目前所有版本的 Docker 都存在一个漏洞，允许攻击者获得对主机服务器任何路径的读写访问权限。漏洞是一个竞争条件的结果，已经有修复补丁但还没有整合。bug 是软件处理某些符号链接 (symbolic links)的方式导致的。研究员 Aleksa Sarai 发现，在某些情况下，攻击者可在路径解析时间和操作时间之间的短时窗内将自己的符号链接插入到路径中。它是 time of check to time of use (TOCTOU) 的竞争条件问题的一个变种。

自称 GnosticPlayers 的黑客声称窃取了澳大利亚网站 Canva 的 1.39 亿用户数据。Canva 是一个非常受欢迎的平面设计服务，Alexa 排名在 200 以内。黑客窃取的数据包括了用户名字、真名 、电邮地址、城市国家信息，其中 6100 万用户有哈希密码，其他用户的信息还有用于登陆的 Google 令牌。有 7800 万用户使用了 Gmail 地址。Canva 证实它的数据库遭到非法访问，表示尚未发现账号被入侵，出于谨慎考虑它已经鼓励用户更改密码。

名叫 SandBoxEscaper 的黑客在 24 小时内披露了三个 Windows 0day 漏洞的技术细节和 POC 漏洞利用。其中一个是 Windows Task Scheduler 本地提权漏洞，允许有本地访问权限的攻击者获得系统级权限；第二个是 Windows Error Reporting 的提权漏洞，第三个漏洞工作在 Internet Explorer 11 上，允许攻击者使用超过浏览器沙盒所允许的系统访问权限执行 JavaScript。三个漏洞并不允许攻击者远程执行代码，但美国计算机安全响应团队证实其中一个提权漏洞能工作在 Windows 10 上。目前微软尚未对此发表声明。

流行的开源密码破解软件 John the Ripper 释出了 Ripper 1.9.0-jumbo-1。自 1.8.0-jumbo-1 发布以来新版本历经了 4.5 年的开发，包含了 6000+ commits，有两位华裔开发者贡献了超过 80 个 commits。新版一个备受期待的功能是支持 FPGA 破解密码。使用 FPGA 破解密码在多种情况下比使用 GPU破解性价比更高成本更低。FPGA 破解支持七种哈希函数 bcrypt、descrypt （包括 bigcrypt 扩展)、sha512crypt & Drupal7、sha256crypt、md5cryp(包括 Apache apr1 和 AIX smd5 ) & phpass，其中多种是首次实现 FPGA，测试结果显示有的强于 GPU 有点则弱于 GPU。

劫持其他用户帐户的黑客发现自己成为了被劫持的对象。Ogusers.com 论坛的管理员在 5 月 12 日发帖解释了最近的下线事故，称一块硬盘损坏抹掉了过去几个月论坛帖子和私人消息，他已经恢复到了备份，但这个备份日期仅截至 2019 年 1 月。Ogusers 管理员可能不知道的是，在硬盘故障的同时他的网站遭到了入侵。5 月 16 日，竞争对手 RaidForums 的管理员宣布上传了 Ogusers 的数据库供任何人免费下载，“Ogusers 管理员承认了数据损坏，但没有说出网站被入侵，所以我猜我是第一个告诉你们真相的，他没有网站的最新备份我这里有。”泄露的数据库包括了约 11.3 万用户的电子邮件地址、哈希密码、IP 地址和私人消息。已有用户抱怨他们的电子邮件开始收到钓鱼邮件。

知名编程问答社区 Stack Overflow 发布公告，证实过去的周末它遭到了攻击。攻击者在 5 月 11 日获得了其产品的部分访问权限，它发现和调查了访问的范围，修复了所有知道的漏洞，它没有发现客户或用户数据遭到泄漏，在完整调查之后它将提供更详细的信息。Stack Overflow 上的内容基本上都是公开的，受保护的用户数据主要是电子邮件地址或密码，可能还有简历，因为它提供了一个招聘服务。

华硕的更新机制再次被利用在用户 PC 上安装后门。Eset 的研究人员认为这是路由器级别的中间人攻击，攻击者利用了用户 PC 和华硕服务器之间的不安全 HTTP 连接，以及利用了不完整的代码签名去验证所接收文件的真实性。攻击者安装的后门叫 Plead，由间谍组织 BlackTech 使用。去年趋势科技报告 BlackTech 窃取了 友讯科技（D-Link）的证书去签名其恶意程序。上个月 Eset 的研究人员注意到 BlackTech 使用了一种不同寻常的方法将 Plead 植入到用户 PC。内含后门的文件叫 ASUS Webstorage Upate.exe，包含了华硕的更新。ASUS WebStorage 是华硕的云储存服务，没有证据显示它的服务器遭到了入侵，研究人员认为攻击者是通过中间人攻击拦截服务器和用户电脑的 HTTP 连接。研究人员还观察到，感染 Plead 的大部分机构使用了相同的路由器，该型号路由器的管理面板可通过互联网访问，因此一种可能的中间人攻击场景是攻击者纂改了路由器的域名系统。

