HardenedLinux 写道 "CSIS（云安全行业峰会）是一个致力于打造云安全最佳实践的组织，由包括跟云安全生态有关的厂商组成，经过了数月的努力，终于于2019年10月27日完成了安全固件开发最佳实践v1.1版本，这个版本由于排版问题还没有更新到CSIS网站，这个版本对服务器会遇到的各种固件进行了威胁建模和风险评估，包括BMC，coreboot，Option-ROMs，UEFI以及外设固件。HardenedLinux社区也有参与这一版的评估和讨论工作，Hardening the COREs中可信计算方案的大部分的场景是基于coreboot的定制版本，而随着基于coreboot的RAMSTAGE的Intel TXT的版本正式开源，基于自由固件打造完整可信计算方案成为了可能。另外，这也是第一次CSIS在安全固件最佳实践中推荐coreboot。"

随着假日季临近，美国洛杉矶县地方检察官办公室提醒旅客，注意 “USB 充电座诈骗”。当人们将电子设备插入已经加载了恶意软件的 USB 接口或 USB 数据线时，就有可能出现个人信息泄漏的情况。恶意软件会通过这些端口感染你的设备，让黑客有机可乘。他们可以借此读取和导出你的数据，包括你的密码，甚至可以对设备上锁，让它们变得无法使用。 BitDefender 网络安全专家 Liviu Arsene 说，USB 充电座诈骗利用的就是人们的设备没电的状况。他警告说，不要使用已经插在充电站里的 USB 数据。

作为尝试改善安全记录和形象的一部分，Uber 将允许巴西和墨西哥的乘客和司机记录打车过程中的音频，该公司还计划将该功能引入到美国等地。Uber 将于 12 月份在巴西墨西哥测试该功能，给予客户选择去记录所有或部分车程。录音将加密保存在乘客和司机的手机上，以保护隐私，用户无法听取录音。如果想举报问题，他们可以与拥有密钥的 Uber 共享录音。中国的打车软件公司滴滴早已引入类似的功能，滴滴甚至还加入了面部识别和社会信用。

门罗币官网被黑，命令行钱包程序被替换为恶意版本。GetMonero 网站用户本周一报告，官网提供的命令行钱包软件的哈希值与网站提供的哈希值列表不符。用户还发现软件设计用恶意程序感染用户。GetMonero 网站之后证实遭到攻击。它发表声明，强烈建议任何在 11 月 18 日 2:30 AM UTC 到4:30 PM UTC 之间下载命令行钱包软件的用户核对下哈希值，如果不匹配，删除并重新下载，不要以任何理由运行被感染的程序。对恶意程序的分析显示，当用户打开或创建钱包时会将钱包种子发送到服务器 node.hashmonero[.]com，然后将钱包里的数字货币发送到服务器 node.xmrsupport[.]co 和 45.9.148[.]65。一位 Reddit 用户称钱包里价值 7000 美元的数字货币失窃。

Have I Been Pwned 维护者 Troy Hunt 称，加密钱包服务 GateHub 和游戏网站 EpicBot 的 220 万用户密码数据在网上公开。GateHub 被公开的数据库有 140 万账号，共 3.72GB，还包含了二步认证密钥，帮助记忆的短语，以及钱包哈希。EpicBot 数据库有 80 万账号，包含了用户名和 IP 地址。Gatehub 此前承认网站遭到入侵，数据库被非法访问，表示受影响的账号为 18,473 个。但最新公开的数据库显示入侵规模比之前认为的要大得多，账号数量多达 140 万而不是 1.8 万。

微软官方博客宣布，Windows 将支持 DNS over HTTPS（DoH），加密 DNS 流量以保护用户隐私。微软称，提供加密 DNS 支持而不破坏已有的 Windows 管理配置并非易事，但微软相信应该将隐私视为一种人权，因此必须内置端对端网络安全。微软认为加密 DNS 有助于让整个互联网生态系统变得更健康。微软称他们寻求让用户能使用他们想要的任何协议，Windows DNS 客户端未来会提供选项支持 DNS over TLS (DoT) ，但当前的优先任务是支持 DoH，因为它可以重用现有的 HTTPS 基础设施，可以更快提供给用户。微软表示提前宣布支持 DoH 是为了让它的意图尽可能早的传达给用户。

一种假的广告屏蔽应用正在用广告轰炸用户，而让许多用户沮丧的是不知道怎么卸载它。名叫 Ads Blocker 的应用利用了多种技巧偷偷的持续用广告轰炸用户。首先它简单要求用户权限在其它应用上显示，其次它要求设置 VPN 连接监视网络流量，第三它寻求权限在主屏添加 widget。申请 VPN 连接是部分合法广告屏蔽工具的标准要求， 但这允许 Ads Blocker 一直在后台运行，组合在其它应用上显示的权限它可以随心所欲的展示广告。Ads Blocker 没有图标，在应用设置里也看不到 Ads Blocker 的信息，因为它用白盒子掩盖了名字（如图所示），让许多用户不知道怎么卸载它。

