VLC 传出了一个高危漏洞，允许远程攻击者执行任意代码，漏洞据称影响最新版本。对这一报道，VLC 开发者公开予以否认，它通过 Twitter 账号澄清，称漏洞存在于第三方库 libebml 中，已经在 16 个月前修复，VLC 从 v3.0.3 起用的是已修复的版本。开发者称他们没有复现问题，在联络发现问题的安全研究人员后，他们发现对方用的是 Ubuntu 18.04，库没有完全更新。开发者称发出 CVE 编号的 MITREcorp 根本没有联系他们去确认问题。这不是第一次 MITREcorp 这么做，事实上当 MITREcorp 在 VLC 中发现安全问题之后它从未联络过 VLC 的开发者，只有在漏洞公开之后，用户或发行商询问他们之后他们才知道。开发者抱怨了媒体和发出 CVE 的安全机构。

VLC 播放器的最新版本曝出了一个远程代码执行高危漏洞，其威胁评分为 9.8/10。远程匿名攻击者可利用该漏洞执行任意代码，导致拒绝服务条件，信息泄露或文件操纵。漏洞编号为 CVE-2019-13615，其利用不需要提权或用户互动。特制的 .MP4 文件据报道能触发漏洞利用。漏洞影响最新版本的 VLC 3.0.7.1，旧版本可能也存在相同问题。VLC 开发者正在加紧制作修复补丁。更新：VLC 开发者否认了这一报道。

自称 0v1ru$ 的黑客组织入侵了俄罗斯情报机构的一家承包商，发现该承包商从事的一个项目是尝试去匿名 Tor 流量。入侵发生在 7 月 13 日，被攻击的公司叫 SyTech，该公司被认为从 2009 年起就在多个项目上与政府进行合作，黑客通过入侵 SyTech 的 Active Directory 服务器访问了整个 IT 网络，窃取了 7.5TB 数据，并纂改了公司的网页。泄露的俄罗斯情报机构秘密项目包括：Nautilus-S，在恶意 Tor 节点帮助下去匿名 Tor 流量；Nautilus，收集社交媒体用户的数据；Reward，秘密渗透 P2P 网络；Mentor，在俄罗斯公司服务器上监视和搜索电子邮件通信；Tax-3，创建一个封闭的内联网去储存高度敏感的政府高管、法官和地方政府官员的信息，与其它 IT 网络分离开来。去匿名 Tor 流量项目始于 2012 年，进行过真实世界的测试。2014 年曾有报告在俄罗斯发现 18 个恶意 Tor 出口节点，都运行相同的版本 Tor v0.2.2.37。

安全公司 ReversingLabs 扫描了 Python Package Index (PyPI) 内的一百多万个库，发现三个后门库。这三个库 libpeshnx、libpesh 和 libari 都来自同一位作者、用户名 ruri12，上传时间是 2017 年 11 月，至今接近两年时间。PyPI 团队在收到通知后就移除了这三个库。三个库都没有描述，其用途难以区别。PyPI 的统计数据显示它们每个月有数十次安装。它的后门机制只在库安装到 Linux 系统后激活，后门允许攻击者向安装这三个库的计算机发送和执行指令。三个库中只有 libpeshnx 的后门是活跃的，其余两个恶意功能的代码是空的。

从 Firefox 70 开始，如果浏览器保存的登录信息出现在已暴露数据库内 Mozilla 将会发出警告。该功能是 Mozilla 与 Have I Been Pwned 网站合作的成果。Mozilla 此前已经推出了使用 Have I Been Pwned 数据的独立服务 Firefox Monitor，它正缓慢整合这项服务和新的密码管理器 Firefox Lockwise 到 Firefox 中。Mozilla 还在考虑通过引入更多增值功能推出付费版本。作为整合的一部分，Firefox 将扫描所有保存的用户名和密码，查询 Have I been Pwned 观察是否出现在泄漏数据库内，如果匹配 Firefox 将会警告用户并建议修改密码。