对于遭到勒索软件攻击的企业和机构，是向攻击者支付赎金还是寻找其它解决方案？支付赎金被认为会鼓励攻击者，被认为是不道德的。但其他解决方案可能会需要花更长的时间耗费更多金钱。ProPublica 披露，两家提供勒索软件解决方案的数据恢复公司被发现是在欺骗受害者，他们所谓的解决方案其实就是支付赎金然后向受害者收取更多的费用，他们还声称能提供其他服务来防止未来的攻击。这两家公司分别是 Proven Data 和 MonsterCloud。报道称，在与受害者进行沟通时这些公司的雇员使用了化名而不是真名。报道指出，虽然比特币交易被认为是匿名的，但他们成功跟踪了四次交易，比特币从 Proven Data 控制的钱包转给了攻击者控制的钱包，这些钱经过多达 12 次转移最后到了伊朗人控制的钱包。

旨在让每个网站都能使用 HTTPS 加密的非赢利组织 Let’s Encrypt 发布了自己的 Certificate Transparency 日志 Oak，它欢迎其他 CA 递交证书日志。该项目得到了 Sectigo 的赞助。Certificate Transparency (CT) 是一个记录和监视证书签发的系统，有助于改进 CA 生态系统和 Web 安全，因此迅速成为关键的互联网基础设施。Let’s Encrypt 决定创建和运作自己的 CT 是出于多个理由：首先是 CT 与该组织让互联网变得更安全和尊重隐私的使命相一致，它相信透明能增强安全，能让人做出深思熟虑的决定；其次是运作一个日志有助于控制其命运，Google Chrome 要求所有的新签发证书递交到两个不同的日志系统，因此 Let’s Encrypt 的运营必须要有多个日志选项；第三是它每天签发超过 100 万个证书，它想要设计一个能优化处理大量证书日志的系统。

安全公司 Red Balloon 披露了被命名为 Thrangycat（甚至还有专门的绘文字）的漏洞。Thrangycat 是思科安全模块 Trust Anchor 一系列设计缺陷导致的，该安全模块被广泛用于思科的企业级路由器、交换机和防火墙产品，它被用于验证引导程序的完整性，防止设备运行修改过的引导程序。该漏洞允许有 root 权限的攻击者通过修改 FPGA 字节流关闭 Trust Anchor 模块的关键功能，从而完全绕过 Trust Anchor。如果把该漏洞和另一个远程命令注入漏洞组合起来，攻击者能远程和持久性的绕过思科设备的安全引导机制，并能阻止 Trust Anchor 未来的更新。思科有数十款产品受到该漏洞的影响，但严重性可能没有我们想象的大，因为攻击者首先需要有设备的 root 权限。

微软又一次不同寻常的向已经终止支持的 Windows XP 和 Windows 2003 释出了安全更新，修复一个据称能像 WannaCry 蠕虫那样快速传播恶意程序的漏洞。漏洞编号 CVE-2019-0708，位于远程桌面服务中，该漏洞也影响仍然支持的操作系统如 Windows 7、Windows Server 2008 R2 和 Windows Server 2008。微软表示它没有观察到该漏洞正被利用的证据，但认为攻击者很快会开发出漏洞利用代码并将其整合到恶意程序中。漏洞不影响到较新的操作系统如 Windows 10、Windows 8.1、Windows 8、Windows Server 2019、 Windows Server 2016、Windows Server 2012 R2 或 Windows Server 2012。

《金融时报》披露，攻击者正利用 WhatsApp 的一个漏洞向目标手机注入以色列公司 NSO Group 开发的先进间谍软件。WhatsApp 是最流行的消息应用之一，在全世界有 15 亿用户。该公司的研究人员是在本月初发现这个缓冲溢出漏洞的，编号为 CVE-2019-3568 的漏洞存在于应用程序的 VOIP 堆栈中，允许攻击者向目标手机号码发送特制的 SRTCP 包实现远程执行代码。在 iPhone 或 Android 设备上该漏洞可以通过 WhatsApp 呼叫功能进行利用。目标不需要接听电话，呼叫记录通常也不会显示在日志里。WhatsApp 公司称它已经在上周五释出的更新中修改了该漏洞。加拿大多伦多大学公民实验室的研究人员称，在WhatsApp 工程师忙于堵上漏洞时有攻击者利用该漏洞针对了一位英国人权律师。对于攻击者利用 NSO Group 的间谍软件，该公司表示正在进行调查。

运行 Drupal、Joomla 或 Typo3 系统的网站需要及时打上补丁。编号为 CVE-2019-11831的漏洞位于 PHP 组件 PharStreamWrapper 中，源于一个路径遍历 bug，允许攻击者用恶意的 phar 归档替换网站的合法相同文件。Drupal 开发者将这个漏洞标记中等危险级别，尽管不是高危，网站管理员还是应该尽可能快的打上补丁。发现该漏洞的安全研究员认为该漏洞属于高危。运行 Drupal 8.7 的网站需要升级到 8.7.1，8.6 或更早版本的网站需要更新到 8.6.16，7 需要升级到 7.67。Joomla 需要升级到 3.9.6。

