2017年9月20日 星期三
馬哥教育新聞快報

導讀：VMware修復嚴重漏洞+谷歌巴西官網(wǎng)遭入侵

每日一句

很多人分不清理想和欲望，理想就是當你想它時，你是快樂的；欲望就是當你想它時，你是痛苦的。

早報內(nèi)容

0.VMware修復多個嚴重SVGA代碼執(zhí)行漏洞
VMware本周發(fā)布補丁修復數(shù)個漏洞，包括一個嚴重漏洞，漏洞涉及的產(chǎn)品包括ESXi, vCenter Server, Workstation和Fusion。
其中這個嚴重漏洞編號為CVE-2017-4924，這是一個SVGA設備中的越界寫入問題，SVGA是通過VMware虛擬化產(chǎn)品實現(xiàn)的舊虛擬顯卡。VMware表示，該漏洞可以讓黑客通過訪客虛擬機在主機上執(zhí)行代碼。
6月22日，Comsecuris UG的Nico Golde和Ralf-Philipp Weinmann通過ZDI向VMware報告了安全漏洞。ZDI的公告中指出，攻擊者必須能夠在guest主機上執(zhí)行低權(quán)限代碼才能利用漏洞。

1.系統(tǒng)清理工具 CCleaner 被植入后門，可能影響 200 多萬用戶
2017年9月18日，有情報披露，著名的系統(tǒng)優(yōu)化工具CCleaner的某個版本被發(fā)現(xiàn)植入后門，大量使用該工具的用戶恐將面臨泄密風險。這是繼Xshell后門事件后，又一起嚴重的軟件供應鏈來源攻擊事件。CCleaner是一款免費的系統(tǒng)優(yōu)化和隱私保護工具。主要用來清除Windows系統(tǒng)不再使用的垃圾文件，以騰出更多硬盤空間，并且還具有清除上網(wǎng)記錄等功能。

2.研究人員發(fā)現(xiàn)新的安卓銀行木馬 Red Alert 2.0
最近，安全研究人員發(fā)現(xiàn)了一種新的 Android 銀行木馬，名為 Red Alert 2.0。據(jù)報道，SfyLabs 的安全研究人員在 Q1 季度時最先在一個俄語黑客論壇上看到這個木馬的廣告。而最近幾周，研究人員逐漸鎖定了第一個受到該木馬感染的應用程序，并追蹤到了用于管理這個木馬的 C＆C 服務器。目前， Google Play 上尚未有感染 Red Alert 木馬的 APP。

3.涉嫌網(wǎng)絡兒童色情的六名罪犯共被判 171 年監(jiān)禁
日前，美國密歇根審理了一起涉嫌兒童色情的案件。六名犯罪嫌疑人因生產(chǎn)、查看兒童虐待圖像；剝削兒童；引誘未成年人從事非法性行為活動等，被累計判處 171 年監(jiān)禁，且大多數(shù)人出獄后還要面臨至少 20 年的監(jiān)管。
據(jù)報道，在 2103 年 11 月 16 日到 2016 年 3 月 10 日期間，這個團伙運行了一個復雜的產(chǎn)業(yè)鏈，他們出沒在兒童集中的網(wǎng)上論壇，逐個引誘受害者進入私人團體聊天，并扮演各種角色騙取兒童信任，最終誘使兒童以進行非法性行為等活動并進行錄像、錄音。隨后，他們會分享、售賣這些音像制品。

4.名為 Kuroi’SH 的黑客入侵了谷歌巴西官網(wǎng)域名
一個名為為 “Kuroi’SH” 的黑客上周入侵了谷歌巴西官方網(wǎng)站，并在頁面上炫耀了自己的成績。Kuroi’SH 宣稱自己是“白帽子加半個灰帽子”，并表示自己還可以控制 Google Paraguay ，只是沒時間。他還表示，這次入侵活動主要是為了證明任何網(wǎng)站都有可能被黑，希望能讓人們重視網(wǎng)絡安全，任何公司如果低估了網(wǎng)絡安全的威脅，都有可能面臨風險。
谷歌巴西官網(wǎng)已經(jīng)確認了此次入侵，并表示網(wǎng)站系統(tǒng)完好沒有被黑：“谷歌系統(tǒng)沒有被黑，可能是 DNS 服務器遭遇攻擊，重定向到了其他網(wǎng)站?！?/p>