一位神秘黑客上周末入侵了保加利亚国家收入署，下载了其数据库，然后将下载链接发送给了本地新闻机构。保加利亚内政部已经证实了这起黑客入侵事件。根据黑客透露给当地媒体的信息，他窃取了超过 500 万保加利亚人的个人信息。保加利亚全国人口只有 700 万。黑客从国家收入署下载了 110 个数据库，容量接近 21 GB，黑客分享了 57 个数据库，容量约 11 GB。泄露的信息包括姓名、个人识别号码 ((PINs)、家庭住址和财务收入。大多数信息都是旧的，可上溯到 2007 年，但也发现了较新的数据库条目。在黑客论坛 Instakilla 分享的文件容量约 10.7 GB，包括了 57 个文件夹，与当地媒体收到的数据库一致。

从 7 月 17 日开始，哈萨克斯坦发出通知要求所有设备所有浏览器安装来自政府的 Root CA（qca.kz），这意味着该国 ISP 可以对所有 HTTPS 加密流量发动中间人攻击。HTTP 是明文传输，ISP 可以实时查看传输的内容，可以随时向 HTTP 流量插入信息比如广告；HTTPS 加密了客户端和服务器端之间的连接，使得 ISP 无法获悉传输的内容，但利用 Root CA 它可以伪造证书，解密加密的流量，发动中间人攻击。用户呼吁浏览器开发商如 Mozilla 和 Google 将哈萨克斯坦的 Root CA 加入到黑名单拒绝接受它的证书。已有证据显示，qca.kz 签发了 Facebook 的证书。

Eclypsium 的研究人员披露了联想和技嘉服务器所使用的 BMC 固件发现的漏洞。该漏洞可用于向固件植入恶意程序，使其难以探测或在硬盘格式化后仍然存在。但要利用漏洞，攻击者需要已经拥有管理员权限。漏洞存在于 Vertiv 的 MergePoint EMS 基板管理控制器（BMC）固件内，该产品被用于联想的服务器产品和技嘉的服务器主板。研究人员在 2018 年 7 月报告给了联想，11 月联想释出了补丁；今年 3 月又在技嘉的主板相同固件内发现了漏洞。研究人员发现了两个问题，其一时固件更新前没有执行加密签名检查，因此可被攻击者安装恶意固件；其二是 shell 命令注入漏洞。

微软周三表示，过去一年它警告了上万客户他们的账号成为国家支持黑客的目标。部分用户的账号被成功入侵，大部分则只是被攻击。这些目标大部分是企业账号，只有少数是消费者账号。微软称，来自伊朗、朝鲜和俄罗斯的五个黑客组织最为活跃，其中一个伊朗的黑客组织被称为 Holmium aka APT33，该组织的目标主要是总部位于美国、沙特和韩国的国防、商业航空和石化领域的组织。微软识别的另一个黑客组织是来自俄罗斯的 Strontium aka Fancy Bear 或 APT28，另外三个组织是俄罗斯的 Yttrium，朝鲜的 Thallium 和伊朗的 Mercury。

电子邀请网站 Evite 发布安全通知，承认部分用户账号信息被盗。名叫 Gnosticplayers 的黑客今年四月在暗网销售六家公司的用户数据，其中一家就是 Evite。Evite 在通知中称，恶意活动始于 2019 年 2 月 22 日，它在 4 月才得知系统被未经授权访问，5 月 14 日它得出结论黑客获取了它的一个不使用的数据存储文件，储存了 2013 年之前的用户数据，其中包括姓名，用户名，电子邮件地址，密码，如果用户填入的话还包括电话号码、出生日期和邮箱地址。Evite 称它没有收集社会安全号码或银行账号信息。它已经向受影响的用户发去通知重置密码。

