罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复

Logitech Options是罗技官方推出的一款软件，用户可以使用它对罗技鼠标、键盘和触摸板进行自定义。

今年9月，谷歌Project Zero的安全研究员Tavis Ormandy发现了这款软件上的一个漏洞，可以招致按键注入攻击。通过此漏洞，应用程序可以打开一个WebSocket服务器。通过这一方式，外部来源可以用最小限度的身份验证，从任意网站访问应用程序。

攻击者可以通过流氓网站向Options应用程序发送一系列命令，更改用户的设置。此外，还可以通过更改一些简单的配置设置，来发送任意击键命令，从而获得访问所有信息的方式，甚至接管目标设备。也就是说，只要用户的电脑处于打开状态，同时这一应用保持在后台运行，理论上攻击者几乎能发起连续访问。

由于罗技没有照惯例在三个月内对此漏洞进行修复，谷歌Project Zero团队在12月11日公开披露了此漏洞。两天后，罗技官方在一则推文中对此事进行了回复，表示新发布的7.00版软件已经对相关漏洞进行了修复。

参考链接：https://www.ithome.com/0/400/704.htm

SQLite被曝存在漏洞，所有Chromium浏览器受影响

SQLite被曝存在一个影响数千应用的漏洞，受害应用包括所有基于 Chromium 的浏览器。该漏洞由腾讯 Blade 安全团队发现，允许攻击者在受害者的计算机上运行恶意代码，并在危险较小的情况下泄漏程序内存或导致程序崩溃。

由于SQLite嵌入在数千个应用程序中，因此该漏洞会影响各种软件，包括物联网设备、桌面软件、Web浏览器、Android与iOS应用。如果底层浏览器支持 SQLite 和 Web SQL API，那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。

Chromium浏览器引擎支持此API，这意味着像Chrome、Vivaldi、Opera和Brave等浏览器都会受到影响，而Firefox和Edge由于不支持此 API，因此不受影响。腾讯Blade 研究人员表示，他们在今年秋季早些时候向SQLite团队报告了此问题，对方针对SQLite 3.26.0进行了修复。Chrome 71已经解决了该问题，但是Opera的Chromium版本还没有更新，可能仍旧会受到影响。另一方面，虽然Firefox不支持Web SQL API，不会受到远程利用攻击，但是其自带了一个本地可访问的SQLite ，这意味着本地攻击者可能利用此漏洞来执行代码。

参考链接：https://thehackernews.com/2018/12/sqlite-vulnerability.html

德国监管机构称没有华为设备后门证据

德国联邦资讯安全局（BSI）对于各国要求抵制中国华为技术公司表达怀疑，BSI局长Arne Schoenbohm表示，对于像禁令这样的重大决定，需要提供证据。他还说，BSI没有掌握这样的证据。

华为被指控与中国情报机构有关联，因此受到各国日益严格的审查，美国、澳洲、日本等国政府禁止使用华为设备建设5G网络。美国已经施压德国，希望他们也加入抵制行列。Schoenbohm指出，BSI专家已经检查来自世界各地的华为产品和零件。

参考链接：http://www.spiegel.de/netzwelt/netzpolitik/5g-netzausbau-bsi-spricht-sich-gegen-huawei-boykott-aus-a-1243708.html

“早起签到”小程序暗藏诈骗陷阱，交保证金瓜分挑战金

最近，一个叫做“早起挑战团”的微信公众号却让一些平时不愿早起的人打破了常规，并在部分人群中迅速流行。

所谓的挑战就是“早起签到”——每名用户只要交一点保证金，每天早上按时用手机签到，就可以瓜分没有签到的人的保证金。保证金门槛不高，10元起步。不仅能督促自己早起，还能赚钱，表面上看，这是个两全其美的，但事实是，嫌疑人却通过修改后台数据和签到规则，在保证金上做手脚，进行诈骗。沙坪坝公安分局刑侦支队二大队队长杨兵表示：“他设置一个黑名单，让你到那个时间段打不了卡，你的这个钱就被扣了。”

