研究人员发现新的 Windows 0-day 漏洞

近日，推特名为 SandboxEscaper 的研究人员披露了一个新的 Windows 0-day 漏洞的 POC，这是他几个月内披露的第三 Windows 0-day 漏洞。这个漏洞是任意文件读取漏洞，可被低权限用户或恶意程序利用，读取目标 Windows 计算机上的任意文件内容。而这一功能原本只能通过管理员权限才能实现，所以也有媒体称之为Windows 系统提权漏洞。漏洞存在于“MsiAdvertiseProduct”函数中，由于存在某些错误，会让安装服务以系统权限复制任意文件，进而读取文件内容。该研究人员发布演示视频后，也在 GitHub 上发布了 POC，但该账号随后被关闭。截至本稿截稿，微软尚未发布修复措施。

参考链接：https://www.zdnet.com/article/researcher-publishes-poc-for-new-windows-zero-day/#ftag=RSSbaffb68

加密货币恶意软件数量过去1年增长4000%

根据McAfee实验室近期公布的最新研究报告，针对加密货币的恶意软件数量在过去一年中增长了4000%。在2018年12月威胁报告中，McAfee指出2018年第一季度针对加密货币矿工的恶意软件数量大幅增长。这一趋势在第二季度似乎略有减少，但在第三季度，环比增长近40％。在过去几个季度中，新型勒索软件的数量有所下降，这表明这些攻击者正转向更有利可图的加密劫持模式（cryptojacking）。

由于普遍缺乏适当的安全控制，类似于IP摄像头等物联网设备和路由器等设备非常容易受到攻击。这些设备虽然没有强大的CPU，但庞大的数量依然可以为黑客带来有价值的回报。在过去两年中，恶意软件总体上已经出现了稳定和可预测的增长，这一趋势没有显示出放缓的迹象。

参考链接：https://www.mcafee.com/enterprise/en-us/assets/reports/rp-quarterly-threats-dec-2018.pdf

Facebook被曝从第三方App收集数据：涉及位置信息

据美国科技媒体CNET报道，Facebook或许一直在收集用户的一些私密信息。德国移动安全公司Mobilsicher在周三发布的报告称，像Tinder、Grindr以及Pregnancy+等Android应用会与Facebook共享用户的一些敏感信息。

报道称，约会档案、健康数据、宗教信仰等其它细节信息都包括在内。BuzzFeed表示，共享的信息还包括用户的广告ID（广告辨识码）。Facebook可以通过用户的广告ID，将第三方应用信息与使用应用的用户挂钩。第三方应用开发者可以利用Facebook提供的软件开发工具包（SDK）来收集这些信息，用户则能通过SDK来登录Facebook。大多数应用开发者认为Facebook获取的信息是匿名的。但是BuzzFeed指出，尽管名字并未纳入在数据中，但是这些信息绝非是匿名的。Facebook会为开发人员提供包括用户在应用上的使用时间以及点击位置等信息。作为信息交换，这家社交网络会通过这些应用来获取数据，然后利用此来投放精准广告。

参考链接：https://tech.sina.com.cn/i/2018-12-20/doc-ihmutuee0988769.shtml

法国数据保护监管机构CNIL向Uber开出46万美元罚单

欧洲各国已经开始进入“围殴”模式，一个接一个地向Uber开出罚单，以惩戒其处理2016年数据泄露的方式。日前，法国的数据保护监管机构CNIL宣布将对Uber开出460000美元（400000欧元）的罚款。因早在2016年，Uber的大规模数据泄露影响了5700万用户，其中包括法国的140万用户。根据CNIL的报告，黑客正使用来自这些泄露数据的登录名和密码连接到Uber的GitHub存储库，然后再设法连接到Uber的亚马逊网络服务帐户并下载用户数据，更夸张的是AWS登录信息以纯文本格式存储在GitHub上，造成严重影响。

参考链接：https://www.cnbeta.com/articles/tech/800641.htm

外交部发言人就美在网络安全问题上的错误言行发表谈话

外交部发言人华春莹21日就美在网络安全问题上的错误言行发表谈话。华春莹表示，12月20日，美方捏造事实、无中生有，在网络安全问题上对中方进行无端指责，以所谓“网络窃密”为由对两名中方人员进行“起诉”。此举严重违反国际关系基本准则，严重损害中美合作，性质十分恶劣，中方对此坚决反对，已向美方提出严正交涉。

她说，中国政府在网络安全问题上的立场是一贯的、明确的。中国是网络安全的坚定维护者，一贯坚决反对并打击任何形式的网络窃密。中国政府从未以任何形式参与或支持任何人从事窃取商业秘密的行为。

华春莹说，长期以来，美国有关部门对外国政府、企业和个人进行大规模、有组织的网络窃密和监听、监控活动，这早已是公开的秘密。美方以所谓“网络窃密”名义对中方进行无端指责，纯属倒打一耙，自欺欺人。中方绝不接受。

“我们敦促美方立即纠正错误做法，停止在网络安全问题上对中方的诬蔑抹黑，撤销对中方人员的所谓起诉，以免对两国关系以及双方在相关领域的合作造成严重损害。中方将采取必要措施坚定维护中国的网络安全和自身利益。”

华春莹说，英国等个别国家也在网络安全问题上发表了诬蔑中国的言论，他们纯属无中生有、别有用心。我们绝不接受，坚决反对。我们敦促这些国家尊重事实，停止对中方的蓄意诬蔑，以免损害他们与中国的双边关系和重要领域合作。

参考链接：http://www.xinhuanet.com//world/2018-12/21/c_1123884189.htm

ACLU 起诉美国 11 家联邦机构 要求政府披露黑客工具使用状况

在联邦调查局（FBI）、移民海关执法（ICE）、禁毒署（DEA）等 11 个联邦机构未能回应《信息自由法案》的信息披露要求之后，美公民自由联盟（ACLU）决定采取进一步的行动 —— 向上述机构发起诉讼。当网络犯罪分子被逮捕时，无人不拍手叫好。但 ACLU 的诉求是，希望上述机构能够披露其使用黑客技术的手段的数量，以及它们是否缺乏应有的监督。

如果只是借助黑客技术来缉拿无情的恐怖分子或毒枭，没人会对这种“道德黑客”行为产生抱怨。然而信息匮乏的公众要怎么做，才能保证联邦机构在此期间不会犯错误呢？

普通民众只在零星的报道中，得知与其相关的信息泄露或法庭文件。比如上月，外媒 Motherboard 拿到了一份文件，其中详细说明了 —— FBI 是如何冒充联邦快递（FedEx）来部署恶意软件，以抓捕诈骗者；以及他们如何假冒新闻机构，欺骗青少年下载恶意软件，以确定其关于炸弹威胁的笑话是否属实。

此外，FBI 也在使用所谓的“水洞”（waterhole）攻击 —— 它们捕获服务器，并使用网络调查技术（NIT），在连接到这些服务器的任何设备上部署恶意软件。如果他们是在一个儿童色情上部署 NIT，相信普通民众是不会反对的；但若超出了适当的界限，或者实施中未受制约，那就令人唏嘘了。

参考链接：http://hackernews.cc/archives/24657