被称为 BXAQ 或 Fengcai 的间谍软件最近引发了广泛关注，它能下载短信、日历、呼叫历史和联络人，还能扫描照片。杀毒软件公司 Avast、 McAfee、Check Point、Symantec 和 Malwarebytes 已经开始将该应用标记为恶意程序。然而，根据 VirusTotal 扫描结果，百度、奇虎、江民、瑞星和腾讯都没有将该软件标记为恶意程序。VirusTotal 是 Google 旗下的恶意程序搜索引擎，它会使用不同的杀毒软件产品扫描上传的可疑文件，然后给出结果。

Firefox 开源分支 Pale Moon 披露它的存档服务器 archive.palemoon.org 遭到入侵，而入侵时间很有可能发生在两年前，入侵者运行脚本感染了所有存档的 Pale Moon 可执行文件。根据文件修改的时间戳，感染发生在 2017 年 12 月 27 日下午 3 点半，入侵细节已经难以判断，原因是服务器在今年 5 月发生过一次数据损坏故障，导致系统日志丢失。受影响的存档是 Pale Moon 27.6.2 以及之前的版本，如果用户从未在存档服务器下载文件，那么应该没有感染恶意程序，如果下载并执行了修改版的文件，那么最好使用杀毒软件进行一次全盘扫描。

安全公司 Check Point 披露有多达 2500 万 Android 设备感染了 Agent Smith 恶意程序。嵌入恶意程序的应用大部分是游戏，主要通过第三方应用商店传播，而 Google Play 也发现了 11 个含有休眠版恶意程序的应用，在官方商店的下载量超过一千万次，Google 已经将它们移除。恶意应用来自于一个中国团队，其合法业务是推广其他中国开发者的应用。攻击者拷贝了流行应用如 WhatsApp 和 Opera，植入恶意代码，这些修改后的应用表面工作正常，但利用用户授予的权限，它们能劫持其它应用展示广告，也可能劫持其它敏感应用如手机银行应用。Google Play 中的休眠版恶意应用能通过嵌入特定关键字的横幅广告激活，比如 infect。Agent Smith 利用的一个漏洞 Google 早在 2017 年就已经修复，但问题是不是每一部 Android 手机都安装了补丁。

今年 4 月，思科 Talos 安全部门的研究人员披露，名叫 Sea Turtle 的网络间谍组织利用 DNS 劫持技术攻击了 40 个不同的组织，在此过程中他们甚至入侵了多个国家级顶级域名系统。黑客的受害者包括了电信公司、ISP 和域名注册商。但最主要的受害者及其最终目标是政府机构，包括外交部、情报机构、军事目标和能源相关组织。管理希腊顶级域名 .gr 和 .el 的机构 CS-Forth 随后承认它遭到了入侵。现在思科 Talos 安全部门披露了新的细节，称入侵者至少到 4 月 24 日仍然维持了对 CS-Forth 网络的访问。Talos 还识别了新的受害者，它们位于苏丹、瑞士和美国。这些目标的 DNS 设置被修改使得攻击者能拦截用户凭证，被攻击的目标属于政府机构、能源公司、智库、非政府组织，甚至还有一个机场。Sea Turtle 依旧非常活跃。

苹果推送了系统更新移除了会议应用 Zoom 安装的 webserver。本周安全研究人员披露了 Zoom 的安全漏洞，它安装的 webserver 被发现会在应用被卸载后继续运行，甚至还能重新安装 Zoom。苹果的发言人称，它推送的更新将确保系统完全移除该 webserver。这是一次静默自动更新，用户不会收到通知会需要采取任何行动。Zoom 是 Mac 平台非常受欢迎的远程会议应用，安装量超过 400 万。

微软安全团队对正在进行中的 Astaroth 恶意程序攻击发出警告。Windows Defender ATP 团队成员 Andrea Lelli 称，当监测到 Windows Management Instrumentation Command-line (WMIC) 工具的使用率突然大幅增加之后，他们感到警钟响起。WMIC 是一个所有 Windows 版本都包含的合法工具，但使用率的突然爆发式增长暗示了恶意程序攻击。微软仔细调查之后发现了利用该工具的 Astaroth 恶意程序攻击。攻击者利用钓鱼邮件引诱用户下载和运行恶意文件，然后使用 WMIC 下载额外的代码，最后下载 Astaroth 木马。