据警方查明，此案的涉案资金三千多万元，加盟商达到了上百家，涉及全国20个省市。公开资料显示，运营这个“早起挑战团”的公司去年年底在重庆沙坪坝区注册成立，重庆警方七月底在沙坪坝控制主要嫌疑人和服务器，后台数据显示有超过38万用户，包括学生、职员、家庭主妇等等。目前，全国各地涉案的57名嫌疑人被刑事拘留，部分移送起诉。

参考链接：http://tech.cnr.cn/techgd/20181217/t20181217_524451947.shtml

利用网银APP漏洞非法获利超2800万，6人被刑拘

近日，上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙。

2018年11月26日，松江区某银行工作人员向警方报案称，该行所属的一个账户发生多笔异常交易，造成银行巨额经济损失。

12月6日，经周密部署，警方在多地同步撒网，成功将涉案的主要犯罪嫌疑人马某以及另3名犯罪嫌疑人一举抓获，并当场查获了5套作案工具、现金200余万元，以及大量豪车、名表、奢侈品。

据警方初步查证，马某利用“黑客”技术，长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月，他发现某银行APP软件中的质押贷款业务存在安全漏洞，遂使用非法手段获取了5套该行的储户账户信息，在账户中存入少量金额后办理定期存款，后通过技术软件成倍放大存款金额，借此获得质押贷款，累计非法获利2800余万元。为了在套现过程中躲避侦查和监管，马某将非法获利的账户存款余额，在某网络直播平台上全部购成点数卡，再折价卖给其他用户。

经进一步侦查，警方还循线抓获了非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某，并对其他倒卖个人信息的犯罪嫌疑人进行布控。目前，警方已将马某、方某某、邓某某等6名犯罪嫌疑人依法刑事拘留，并敦促涉案银行完成了安全漏洞的修复，案件正在进一步侦查中。

参考链接：https://c.m.163.com/news/a/E381PSSO0001875P.html?spss=wap_refluxdl_2018

美国弹道导弹防御系统充满安全漏洞

据报道，美国弹道导弹防御系统技术信息所在设施的机密网络易受大量内部和外部网络攻击，其中安全问题包括多因素身份验证不统一、传输数据不总是加密、潜伏着上世纪的网络漏洞、缺乏对可移动存储媒介的机密数据监控、缺乏入侵检测和防病毒功能。

根据美国国防部监察长的说法，弹道导弹防御系统技术信息所在设施的机密网络易受大量内部和外部网络攻击。

在上周，美国国防部发布了一份经过大量修订的评估报告（https://media.defense.gov/2018/D ... /DODIG-2019-034.PDF）。报告称，处理、存储、传输机密和非机密弹道导弹防御系统（BMDS）技术信息的网络都存在安全漏洞，包括缺乏最基本的安全措施，比如安装防病毒软件。其中所涉及的“技术信息”是指军事、空间研究、工程数据、工程图纸、算法、条例、技术报告、源代码等信息。总体而言，美国国防部发现了许多问题，首先是网络管理员和数据中心管理人员并未统一使用多因素身份验证来访问BMDS数据; 传输时数据不总是加密的；并且还发现了潜伏在系统中的几个未修补的已知网络漏洞，包括20世纪90年代的漏洞; 缺乏对可移动存储媒介的机密数据监控; 缺乏入侵检测和防病毒功能。

国防部在报告中指出，“我们已经忘记了其中的利害关系。对手的远程导弹攻击的威胁越来越大，需要有效实施系统安全控制，不能让攻击者利用漏洞对BMDS技术信息进行窃取。“

此外，还没有要求书面证明作为获得和提升用户的系统访问的条件。报告指出：“限制对具有任务相关需求的用户访问BMDS技术信息的权限，可以降低有意或无意披露与国家安全至关重要数据的风险。”

国防部承认这是“非统计样本”，可能需要官方发布更多信息才能全面了解其中的问题，官方对104个基础设施进行了审计，不过报告只对其中五个设施进行了披露  。Tripwire安全研究和开发总监Lamar Bailey补充说“尽管调查结果令人担忧，但它并不像最初看起来那么糟糕，因为这审计的五个设施中没有发现任何重大安全问题。”

参考链接：https://www.t00ls.net/articles-49045.html