蓝牙协议曝8个严重安全漏洞，可能影响53亿有蓝牙功能的设备

　　Armis公司的研究员将利用这8个漏洞的攻击命名为BlueBorne。黑客可以利用这些漏洞发起远程攻击，不需要任何用户交互就能接管设备、传播恶意程序甚至进行中间人攻击，接入设备的网络并获取设备的关键数据。

　　只要你的设备打开了蓝牙，并且在黑客设备的蓝牙连接范围内，黑客就能实施攻击，甚至不需要成功连接。

　　研究人员发现，BlueBorne具有蠕虫传播特性，可以像WannaCry一样在世界范围内迅速蔓延，扰乱公司、组织的网络。Armis实验室的研究小组组长Ben Seri表示，在研究这些漏洞时，他们发现可以利用BlueBorne创建一个僵尸网络并安装勒索软件。但他也认为，技术高超的攻击者也很难利用这些漏洞发起全球性的蠕虫攻击，因为同时找到所有具有蓝牙功能的设备、同时针对所有平台发起攻击、并且利用一个被感染的设备自动大范围传播，这三点都很难实现。

　　但是，BlueBorne可被用于网络监听、数据窃取、勒索，甚至利用IoT设备创建类似于Mirai的大型僵尸网络，或者利用移动设备创建类似于WireX的僵尸网络等恶意活动，危害性不容忽视。

　　.NET 0day漏洞被用来传播FinFisher病毒

　　微软在本月安全更新中修补的漏洞之一的一个0day漏洞被黑客用来传播FinFisher恶意软件，目标针对俄语用户。

　　该漏洞由FireEye的研究人员向微软报告，漏洞编号CVE-2017-8759，它影响的是.NET框架中的SOAP WSDL（Web服务描述语言）解析器。攻击者可以利用漏洞远程执行代码，让目标用户打开特制的文档或应用程序。

　　在FireEye观察到的攻击中，黑客利用多个恶意文件利用漏洞，在最终部署有效payload（FinFisher）之前会下载多个组件。

　　微软认为攻击与黑客组织NEODYMIUM有关联，NEODYMIUM去年使用Flash Playe0day漏洞传播FinFisher。

　　今年早些时候，卡巴斯基注意到一个名为“BlackOasis”的中东黑客，通过Microsoft Office零日漏洞（CVE-2017-0199）传播FinFisher恶意软件。FireEye也发现了利用CVE-2017-0199进行的攻击，尽管目前还没有证据支持，但FireEye认为CVE-2017-8759也可能是被其他组织使用。

　　Adobe修复2个Flash Player严重漏洞

　　Adobe本月只修复了两个Flash Player漏洞，不过漏洞都可以进行远程代码执行，并且都被归类为严重。

　　漏洞的编号分别为CVE-2017-11281和CVE-2017-11282，由Google Project Zero的Mateusz Jurczyk和Natalie Silvanovich在Flash Player 26.0.0.151及更早版本中发现。漏洞的成因是内存损坏问题。

　　Adobe表示，目前没有发现漏洞公布前，这两个漏洞被利用的情况。事实上，Adobe和几家科技巨头已经决定在2020年底之前杀死Flash Player。

　　除此之外，Adobe还发布了一些影响Windows版本帮助创作工具RoboHelp的几个漏洞补丁。RoboHelp 2017.0.1和更早版本以及12.0.4.460及更早版本存在XSS漏洞，还有一个中危的未验证的URL重定向问题，可用于网络钓鱼。

　　Check Point研究员：Linux恶意病毒可能在Windows上偷偷运行

　　Check Point研究人员称，Windows 10中的新功能把Linux bash终端融入到了操作系统中，但这可能会导致Windows受到更多恶意软件的攻击。

　　这个新功能被称为Windows子系统Linux（WSL），该功能几个月前在测试版中被移除，会在2017年10月即将推出的Windows 10秋季创作者更新（FCU）中成为正式的功能。

　　简单来说，WSL把Linux命令行shell带到Windows，从而允许用户在Windows系统上运行Linux应用程序。正因为如此，Check Point研究人员认为，Linux平台的恶意软件可能无法被Windows检测出来。

　　安全研究人员认为，即使使用已知的Linux恶意软件，新的攻击技术也可能会被滥用，因为Windows的反恶意软件解决方案无法检测这样的威胁。

　　然而微软表示，由于在Windows上运行Linux应用程序所需的功能在默认情况下被禁用，所以这种攻击造成的风险很低。

　　“经过我们审查评估，这个漏洞为低风险。要进行攻击，系统首先必须启用开发人员模式，然后安装组件，重新启动并安装Windows Subsystem for Linux，才嗯那个生效。默认情况下，开发人员模式未启用。”

　　【行业动态】

　　美国能源部宣布投资5千万美元完善关键能源设施安全性

　　今天能源部（DOE）宣布向美国能源部国家实验室颁发高达5000万美元的奖金，以支持下一代工具和技术的早期研究和开发，从而进一步提高国家关键能源基础设施的安全，包括电力电网和石油天然气基础设施。

　　该部正在努力快速发展和广泛采用工具和技术，这将有助于创造一个更具弹性，更安全，可持续和可靠的电力系统，以满足21世纪及以后的需求。

　　电力系统必须不断发展，应对恶劣天气和网络威胁等各种挑战和机遇、发电类型不断变化、物联网的增长、以及电力基础设施的老化等方面的问题。

　　能源部还宣布了20个网络安全项目，通过创新，可扩展和具有成本效益的网络安全解决方案研究和开发，提高国家电网和石油天然气基础设施的可靠性和弹性。

　　【国内新闻】

　　逾7亿条信息遭泄露，浙江特大侵犯公民信息案判决

　　近日，浙江省松阳县人民法院一审判决一起特大侵犯公民个人信息案，超过7亿条公民信息遭泄露，8000余万条公民信息被贩卖。

　　2016年3月，松阳县公安局接报多起以“猜猜我是谁”方式冒充单位领导实施诈骗的案件。经案件串并，警方发现丽水市范围内共案发28起。后过近一个月侦查，警方成功抓获11名犯罪嫌疑人，现场缴获用于实施诈骗的全国各地公民个人信息16.7万条，涉案金额117万余元。

　　2016年10月，公安机关将涉案人员全部抓获，并当场查获各类公民个人信息2亿余条、银行卡200余套。

　　经法院审理查明，用于违法犯罪的数据源是被告人王某辉和犯罪嫌疑人库某(另案处理)所提供。

　　王某辉于2016年2月入侵某部委医疗服务信息系统，将该系统数据库内的部分公民个人信息导出，并进行贩卖。库某于2016年9月侵入某省扶贫网站，窃取了该系统内数个高级管理员的账号和密码，并下载系统内大量公民个人信息数据进行贩卖。随后，库某将其中一个账号和密码转卖给陈某亮，其下载大量公民个人信息后，又将该数据以及账号和密码贩卖给了台湾等地的诈骗团伙。

责任编辑：韩希宇