对于周三披露的 CPU 漏洞 Spectre（Variant 1 和 2）和 Meltdown（Variant 3），Google 官方博客介绍了三个漏洞的修补情况，其中 Spectre Variant 2 可以通过微码更新或软件更新修复，而 Meltdown 则需要给操作系统打补丁，Linux 的补丁是 Kernel Page Table Isolation (KPTI)，Windows 和 macOS 也都实现了类似的补丁。Google 称，它开发的二进制修改技术 Retpoline 能有效缓解 Variant 2 的漏洞，而且对性能影响甚微，它与行业合作伙伴分享了该技术，并已经部署在 Google 系统上。它也已经部署了 KPTI。另外，微软也提前释出了补丁，Windows 10 将会自动安装补丁，但旧的系统 Windows 7 或 Windows 8 没有自动更新。macOS 10.13.2 据称也部分修补了 Meltdown 漏洞。

Daniel Gruss 入侵自己的计算机暴露英特尔芯片漏洞那晚几乎无眠。这一漏洞影响芯片巨人自 1995 年以来制造的大部分处理器。31 岁的信息安全研究员和奥地利格拉茨技术大学博士后研究员闯入了自己计算机 CPU 的密室，窃取了其中的秘密。在这之前 Gruss 和同事 Moritz Lipp 以及Michael Schwarz 认为攻击处理器的内核内存只存在理论上的可能。Gruss、Lipp 和 Schwarz 周末在家里工作，彼此交换信息匆忙验证结果，直到确认结果没有错误。他们发现了至今最严重的芯片漏洞。这个影响英特尔芯片的漏洞被命名为 Meltdown。另一个影响英特尔、AMD 和 ARM 的漏洞被命名为 Spectre，Meltdown 最迫切，而 Spectre 的漏洞利用比较困难。格拉茨的团队在去年六月发表了论文，描述 KAISER 或 Kernel Address Isolation to have Side-channels Effectively Removed 的防御 Meltdown 攻击的机制。他们接触了英特尔，才知道其他研究人员也有类似的发现，这些研究员包括 Cyberus Technology 的 Paul Kocher 团队， Google Project Zero 的 Jann Horn，其中 Jann Horn 的工作令 Gruss 印象深刻。

Mozilla 释出了 Thunderbird 邮件客户端的一个更新（52.5.2），修复多个高危级漏洞。其中一个高危级漏洞编号 CVE-2017-7845，是一个缓冲溢出漏洞，只影响 Windows 用户；另外两个高风险级漏洞 CVE-2017-7846 和 CVE-2017-7847 分别影响 Thunderbird 的 RSS 阅读器和 CSS，后者潜在会允许攻击者发现用户数据如用户名。Thunderbird 项目目前已独立运作，但仍然在 Mozilla 旗下，使用 Mozilla 的域名，但未来 Thunderbird 切换到自己的基础设施之后将会更多的使用自己控制的域名。

安全公司火绒昨天发表报告称，腾讯从 11 月末起采用病毒式的方法推广旗下的软件（俗称全家桶）。火绒因此对其推广行为进行了拦截。报告称，当用户电脑启动 QQ 后，会通过名为 “QQ 安全防护进程（Q 盾）” 的保护程序释放病毒 “TrojanDownloader/Popeng.a”，随后用户就会收到腾讯的推广弹窗。一旦用户点击，QQ 浏览器和腾讯安全管家就会立刻被安装到用户电脑。该程序具有很强的隐蔽性，在整个推广过程中，“TrojanDownloader/Popeng.a” 会检测用户电脑中是否安装了360 安全卫士，若检测到，推广行为就会终止。此外，“TrojanDownloader/Popeng.a”还能随时接受远程 “云控” 指令，决定推广软件内容，以及是否继续实施推广。今天腾讯发表了致歉声明，宣布终止病毒式推广。声明称，“经核实，近期在对腾讯电脑管家和 QQ 浏览器的推荐中，确实出现了不合理甚至伤害用户体验之处，我们已于第一时间全部进行下线处理。在此，我们向广大用户深表歉意，并将对相关责任人进行处罚。”腾讯是中国最大的互联网公司，目前已经很少有公司敢于挑战中国企鹅了。

美联社根据安全公司 Secureworks 的信息报道，记者群体是黑客组织 Fancy Bear 的第三大攻击目标，次于外交人员和美国民主党人。Fancy Bear 被认为与俄罗斯政府有关联。从 2014 年中期到几个月前，至少 200 名记者遭到了 Fancy Bear 攻击，其中约 50 名记者为《纽约时报》工作，另外 50 名是驻俄罗斯的外国通讯记者或为独立新闻机构工作的记者，其余人员包括乌克兰，摩尔多瓦，波罗的海和华盛顿的知名媒体人物。

