方式有关。当用户使用 KDE 文件浏览器打开一个储存有恶意.desktop或 .directory 文件的目录，文件包含的恶意代码能自动执行无需用户操作。KDE 项目已经释出了 KDE Frameworks 5.61.0 修复了该漏洞，同时对安全研究员不按照正确方式报告漏洞直接公开的做法表达了不满。

安全公司 Eclypsium 的研究人员在硬件和固件安全研究中发现，至少 20 家供应商的 40 多个 Windows 设备驱动存在高危漏洞，允许绕过或提权。这些设备供应商包括了华硕、东芝、英伟达和华为。这些设备驱动被广泛使用，并获得了微软的数字签名，允许攻击者能更方便秘密的渗透到目标网络。设备驱动通常都具有非常高的权限，其中包括进行修改的权限，允许攻击者在系统中获得永久的立足之地。Eclypsium 已经通知了微软，英伟达已经释出了修复的驱动。

美国安全公司 FireEye 发布了对中国黑客组织 APT41 的研究报告（PDF），称其攻击范围极为广泛，除了使用现有的工具外，还有自己开发的独有工具，还会用窃取的证书给恶意程序签名。FireEye 还识别了与该组织相关的两名成员 “Zhang Xuguang”和“Wolfzhi”。除了进行网络间谍活动外，APT41 被还发现从事盈利性活动：攻击游戏公司，操纵虚拟货币，甚至尝试部署勒索软件。APT41 会在游戏公司的网络内移动，寻找到生产环境，窃取源代码和数字证书，然后利用数字证书给恶意程序签名。通过访问生产环境，APT41 还会向合法文件内注入恶意代码，在受害者组织内进行扩散，发动供应链攻击。FireEye 根据黑客的活动时间认为， Zhang 等 APT41 成员多数是晚上到凌晨活动的夜猫子。

苹果将发现漏洞的最高赏金提高到一百万美元。在拉斯维加斯举行的 Black Hat 会议上，苹果宣布扩大 bug 悬赏范围，从 iPhone/iOS 扩大到 Mac/macOS 到 watchOS 和 Apple TV。此前苹果的最高赏金是 20 万美元，并且要求必须通过它的 bug 悬赏计划。现在赏金金额增加到 100 万美元，并且对所有安全研究人员开放。这是大型科技公司至今提供的金额最高的悬赏。苹果还将向参与者提供开发者版设备，允许安全研究人员更深入的查看系统运作。

哈萨克斯坦从 7 月 17 日开始发出通知要求所有设备所有浏览器安装来自政府的 Root CA（qca.kz），否则将无法访问网络，此举将允许该国 ISP 解密加密流量，对所有加密流量发动中间人攻击。哈萨克斯坦安全官员辩护称，这一要求旨在保护哈萨克斯坦用户免受 “黑客攻击、在线欺诈和其它网络威胁”。这一做法引发了广泛争议，主要浏览器开发商讨论了是否将 qca.kz CA 加入到黑名单。然而在本周，哈萨克斯坦国家安全委员会发表声明，称强制性安装证书只是一种测试，测试已经结束，用户可以将证书删除，正常使用互联网。

因其跨平台能力，Electron 开发平台是许多应用的关键组成部分。基于 JavaScript 和 Node.js 的 Electron 被用于 Skype、WhatsApp 和 Slack 等流行消息应用，甚至被用于微软的 Visual Studio Code 开发工具。但 Electron 也会带来安全隐患，容易修改植入后门。安全研究员 Pavel Tsakalidis 演示了一个 Python 开发的工具 BEEMKA，允许解压 Electron ASAR 存档文件，并将新代码注入到 JavaScript 库和内置 Chrome 浏览器扩展。漏洞不是在应用程序中，而是在应用程序使用的底层框架 Electron 中。Tsakalidis 称他联络了 Electron 但没有得到回应。

《连线》报道了 IOActive 公司的安全研究员 Ruben Santamarta 对泄漏的波音代码的研究。Santamarta 业余时间用于专研飞机的网络安全。去年九月，他无意发现波音公司的一台服务器没有任何密码保护，服务器储存了波音 737 和 787 客机的代码。他下载了这些代码。在大约一年之后，Santamarta 声称他从 787 的代码中发现了安全漏洞，可被黑客作为入侵的起点，进一步渗透到飞机的安全敏感系统。他将在拉斯维加斯举行的 Black Hat 安全会议上披露其发现，包括在 Crew Information Service/Maintenance System（CIS/MS）中发现的多个漏洞。CIS/MS 负责维护系统和电子飞行包等应用。Santamarta 称他在 CIS/MS 中发现了多个内存损害漏洞，可作为入侵飞机安全系统的立足点。波音否认了这一说法，称漏洞不会影响任何关键或必须的飞行系统，它在飞行模式下尝试利用这些漏洞，但没有成功。

当你能大模大样的直接走进去为什么还要费力气寻找 0day 漏洞或暴力破解登录密码呢？IBM X-Force Red 的安全研究人员开发了名为 warshipping 的漏洞利用概念原型，入侵目标网络的方法就是把它装在邮包里让邮递员送到目标的收发室。warshipping 不是新概念，它其实就是古代特洛伊木马的现代版本。warshipping 是一个手机大小的设备，支持 3G，能在任何有手机服务的地方进行远程控制，其制造成本大约为 100 美元。它能周期性的扫描附近网络，攻击者可以执行被动或主动的攻击去渗透目标的无线网络。