服务器主板制造商超微发表致客户的公开信，称外部调查团队进行的检测没有发现有证据显示主板嵌入了恶意芯片。彭博商业周刊今年 10 月引用多个匿名消息来源声称，中国军方利用在中国组装超微主板的机会秘密植入后门芯片，但相关企业以及美英情报和安全机构都否认了这一报道。据路透社报道，检测是由 Nardello & Co,  公司进行的，该公司检查了超微出售给苹果和亚马逊的主板样本，以及产品的软件和设计文档，它的测试和检测没有发现恶意硬件。超微 CEO Charles Liang 及其高级副总裁在声明中称，“自媒体报道这些指控以来，我们一再声明：没有任何政府机构通知我们它在我们的产品上发现了恶意硬件；没有客户告知我们它在我们的产品上发现了恶意硬件；我们也从未在我们的产品上发现恶意硬件的证据。”

信用巨头 Equifax 去年透露它遭到黑客入侵，大约有 1.48 亿美国用户的信息泄露，这是美国历史上规模最大的数据泄露事件之一。本周一美国众议院公布了 Equifax 数据泄露案调查报告（PDF），认为这起事件是完全可以避免的。报告认为，Equifax 没有采取足够的安全措施来保护敏感数据。报告指责该公司自满，技术过时，没有及时修复已知漏洞，导致其系统在 145 天内处于容易攻击的风险中。报告还披露了一个此前未知的信息：Equifax 没有发现攻击者将数据转移出去，原因是它监控网络流量的设备因为安全证书过期已经停止活动 19 个月；Equifax 有超过 300 个证书过期，其中包括 79 个监控关键域名业务的证书。

本周英国移动运营商 O2 网络发生大规模故障，导致数以百万计的手机用户失去了数据访问。O2 的核心网络设备由爱立信提供。爱立信发表声明称，故障是软件 SGSN–MME (Serving GPRS Support Node – Mobility Management Entity)的两个特定版本导致的，其根本原因是安装在客户设备上的软件使用的证书过期了。除了英国外，多个使用爱立信设备的国家也因为软件证书过期发生网络故障。

开源容器编排系统 Kubernetes 本周曝出了一个高危提权漏洞，影响从 1.0 到 1.12 的所有版本，但只有支持版本 1.10.11、1.11.5 和 1.12.3 得到修复。攻击者很快被发现利用该漏洞劫持 Kubernetes 集群。网络安全公司 BinaryEdge 报告，他们观察到很多 Kubernetes 集群被劫持挖掘数字货币，这些集群属于各个行业，企业规模从创业公司到财富五百强企业。

Sophos 公司的安全研究人员从 Google Play 官方应用商店发现了 22 款包含后门的应用，应用的总下载量超过 200 万，最流行的一款是手电筒应用 Sparkle Flashlight，其下载量超过一百万。应用含有的后门能悄悄从攻击者控制的服务器上下载文件。这些应用主要被用于广告欺诈，研究人员将它们命名为 Andr/Clickr-ad，通过欺骗性的广告点击获取收入，它给用户带来的问题是电池续航力的下降和数据流量的增加。后门潜在可用于下载任何恶意程序。Google 已经从商店里移除了这些恶意应用。

一位毫无经验的勒索软件作者在身份曝光之后很快遭到当局的逮捕。官媒报道，12 月 4 日 18 时许，东莞网警支队接省公安厅网警总队通报称，腾讯公司举报，东莞一名男子向多个计算机信息系统传播木马病毒，锁定目标系统文件，利用微信支付勒索钱财后解锁。网警于 12 月 4 日 22 时查明嫌疑人真实身份为 22 岁的罗x泳，主要在东莞市东坑镇活动；12 月 5 日 15 时他们将嫌疑人抓获。互联网专家表示，找到该嫌疑人并不困难。因为勒索病毒作者在病毒代码里留下了能关联到身份的信息。经东莞网警审讯，嫌疑人对其制作新型勒索病毒破坏计算机信息系统，利用微信支付勒索钱财的事实供认不讳。

过去几天有超过 10 万台电脑感染了勒索软件，有意思是恶意程序作者建议受害者通过微信支付来支付赎金。微信支付是一个基于实名制的中心式支付平台，难以想象有经验的恶意程序作者会使用它。中国安全公司火绒报告，作者身份已经锁定，称作者在病毒代码里嵌入了自己的 Github 链接。报告称，勒索病毒是通过供应链污染的方式传播的，植入到易语言编写的程序里，被植入病毒的软件超过 50 款。病毒作者还利用豆瓣等平台充当 C&C 服务器，他们发现一台病毒服务器包含了两万余条窃取的淘宝、支付宝等账户密码。