绝大多数安全策略都无法抵挡物理接触的攻击，比如 “邪恶女仆（evil maid）” 攻击。NSA 告密者 Edward Snowden 与一组合作者正在开发一个开源的 Android app 叫 Haven，它可以安装在你的闲置智能手机上，将手机变成一种看管保存有敏感信息的设备的哨兵。Haven 的源代码发布在 GitHub，首个 beta 版本已发布在 Google Play 应用商店和开源应用商店 F-Droid 上。用户可以将手机和监视的设备如你的笔记本电脑放在一起，然后 Haven 应用会利用智能手机上的传感器如麦克风、运动检测器、光探测器和摄像头去监视房间，记录它注意到的一切变化，比如是否有人动了你的笔记本电脑。用户可以配置 Haven，在其探测到变化时发送实时的加密警告。

密码管理软件开发商 Keeper 起诉了报道该公司软件漏洞的作者及其雇主。Ars Technica 及 Ars 的安全编辑 Dan Goodin 成为被告，被控发表了有关该公司密码管理器的错误和误导性声明 。Goodin 引用 Google 安全研究员 Tavis Ormandy 的漏洞披露报告称，Keeper 的一个安全漏洞允许任何网站窃取任何密码。Goodin 称，部分版本的 Windows 10 捆绑了存在漏洞的 Keeper。这不是第一次 Keeper 以诉讼的手段威胁记者和安全公司，此前它曾威胁起诉发现漏洞的安全公司 Fox-IT。

SplashData 通过分析泄漏的 500 多万密码公布了 2017 年度的“Worst Passwords of the Year”，123456 再次称霸榜单。常用的密码都和过去几年差不多，如 password，12345678，qwerty，12345 等等。由于记忆的问题，人们对于不重要的网站账号通常会设一个非常容易记住的密码，密码管理器可以解决这种情况，但密码管理器也有可能会面临单点故障。今年首次进入列表的密码还有 “iloveyou”、“monkey”、“hello”、“freedom”、“qazwsx” 和“trustno1”。SplashData 估计，约 3% 的人曾使用过列表上最糟糕的密码，10% 的人曾使用过最糟糕的 25 个密码之一。

随着 HTTPS 的普及，浏览器开发商如 Mozilla 准备采取下一步措施：将所有 HTTP 网站标记为不安全。根据 Let's Encrypt CA 的统计，2017 年 11 月，Firefox 加载的网页中启用 HTTPS 的比例占 67%，比去年底的 45% 有巨大提升。Firefox 加载网页时会通过地址栏左侧的图标指示连接是否安全，HTTPS 网站有加锁的安全标志，HTTP 网站则并没有视觉上明显的警告标志。Mozilla 计划未来改变这一状况：它目前发布的 Firefox Nightly Edition (v 59)包含了一个秘密的配置选项，在激活之后将会对 HTTP 网站展示明显的连接不安全警告标志。

根据 Malwarebytes 移动安全团队公布的报告，大量 Android 设备仍然含有了提供 FOTA 服务的上海广升公司的后门。去年安全公司 Kryptowire 从美国销售的低端 Android 手机固件中发现了一个后门，会将用户的大量私人信息发送到提供固件的中国公司服务器上，发送的数据包括了手机号码、位置数据、短信内容、呼叫信息、安装和使用的应用等等。提供固件的上海广升信息技术有限公司则声称是失误。含有后门或恶意行为的组件包括 com.adups.fota，com.adups.fota.sysoper 或 com.fw.upgrade.sysoper。

韩国情报机构认定该国最大的比特币交易所遭黑客攻击系朝鲜所为。韩国统一部发言人表示，朝鲜正在为逃避制裁赚取外汇开展各种活动。遭到攻击的交易所是 Bithumb， 该公司一位雇员的 PC 在今年 2 月成为攻击者的目标，但攻击直到  6 月才被发现。黑客从这家交易所窃取了当时价值 700 万美元如今已经膨胀到超过 8000 万美元的数字货币，此外还窃取了大约 3 万用户的个人信息。攻击者还试图向交易所勒索 550 万美元来交换删除用户数据。

在英国之后，特朗普政府也公开谴责朝鲜是 WannaCry 勒索软件攻击背后的元凶。发生在今年五月的 WannaCry 勒索软件攻击利用了泄漏的 NSA 黑客工具，扩散到了 150 多个国家感染了数十万台电脑，包括中国的大学、德国的铁路系统，以及俄罗斯内政部，造成了数十亿美元的损失。特朗普的国家安全顾问 Tom Bossert 称，朝鲜负有直接的责任。白宫预计将在美国时间周二发表正式声明谴责平壤。美国认为为朝鲜政府工作的黑客组织 Lazarus Group 发动了 WannaCry 攻击。

部分 Windows 10 版本预装了 Keeper 密码管理器，Google Project Zero 研究员 Tavis Ormandy 对其的分析发现，Keeper 插件包含了一个严重漏洞允许网站窃取任何密码。16 个月前他在未捆绑的 Keeper 插件发现了类似的漏洞，他开发的概念验证漏洞利用只需要简单修改一下就能用于新的插件。Keeper 发言人称新的 bug 与 16 月前报告的 bug 不同，只影响 12 月 6 日发布的 v11，它在上周末释出了新的版本 v 11.4 修复了漏洞。