本周在荷兰阿姆斯特丹举行的 Hack in the Box 会议上，安全研究员 Peter Bosch 和 Trammell Hudson 演示了对英特尔 UEFI 参照实现的新攻击。这种攻击需要物理访问硬件，允许攻击者通过替换含有恶意代码的 SPI 闪存芯片，获得系统的完全的持久的访问权限。这种攻击不太可能成为普遍的危险，但显然可以被情报机构等特殊部门用于设置底层后门发动针对性的攻击。英特尔已经发布了补丁，但给 UEFI 打补丁并不是一件简单的事情。

Advanced Intelligence (AdvIntel) 公司的研究人员透露，名叫 Fxmsp 的组织正在积极销售三家美国杀毒软件公司的源代码和网络访问。它提供了样本作为证据证明其声明是有效的。AdvIntel 的研究总监 Yelisey Boguslavskiy 称他们已经通知了相关公司和美国执法机构。在安全社区 Fxmsp 已经是名声在外，该组织在今年三月透露它能提供美国三家顶级杀毒软件公司的独有信息。它在地下黑客市场销售这些公司软件开发的源代码和网络访问，开价超过 30 万美元。

美国巴尔的摩市政网络 5 月 7 日遭勒索软件攻击后下线。攻击没有影响警察、消防和紧急反应系统，但市政府的其它部门都在某种程度上受到冲击。市政府的首席信息官 Frank Johnson 在新闻发布会上证实，攻击他们的勒索软件是 RobbinHood。逆向工程 RobbinHood 样本的安全研究人员  Vitali Kremez 称，恶意程序在一个系统只针对文件，不会通过网络共享传播。这意味着恶意程序是逐个的部署到机器上的，攻击者需要在部署前已经获得了网络的管理级别的访问权限。市长 Bernard “Jack” Young 表示， IT 部门有备份，但无法简单的替换备份。他说他不希望人们认为他们没有备份。

自称 Shadow Brokers 的神秘黑客组织在 2017 年泄漏了 NSA 黑客工具，相关漏洞利用代码随后被用于发动了 WannaCry 和 NotPetya 勒索攻击。本周一，赛门铁克的研究人员披露，其中两个 NSA 黑客工具在 Shadow Brokers 泄漏前 14 个月就已被 APT 组织用于发动攻击。研究人员表示，他们不知道该黑客组织 Buckeye aka APT3、Gothic Panda、UPS Team 和 TG-0110 是如何获得这些工具的。研究人员猜测一种可能性是黑客逆向工程了 NSA 发动攻击后留下的代码。Buckeye 被认为来自中国。

证书过期是一种常见的问题，但其影响面却可能极其广泛。此类事故频繁发生是因为安装和更新证书是一个乏味的手动过程。证书过期的现象已经有了改善，Let’s Encrypt 和 SSLMate 等 CA 开始提供证书自动更新的方法。但 Firefox 扩展停止工作的事故证明，2019 年证书过期仍然会发生。DNSCrypt 开发者称他们解决了证书过期问题，DNSCrypt 服务器过去几年没有发生任何证书过期的问题。DNSCrypt 项目设计加密 DNS 流量，阻止常见的 DNS 攻击，如重放攻击、观察攻击、时序攻击、中间人攻击和解析伪造攻击。DNSCrypt 的解决方法是证书有效期不应该超过 24 小时，它的 dnscrypt 服务器 docker 镜像每 8 小时轮换证书。即使使用长期证书，它会在证书过期 30 天前开始发出一系列警告信息。

数百使用 Git 托管服务如 GitHub、Bitbucket 和 GitLab 的开发者的私有库遭到黑客清空，攻击者留下了索要赎金的通知，要求在十天内向钱包地址 ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA 支付 0.1 BTC 的赎金，否则会将代码公开。Git 是流行的分布式版本控制系统，开发者通常会在本地留有备份，所以删除托管服务的代码库本身意义不大，但开发者未必会愿意公开他们私有库。部分受害者承认他们使用了弱密码，忘记移除不再使用的旧访问令牌。

戴尔预装在计算机上的工具 Dell SupportAssist 被发现存在漏洞，会让笔记本电脑和 PC 暴露在远程攻击下，黑客可以利用存在漏洞的旧版本用管理员权限远程执行代码。戴尔已经释出了修复补丁，但除非用户立即更新软件否则他们会容易受到攻击。鉴于 SupportAssist 是预装的程序之一，这意味着会有大量用户受到影响。攻击依赖于引诱用户访问一个恶意网页，网页嵌入的 JavaScript 代码可以触发 SupportAssist 下载和运行代码。因为 SupportAssist 具有管理权限，攻击者将具有目标系统的完整访问权限。