5.LiteBit 貨幣交易網(wǎng)站兩個月內(nèi)被黑兩次
LiteBit.eu 是荷蘭的一個多貨幣交易平臺，近兩個月連續(xù)被黑了兩次。根據(jù)該網(wǎng)站向用戶發(fā)布的聲明郵件，目前兩期入侵案件都沒成比特幣或altcoin 的損失，黑客只是竊取了用戶的個人信息（電子郵箱、哈希密碼、銀行賬號、電話號碼、住址等）。

6.女子網(wǎng)上相親被假冒警察騙了20多萬
近日，連云港海州警方抓獲了一名涉嫌假冒警察以及公務員身份進行詐騙的男子，多名女子被其騙財騙色。
其中第一個報案人稱與其也是通過世紀佳緣相親網(wǎng)相識的，結(jié)果沒想到遇到了一個騙子，被騙20多萬。報案的王女士稱，2013年，自己在世紀佳緣征婚網(wǎng)站認識一個名為劉煒的男子，自稱南京人，是連云港的一名公務員。王女士說，雙方交往一段時間后確定了關系。后來，劉煒便以做生意、花錢消災等各種理由騙取王女士20多萬元。

7.Windows 10 將提升用戶的隱私控制權(quán)限
微軟今年秋季即將推出的 Windows 10 Creators Update 將提升消費者的隱私控制權(quán)限。Windows 10 曾因為大量收集用戶數(shù)據(jù)而遭到詬病，因此微軟決定實施一系列數(shù)據(jù)保護措施。Windows 10 Creators Update為用戶提供了更多隱私設置、更新權(quán)限，并且允許用戶選擇在 Microsoft 上共享的數(shù)據(jù)量。微軟在 7 月份曾表示將強制用戶查看其隱私設置并安裝最新更新版本。

8.特斯拉向迪拜交付50輛汽車 將組建無人駕駛出租車隊
北京時間9月20日早間消息，特斯拉十分重視今年早些時候在迪拜和阿聯(lián)酋的發(fā)布活動，他們還在當?shù)睾炗喠艘豁梾f(xié)議，為迪拜的出租車公司提供200輛配備“全自動駕駛功能”的Model S和Model X。
本周，該公司正式交付了其中的50輛汽車，首批將配置在迪拜機場。

9.人民日報評今日頭條：別以技術(shù)之名糊弄網(wǎng)民和群眾
人民日報發(fā)文稱，智能化的信息傳播機制可以快速完成用戶與信息的精確匹配，大大降低獲取信息成本，為生活帶來便利。但換個角度看，算法主導下的內(nèi)容分發(fā)模式，也會帶來“自我封閉”的危險。
人民日報表示，必須承認所謂先進的技術(shù)、精密的算法可能會放大某些消極影響。在社會層面，如果我們都沉浸于自己的“舒適地帶”自怨自憐，就可能進一步縮減理性、開放、包容的公共空間，從而失去在爭議中達成共識的機會。

今日花絮

McAfee：艾薇兒已成“最危險藝人”
網(wǎng)絡安全公司邁克菲(McAfee)今日公布的一份調(diào)查結(jié)果顯示，用戶在網(wǎng)上搜索關鍵字“Lavigne”后，最有可能搜出帶有病毒的網(wǎng)頁，由于此關鍵字與攜帶病毒的網(wǎng)站和惡意軟件關聯(lián)的比例最高，因此被評為“最危險藝人”。邁克菲指出，艾薇兒在2013年推出的專輯中，其名字關鍵詞和專輯名稱已經(jīng)被黑客盯上，當時搜索關鍵字Lavigne時，所彈出的帶毒網(wǎng)站和惡意軟件占所有搜索結(jié)果的14.5%。至今這個數(shù)據(jù)已經(jīng)上升到了22%。