安全公司 FireEye 报告了针对安全仪表系统的攻击。安全仪表系统被许多关键基础设施用于防止不安全情况发生。攻击者使用的恶意程序试图物理破坏施耐德电气制造的 Triconex 产品线，这些恶意程序因此被取名为 Triton 和 Trisis。研究人员表示，攻击的目标系统为工业生产过程提供了紧急关闭能力，他们相信攻击者正在开发出能导致物理损坏和意外关闭操作的能力。过去几年，国家支持的黑客将攻击目标越来越多的瞄准工业控制，对安全仪表系统的攻击是最新的一个趋势。

根据美国司法部的新闻稿，三名创造 Mirai 僵尸网络的男子 Paras Jha 、Josiah White 和 Dalton Norman 承认了罪行。 Mirai 恶意程序利用联网设备的已知漏洞入侵和控制设备，然后发动规模惊人的 DDoS，在 2016 年曾导致许多知名网站和网络服务短暂下线。罗格斯大学计算机科学学生 Paras Jha 是安全调查记者 Brian Krebs 今年初跟踪其网络痕迹识别出来的。Paras Jha 使用化名 Anna Senpai 开源了 Mirai 的代码，根据认罪协议，开源恶意程序代码是为了以防万一 Jha 或其同谋控制的计算机被发现 Mirai 代码后可以进行推诿。在 2017 年 9 月 和 10 月左右， Jha 从其设备上抹掉了运行 Mirai 的虚拟机。Jha 将面临最高五年徒刑，但鉴于他在配合政府调查上的合作他的刑期可能更短。

让物联网设备变砖的恶意程序 BrickerBot 作者宣布退出，终止其自 2016 年 11 月发起的 Internet Chemotherapy 活动。在网上使用过化名如 The Doctor 和 The Janit0r 的 BrickerBot 作者声称他让 1000 万物联网设备变成砖。BrickerBot 通过扫描互联网识别出存在漏洞的设备，然后发出一系列指令抹掉设备上储存的所有文件，破坏设备的存储器和切断网络连接，也就是让设备变成了砖。The Janit0r 声称他此举是为了阻止这些存在漏洞的物联网设备被恶意程序 Mirai 利用发动 DDoS 攻击。类似 Mirai 的作者，BrickerBot 作者也把恶意程序源代码公布在网上。代码据称包含至少一个 oday。The Janit0r 在告别信中承认他的行动可能引起了执法机关的注意，称他的最担心的情况不是入狱而是被销声匿迹。

12 月 12 日 UTC 时间 04:43，俄罗斯一个过去几年都不活跃的自治系统 AS 39523 通过 BGP 路由广播劫持了多家知名的高流量互联网公司的网络前缀。整件事看来有点可疑。受影响的公司包括了 Google、Facebook、苹果、Twitch、NTT Communications 和 Riot Games。BGP 路由劫持事件发生了两次，每次只持续 3 分钟，分别是 04:43 UTC 到 04:46 UTC，07:07 UTC 到 07:10 UTC。AS 39523 只在今年初活动过一次。

在上周的 Black Hat Europe 大会上，IOActive 研究人员 Fernando Arnaboldi 称，五大流行编程语言解释器中的严重漏洞让使用这些语言开发的应用更易受到攻击。Arnaboldi 发现，Python 有未记录的方法和环境变量能被用于 OS 命令执行；JavaScript 解释器 NodeJS 会通过其输出的错误信息暴露文件内容；Ruby 的 Java 实现 JRuby 会在一个并非设计远程代码执行的函数上加载和执行远程代码；Perl 和 PHP 也都发现类似的问题。

微软上周释出紧急更新修复了 Malware Protection Engine 中的一个远程代码执行漏洞。该漏洞影响微软的安全产品 Windows Defender、Microsoft Security Essentials Endpoint Protection、Forefront Endpoint Protection，以及 Exchange Server 2013 和 2016。当 Malware Protection Engine 扫描一个下载的文件寻找潜在的威胁时攻击者可以触发该漏洞利用一个内存破坏错误在目标机器上使用 LocalSystem 远程执行漏洞。微软用户需要尽可能快的安装更新，大部分用户的系统将会自动更新。

惠普数十款笔记本电脑的 Synaptics 触控板驱动程序 SynTP.sys 被发现内置了按键记录器，虽然记录功能默认没有启用，但只需要设置一个注册表项的值就能启用，这无疑是一个巨大的安全隐患。惠普已经证实了此事，并释出了紧急更新，移除了按键记录器。受影响的笔记本型号可以浏览官方公布的列表，受影响的用户最好尽快更新。惠普称潜在安全漏洞影响所有 Synaptics OEM 合作伙伴，攻击者需要管理权限才能利用这个漏洞。