万豪上周发表警告，它旗下的喜达屋酒店预订系统遭到非法访问，而且非法访问的时间长达四年之久，多达五亿客户的信息泄露。路透社援引知情人士的消息报道，黑客留下的信息暗示他们在为中国政府的情报搜集行动工作。三名消息人士表示，调查本案的私人侦探发现，黑客所使用的工具、手法和程序，在之前被认为是中国黑客所为的网络攻击案中也曾被使用。虽然中国的嫌疑最大，但上述消息人士警告也有可能是其他黑客所为，因为部分侵入工具此前已被发在网上，其他人也可以获得同样的侵入工具。

澳大利亚计划本周出台严格的加密新规，政府认为，假日季节期间，情报部门需要有更强大的力量来遏制激进分子袭击风险。在国会审议这项拟定的安全法案时，澳大利亚国家情报机构负责人 Duncan Lewis 对议员们表示，从恐怖分子角度来看，圣诞季向来是一个风险高点。他说，恐怖袭击策划者利用加密系统逃避侦测。对此科技公司持抵制态度，称他们有权保护客户隐私，而且调查人员提出的许多要求技术上并不可行。2016 年 12 月，英国议会批准了《调查权力法案》，允许得到授权的安全部门侵入电脑，但未强制科技公司创建后门。澳大利亚的新提议被认为是建立在英国该法案的基础上，科技公司可能被要求开发新工具（后门），在必要情况下绕开安全限制、破解密码。澳大利亚执政的保守派政府已同意与主要反对党工党达成妥协，限制该法案的权力，将仅适用于最严重的犯罪情形，例如恐怖阴谋。

东北大学和 IBM Research 的研究人员发现了 Spectre CPU 漏洞的一种新变种，能通过基于浏览器的代码利用。被称为 SplitSpectre 的新漏洞与其它 Spectre 变种的一个重要区别是它更容易利用。研究人员使用 Firefox 的 JavaScript 引擎 SpiderMonkey 52.7.4 对英特尔的 Haswell 和 Skylake 处理器，以及 AMD 的 Ryzen 处理器成功执行了 SplitSpectre 攻击。不过用户无需担心，因为现有的 Spectre 缓解方法也能阻止 SplitSpectre 攻击。研究报告发表在 IBM Research 网站上。

万豪喜达屋发表公告，称有最多五亿用户的信息泄露，而黑客的入侵至少始于 2014 年。公告称它在今年 9 月收到警告，随后展开的调查发现从 2014 年起未经授权的第三方访问了喜达屋网络，复制并加密了某些信息。11 月 19 日它解密了加密的信息，确认其来自喜达屋宾客预订数据库。它认为数据库包含了 9 月 10 日或之前曾在喜达屋酒店预订的最多约 5 亿名客人的信息，其中约有 3.27 亿人的信息包括：姓名、邮寄地址、电话号码、电子邮件地址、护照号码、SPG 俱乐部账户信息、出生日期、性别、到达与离开信息、预订日期和通信偏好。部分客户泄漏的信息还包括支付卡号和支付卡有效期。支付卡号使用 AES-128 加密，解密支付卡号码需要解锁两项密钥，万豪国际无法排除该第三方是否已经掌握这两项密钥。此次泄密事故已经报告给了执法部门和监管机构。

流行问答社区 Quora 发出安全警告，称它在上周五检测到未经授权的第三方访问了它的系统，有最多一亿用户的帐户信息泄漏。Quora 称它仍然在调查原因，已经通知了执法部门，并计划雇佣安全公司帮助调查。可能泄漏的信息包括了账号信息，如用户名、电子邮件、哈希密码，用户授权导入的数据，以及公开的内容和动作如投票点赞，非公开的内容和动作，私聊信息，匿名写的提问和回答不受影响。它将通过电子邮件通知受影响的用户。

微软对知名耳机设备制造商森海塞尔的两款应用发出了警告，这两款应用在用户电脑上安装了两个 root 证书然后还泄漏了它们的私钥，这意味着恶意第三方可以利用私钥给恶意应用签发假的证书，伪装成合法应用。两个应用是 HeadSetup 和 HeadSetup Pro，用于设置和管理软件电话——通过互联网和计算机拨打电话的应用程序。存在问题的版本是 versions 7.3、7.4 和 8.0，私钥就放在 SennComCCKey.pem 文件里。

印尼狮航的一架波音 737 MAX8 客机上月底坠毁，机上所有人全部遇难。印尼事故调查人员公布的初步调查结果显示，错误的传感器数据导致了客机的坠毁，而这架客机此前已经多次发生传感器故障。印尼国家运输安全委员会负责人 Nurcahyo Utomo 在新闻发布会上说，在他们看来失事客机当时并不适合飞行。这起事故的最终结论还要过几个月才会公布，调查人员已经要求狮航改善飞行安全和加强飞机维修。飞行及维修日志记录显示，失事飞机之前几天多次出现空速及高度显示的故障。