中国白帽子黑客被禁止参加国外的安全挑战赛如 Pwn2Own，于是他们创办了一个国内的比赛去展现自己的技艺。这个比赛叫天府杯，去年秋天办了第一届，第二届于上周末举行。在这次安全挑战赛上，Edge、Chrome、Safari、Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation 等纷纷遭到攻陷。360Vulcan 团队获得了最佳产品破解奖一等奖和最具价值产品破解奖，成为比赛的最大赢家。

中国白帽子黑客被禁止参加国外的安全挑战赛如 Pwn2Own，于是他们创办了一个国内的比赛去展现自己的技艺。这个比赛叫天府杯，去年秋天办了第一届，第二届于上周末举行。在这次安全挑战赛上，Edge、Chrome、Safari、Office 365、iOS、小米、Vivo、VirtualBox、友讯科技的路由器、Adobe PDF 和 VMWare Workstation 等纷纷遭到攻陷。360Vulcan 团队获得了最佳产品破解奖一等奖和最具价值产品破解奖，成为比赛的最大赢家。

安全研究人员发现思科的 RV320 和 RV325 Dual Gigabit WAN VPN 路由器使用了静态证书和密钥，还发现了硬编码的密码哈希。思科释出了新固件，解决了安全研究人员发现的问题。思科解释说，静态证书在固件开发过程中被用于测试目的，在产品从未被用于活跃功能，包括在正式产品中是因为开发团队的疏漏。安全研究人员还在其它型号的思科路由器中发现了类似的问题。

2018 年 7 月一个酷热的夜晚，美国集装箱货轮 Manukai 号抵达了上海港，这是它的最后一站。在船员小心的操纵着这艘 700 英尺长的轮船进行机动时，船长正密切监视着导航屏幕。根据国际法，中大型商业船舶都必须安装船舶自动识别系统（AIS）应答器，每隔几秒设备会广播身份、位置、航线和速度，显示同一区域其它船舶的 AIS 数据，确保拥挤水路的安全。位置数据来自 GPS 导航卫星。屏幕显示，有一艘船以 7 节的航速行驶在同一航道上。突然这艘船消失了。几分钟后它又出现在屏幕上，显示到了码头。接着它又出现在航道上，又回到码头，然后又一次消失。当 Manukai 号准备停泊码头时，船上的两台 GPS 设备都失去了信号，AIS 应答器也失效了。虽然它最终安全的停泊在了码头上，但这一事件促使船长向美国海岸警卫队的导航中心递交了报告。Center for Advanced Defense Studies（C4ADS）对AIS 数据的分析显示，过去一年黄浦江上有数以千计的船舶遭到了 GPS 欺骗攻击。与俄罗斯 GPS 欺骗攻击不同的是，研究人员注意到了一个环形模式，因此它被称为上海滩的“麦田怪圈”。黄浦江上的 GPS 欺骗攻击严重影响到了水路安全，今年 6 月 5 月，Tong Yang Jingrui 货轮发生了事故，AIS 数据显示过去半年它至少遭到了 5 次欺骗攻击。甚至上海水警黄埔海事局也每天都收到 GPS 欺骗攻击报告，数据显示它的一艘巡逻艇 9 个月内被欺骗了至少 394 次。谁发动了攻击？是盗沙者？还是中国政府在测试秘密武器？麦田怪圈的中心属于上海石油化工股份有限公司的一家工厂。

流行的密码管理器 1Password 宣布得到了风投公司 Accel 两亿美元的投资。Accel 将获得少数股权，双方将展开合作。公司创始人 Dave Teare 称每天有数百万用户使用 1Password，他们拥有超过 5 万付费企业用户，其中包括 Basecamp、Slack 和 IBM。Teare 表示有 Accel 的帮助他们将能更快的开发 1Password，实现他们在隐私、安全方面的愿景，为用户提供最佳的使用体验。但很多人并不信任风投。

为防止刚刚曝光的 Zombieload v2 攻击，微软 Windows 和 Linux 内核团队都引入了方法关闭英特尔 TSX（Transactional Synchronization Extensions）。Zombieload 漏洞与 TSX 有关，它与之前披露的 Meltdown、Spectre 和 Foreshadow 漏洞类似，都是利用预测执行去实现跨线程、权限边界和超线程的数据泄露。本周披露的 Zombieload V2 漏洞能影响最近发布的英特尔处理器。英特尔释出了微码更新去修正最新的漏洞，但补丁会对性能产生严重影响。为了避免影响性能，许多企业可能会选择不更新微码，或者宁愿选择禁用漏洞相关的技术。微软和 Linux 内核团队先后发布了方法去关闭 TSX。