Mac Zoom 客户端曝出一个严重漏洞，允许恶意网站未经用户同意远程激活摄像头。Zoom 提供远程会议软件服务，它有一项神奇功能允许你向任何人发送会议链接（类似 https://zoom.us/j/492468757），接收者在浏览器上打开链接之后就能在本地启动 Zoom 客户端和激活摄像头。安全研究人员好奇 Zoom 是如何实现该功能的，结果发现它的实现存在安全漏洞。漏洞是在 3 月 8 日报告给 Zoom 的，Zoom 在 6 月 21 日释出补丁称漏洞修复，但该补丁被发现很容易绕过。用户卸载 Mac Zoom 客户端问题仍然会存在，因为它在本地安装了一个 localhost web server 去监听端口 19421，而这个 web server 甚至允许重新安装 Zoom 客户端。

一个流行的 Ruby 密码强度检查程序遭到劫持，攻击者将 strong_password 的版本从 v0.0.6 升级到 v0.0.7，嵌入了一个可编辑的 Pastebin 网址。整合 strong_password 的应用会下载和执行 Pastebin 网址中的代码，这意味着攻击者可以根据需要执行任意代码。strong_password v0.0.6 合法下载量有 3.7 万次，不清楚有多少人下载了恶意版本。 RubyGems 已经将恶意版本移除。

Canonical 在 GitHub 的账号周六被入侵。Ubuntu 安全团队在一份声明中称，入侵者使用该账号创建了库和问题等活动，但没有观察到任何修改源代码的指示。该账号已经移除，Canonical 正在调查入侵的范围，它切断了用于构建和维护 Ubuntu 发行版的 Launchpad 基础设施与 GitHub 之间的连接。安全团队表示它将在事故调查完成之后发布新的更新报告。在入侵期间，攻击者创建了 11 个空的库。

HardenedLinux 写道 "2018年至今所谓的区块链行业经历了如火如荼的高速扩张到加密货币价格暴跌后的各种有趣现象，商业的角度只是投机者们追逐下一个泡沫市场的更替，但从自由软件社区和技术的角度，过去30年的自由软件社区经过了大量的去中心化的实践（看看最近刚发布Buster的Debian GNU/Linux社区就是去中心化管理的典范），而随着crypto anarchy社区的早期尝试以及后来的进化，各种密码工程的产物的意义不亚于互联网本身，而加密货币只是其中之一。一方面随着自由软件/固件/硬件社区的黑客们往下不断的深挖和探索( Ring -3和 Ring -4)，另外一方面被调侃成"Someone else's computer"的云计算的普及，两个看似无直接交集的领域产生了一些直接或间接的联系，而分布式账本技术则看似在一夜之间成为了全球的焦点，所有这一切的涌现其背后的复杂性不言而喻。HardenedLinux社区成员基于security-chain项目对未来的去中心化基础架构安全进行了一些探索，去中心化节点之间最为关注的是信任的问题，而我们关注的信任并非业务层面而是机器之间的信任( attestation for secure state)以及机器之间的“隐私”(通信过程的非认证防护体系和可抵赖性)，涉及到了如何整合现代信息安全防御体系中不可或缺的系统安全和密码工程，这是业务层面去中心化应用的坚实基础，否则大规模的应用还是只能依赖于低效的PoW来完成。有兴趣的读者可以关注永久停留在草稿阶段的white paper( ODT版本)以及PoC，希望能对个人，企业带来一些新的启发。高能警告：如果你已经是0ldsk00l hacker，请把这些信息当成bullshit，这不是为你准备的，请直接联系( contact@hardenedlinux.org)帮忙peer review;-)"