戴尔发表新闻稿，称它在 11 月 8 日探测并阻止了一次对其客户信息的未经授权的访问，攻击者试图窃取的客户信息包括了名字、电子邮件地址和哈希加密密码。它的调查没有发现有确凿的证据显示信息被窃取了。敏感信息如信用卡号码不是攻击者的目标，它的产品和服务也都没有受到影响。戴尔称它已经启动了 Dell.com 客户账户的密码重组，雇佣了外部公司执行独立调查并通知了执法机构。

安全研究人员报告了旨在窃取大桥和工厂建筑物等设施敏感 CAD 图纸的工业间谍活动。攻击者利用钓鱼邮件某些情况下还使用邮寄包裹的方式发动攻击，一个恶意模块还伪装成珠海澳门大桥的设计图，攻击使用了预编译和加密的 AutoLISP 文件，当目标打开设计图可能会无意执行 AutoLISP 文件。攻击者的所有指令控制服务器域名都解析到相同的 IP 地址，而服务器运行的是中文版的 MS IIS 6.0。安全研究人员发现，攻击者的部分目标与可更新能源行业相关。

广泛使用的 NPM 库 event-stream 在被转让给新维护者之后被发现植入了窃取比特币的后门。这个库有 200 万下载量，被包括财富五百强在内的大小企业使用。它在 9 月 8 日释出的更新中加入了叫 flatmap-stream 的模块，当时这个模块没有恶意功能，但在 10 月 5 日释出的更新中该模块加入了窃取比特币钱包并转移出余额的功能。上周二 Github 用户 Ayrton Sparling 报告了后门，本周一 NPM 才正式发出警告。恶意代码针对的是 Copay 钱包用户。Copay 开发的钱包应用在其代码中使用了 event-stream 依赖库。该公司一开始否认但最后承认它释出的应用包含了后门版本的 event-stream。该公司称使用 versions 5.0.2 到 5.1.0 的用户受到了后门影响。使用这些版本的用户应该假定他们的私钥已经被窃取了，需要尽可能快的升级到 5.2.0 版本。过去几年，此类的软件供应链攻击已经日益常见。

以色列国土报报道（付费墙），在沙特王储清洗竞争对手前，以色列公司 NSO Group 与沙特磋商价值 5500 万美元的交易，出售手机间谍软件 Pegasus 3，允许沙特政府入侵公民的手机和监听通话。NSO Group 声称它遵守了法律，其产品是用于打击罪犯和恐怖主义的。报道称，NSO 与沙特代表 2017 年在欧洲举行了多次会谈，其中一次 NSO 拒绝了沙特的请求去识别一名反政府 Twitter 账号的身份，另一次 NSO 演示了在获得手机号码之后如何入侵一部全新的 iPhone 手机。报道称双方的交易最终搁置了。

俄罗斯杀毒软件公司 Dr.Web 发现了被称为 Linux.BtcMine.174 的木马，比传统的恶意程序更复杂，包含了大量恶意功能。它本身是一个巨大的 shell 脚本，有超过 1000 行代码，感染之后的第一件事是寻找具有写入权限的脚本，将自己拷贝进去，然后下载更多恶意模块。它会利用 CVE-2016-5195 (ak Dirty COW) 和 CVE-2013-2094 两个提权漏洞获取 root 权限，完全访问操作系统。这两个漏洞都是几年前的了，因此影响的是没有打补丁的 Linux 系统。Linux.BtcMine.174 的主要恶意功能是挖掘数字货币门罗币，它会扫描进程寻找竞争的挖矿脚本将其进程终止，它的另一个恶意功能是 DDoS 攻击，攻击模块叫 Bill.Gates trojan。它还会关闭 Linux 杀毒软件。

Rowhammer 漏洞是指 DRAM 临近内存单元之间电子的互相影响，当重复访问特定内存位置数百万次后，攻击者可以让该位置的值从 0 变成 1，或从 1 变成 0。这种比特翻转漏洞可以让一个不受信任的应用获得几乎任意的系统权限，或绕过防止恶意代码访问敏感系统资源的沙盒机制。部分高端芯片支持的 ECC(error-correcting code)被认为能抵御此类的比特翻转，但最新研究动摇了这一假设。被称为 ECCploit（PDF） 的新 Rowhammer 攻击能绕过 ECC 保护。研究人员称，他们的论文显示，即使是对于配备 ECC 的系统 Rowhammer 攻击仍然是具有现实意义的威胁。他们逆向工程了 ECC 的工作机制，发现了一个时序侧信道。通过仔细测量执行某些进程所需时间，他们能推断芯片内部发生的比特翻转的颗粒度细节。研究人员在 AMD Opteron 6376 Bulldozer (15h)、Intel Xeon E3-1270 v3 Haswell、Intel Xeon E5-2650 v1 Sandy Bridge 和 Intel Xeon E5-2620 v1 Sandy Bridge 测试了 ECCploit 攻击。这种攻击方法并不可靠，主要针对 DDR3 DIMMs。