路透援引知情人士的消息报道，全美制造业协会 (NAM) 在今年夏季遭到黑客攻击，并聘请了一家网络安全公司帮助调查，而该公司认定攻击来自中国。攻击行动使用了以前与中国黑客组织有关联的工具和技术，这家网络安全公司据此做出了上述判断。对美国一个有影响的行业协会的内部计算机网络发动黑客攻击，说明中国竭力试图在贸易战中占据优势。目前尚不清楚哪些数据被盗。 NAM 聘请了外部网络安全公司来应对攻击和阻止入侵。

本周，英特尔释出了安全更新去修复数十个安全漏洞，其中包括它六个月前声称已修复但其实并没有修复的漏洞。漏洞报告者之一的阿姆斯特丹自由大学计算机科学教授 Cristiano Giuffrida 称，来自英特尔的公开信息是所有漏洞都修复了，但我们知道这并不精确。许多研究人员通常在披露漏洞前会给予企业时间，在补丁释出前保持缄默。但这位荷兰的研究人员称，英特尔滥用了这一流程，并且一犯再犯，它最新释出的补丁并没有修复他们在今年五月报告的另一个漏洞。英特尔的这些漏洞都类似，允许攻击者从处理器上窃取敏感数据如密码和密钥。英特尔称它的补丁大幅降低了攻击风险，但没有完全修复研究人员报告的问题。

有超过 44 万客户的 ASP.NET 托管服务商 SmarterASP.NET 遭到了勒索软件攻击。根据官方最新的声明，“部分客户账户被入侵，数据被锁定，它有个方案可以解决该问题，但需要时间。”它没有对此进行更详细的解释，不清楚是支付赎金还是使用备份恢复数据。攻击不仅仅影响其客户，还导致网站下线了一整天。根据 Twitter 上公布的截图，SmarterASP.NET 遭到了勒索软件 Snatch 的攻击，文件用 .kjhbx 扩展名进行了加密。

正在传播的 BlueKeep 漏洞利用不只是影响没有及时打补丁的 Windows 机器，它还导致部分打过补丁的 Windows 机器崩溃。原因与修复英特尔 CPU 漏洞 Meltdown 的补丁有关。该补丁被称为 KVA Shadow，代表 Kernel Virtual Address Shadow，方法是隔离内核内存和用户模式线程的虚拟内存页表，但因为需要执行捕获异常和系统调用等功能部分内核代码子集被排除在外。Bluekeep 漏洞利用引发的 shellcode 不是 KVA Shadow 代码的一部分，用户模式无法与 Shadow 代码作用，导致内核陷入了递归循环直至系统崩溃。

Android 存在严重的恶意程序问题，甚至官方应用商店 Google Play 也不时发现隐蔽的恶意程序。为了解决该问题，Google 与安全公司 ESET、Lookout 和 Zimperium 合作组建了 App Defense Alliance，这三家公司多年来对 Android 恶意程序有广泛的研究，但他们都是在发现恶意程序之后报告给 Google，而通过 App Defense Alliance，这些安全公司将利用其工具扫描和评估开发者递交的应用，在恶意程序未上架 Google Play 前将其识别出来。每一家安全公司都会提供不同的方法去扫描应用，识别木马、广告程序和勒索软件。

俄罗斯议会正在辩论一个法案，要求所有在俄罗斯销售的电子设备——包括智能手机、电脑和智能电视——都必须预装来自俄罗斯科技公司的应用。俄罗斯议员认为该法案将保护俄罗斯互联网公司的利益，减少大型外国科技公司的滥用。如果俄罗斯政府批准了该法案，它将公布一个需要遵守新法律的电子设备清单。智能手机、平板、电脑、服务器和智能电视预计都会进入清单，没有运行复杂操作系统和软件的设备将被排除。不遵守法律的供应商将会面临最高 20 万卢布的罚款，如果反复违反将会面临被封杀。部分人担心俄罗斯会走向全面监视国，因为预装的应用可以很容易被政府利用访问用户私人数据，甚至加密通讯。

Snyk 发布了 2019 年度的 JavaScript 框架安全状况报告（PDF），除了最流行的 JS 框架 Angular 和 React 外，报告还观察了其它三个流行 JS 前端框架 Vue.js、Bootstrap 和 jQuery 的安全漏洞。jQuery 过去 12 个月的下载量超过了 1.2 亿次，是 Vue.js 的 4000 万次和 Bootstrap 的 7900 万次之和。Vue.js 发现了 4 个漏洞，都已经修复。Bootstrap 发现了 7 个跨站脚本漏洞，3 个是在 2019 年披露的，无安全修正。jQuery 发现了 6 个影响所有版本的安全漏洞，4 个是中等危险级别的跨站脚本漏洞，1 个是中危 Prototype Pollution 漏洞，还有一个是低危拒绝服务漏洞。jQuery 3.4.0 以上版本不受漏洞影响。jQuery 生态系统还发现了多个恶意的扩展包，其中包括 jquery.js、jquery-airload、github-jquery-widgets、 jquery-mobile、jquery-file-upload 和 jquery-colorbox，这些包过去一年的下载量从几百到几千不等。