国际资讯

Github造假产业链曝光，花钱就能买Star

Chrome浏览器于2008年9月2日正式发布，距今已经整整10年了。作为10周年庆祝活动的一部分，谷歌发布了面向桌面级、Android和iOS系统的的Chrome 69。 此版本附带了许多新功能，包括新的用户界面设计、更好的密码管理、安全性增强和多种自定义功能。

谷歌产品管理副总裁Rahul Roy-Chowdhury在简单介绍了Chrome 69的更新内容：“今天，为了纪念Chrome的10岁生日，我们推出了几项新功能，包括一些可以使用户更便捷地浏览网页的新设计、一个全新的密码管理器和更加先进的自动保存系统，这样用户就可以更轻松、更安全地完成工作。Chrome的搜索框（Omnibox）也将为用户提供更多信息以便节省时间。”

参考链接：https://www.bleepingcomputer.com/news/google/chrome-69-released-with-enhanced-security-customization-and-design/

声波追踪破解法公布：对手机锁屏密码提出新考验

虽然生物解锁的方式越发丰富了，但无论指纹、刷脸还是虹膜等，都还需要同步设置一个4~6位的PIN码。安全机构发现，破解PIN码有了更省时省力的方法。来自瑞典和英国的安全专家展示了SonarSnoop，顾名思义，就是用声波来记录用户手指在屏幕的操作历史。

这项技术除了要黑掉麦克风，还要借助扬声器从手机中发出人耳听不到的、18kHz和20kHz频率的声波。当然，“黑掉”的前提是手机中由被感染的恶意程序。

参考链接：http://www.freebuf.com/news/183196.html

网络协议分析神器 Wireshark 曝严重漏洞，可崩溃系统

据报道，Wireshark 团队修补了许多可能被利用来强制系统崩溃和 DoS 的严重漏洞。

在思科提供的分析报告中，其表示，CVE-2018-16056、CVE-2018-16057 和 CVE-2018-16058 这三个漏洞有可能对运行版本 2.6.0 到 2.6.2、2.4.0 到 2.4.8 和 2.2.0 到 2.2.16 Wireshark 的用户造成严重干扰。第一个漏洞 CVE-2018-16056 是 Wireshark 的蓝牙属性协议（ATT）解析器组件中存在的漏洞。Wireshark 的 epan/dissectors/packet-btatt.c 源代码文件不验证是否存在特定通用唯一标识符（UUID）的解析器，允许未经身份验证的远程攻击者将精心制作的数据包发送到网络中，从而导致组件崩溃。此外，攻击者可以欺骗用户打开格式错误的数据包，从而导致同样的后果。

第二个漏洞 CVE-2018-16057 是 Wireshark 的 Radiotap 解析器组件中的安全漏洞。组件的源文件中没有足够的绑定检查，可以通过使用格式错误的数据包来利用它，未经身份验证的远程攻击者可以利用此安全漏洞在目标系统上导致 DoS。

另一个漏洞 CVE-2018-16058 是在 Wireshark 音频/视频分发传输协议（AVDTP）解析器中找到的。epan/dissectors/packet-btavdtp.c 源代码文件不正确地初始化数据结构，导致恶意数据包利用系统并造成系统崩溃。

目前已经向公众发布了概念验证（PoC）代码，演示了如何利用这些安全漏洞。

Wireshark 团队承认存在这些安全漏洞，并已发布软件更新解决了问题。Wireshark 的用户应将其软件版本更新到版本 2.6.3、2.4.9、2.2.17 或更高版本，以保护自己免受漏洞利用的风险。

参考链接：http://hackernews.cc/archives/24060

黑客事件

7500台MikroTik路由器被植入挖矿代码和流量转发取

奇虎旗下的安全实验室报告，7500+台MikroTik路由器被植入挖矿代码并将用户流量转发给攻击者指定的IP地址。MikroTik是一家拉脱维亚公司，其产品包括路由器和无线ISP系统。Wikileaks披露的CIAVault7黑客工具ChimayRed涉及到2个MikroTikde漏洞利用，包括Winbox任意目录文件读取（CVE-2018-14847）和Webfig远程代码执行漏洞。研究人员利用蜜罐发现恶意软件正在利用MikroTikCVE-2018-14847漏洞植入CoinHive挖矿代码，启用Socks4代理，监听路由器网络流量。通过对受害者IP分析，俄罗斯受影响最严重。

参考链接：https://www.solidot.org/story?sid=57821

北京2名男子开黑客论坛提供教程被抓:5年获利数万

3月以来，海淀公安分局警务支援大队在工作巡查中，在网上发现多个黑客论坛，该类平台通过收取注册会费的方式吸纳会员。成为会员后能从该论坛下载大量黑客工具和黑客教程，为黑客违法犯罪行为发生提供了很大的便利，社会危害性巨大。对此，海淀警方会同市局网安总队成立专案组，开展专案侦查工作，从黑客犯罪的传播源头入手，相继破获两起通过架设黑客网站传播黑客类犯罪工具的案件，抓获两名犯罪嫌疑人。目前，张某因涉嫌非法利用信息网络罪被海淀检察院批准逮捕，孙某某被海淀公安分局刑事拘留，案件正在进一步侦查中。两位嫌疑人自2013年起就实施架设黑客论坛、非法利用信息网络犯罪行为，5年间获利数万元。

参考链接：http://news.sina.com.cn

Python程序包安装时可能触发恶意代码

Python语言允许用户安装包含在程序中的扩展包以拓展功能。执行程序时，安装包中的代码将按预期执行。但是，很多人都并不知道部分代码也可以作为扩展包本身在安装时直接执行。

GitHub上一位名为mschwager的研究人员演示了一种攻击方法，该方法使用Python模块中的“setup.py”文件，以便在安装包时执行代码。使用此方法，攻击者可以将恶意代码放入可以使用root权限执行的程序包中，但并非所有程序包都需要此级别的权限。

参考链接：https://www.bleepingcomputer.com/news/security/python-package-installation-can-trigger-malicious-code/