各位 Buffer 早上好，今天是 2018 年 10 月 30 日星期二，农历九月廿二，天气转冷，请各位注意身体健康。今天的早餐铺内容有：2018网购欺诈洞察报告出炉：钓鱼网站数量增加297%；研究人员提出一种用视频缩略图将office武器化的攻击方式；X.Org出现bug导致linux和BSD系统可被获取root权限；研究人员发现DDoS服务租用平台；隐私噩梦？谷歌的多伦多超级AI智慧城市遭到质疑。

2018网购欺诈洞察报告出炉：钓鱼网站数量增加297%

电子商务防欺诈公司Riskified和网络情报公司IntSights本周三发布的联合报告中指出，伪装成电商网站来收集客户信息的冒牌网站数量正在不断增加。

在对过去一年（去年三季度至今年三季度）的数据进行分析后，两家公司发现网购钓鱼网站数量增加了297%。此外在报告中还指出现在这些钓鱼网站制作的越来越精细，看起来和正规购物网站几乎没有区别。IntSight首席执行官Guy Nizan表示：“电商越来越注重通过Facebook、SMS短信、Instagram、Twitter等平台来推广销售，这也给欺诈者提供了可乘之机。通过钓鱼攻击这些黑客收集了大量受害者的信用卡信息，给他们造成了经济上的损失。”[cnbeta]

研究人员提出一种用视频缩略图将office武器化的攻击方式

Cymulate安全公司研究人员设计了一种新的技术，可以利用嵌入到视频中的武器化office文档来达到恶意软件的效果。

攻击者使用了嵌入式代码执行文件来打开Internet explorer download manager，先将html/JavaScript代码嵌入在word文档中，通过编辑document.xml文件将原本视频链接替换为恶意代码，诱使用户点击相应的视频缩略图（一般用在YouTube上），使得攻击者执行嵌入其中的JS代码。

当视频嵌入word文档时，会创建一个HTML脚本，当用户点击文档中的缩略图时，便会通过IE执行其中的代码。该技术使用于office 2016及之前的版本，目前研究人员已通知了微软，但微软并不承认这是一个漏洞。[securityaffairs]

X.Org出现bug导致linux和BSD系统可被获取root权限

一位印度安全研究人员发现X.Org Server软件包中存在一个非常严重的漏洞，影响到了OpenBSD和大多数版本的Linux系统，包括Debian，Ubuntu，CentOS，Red Hat和Fedora。

Xorg X服务器通常用来为硬件和操作系统平台提供图形环境，是一种客户端和用户应用程序之间的中介系统。专家表示，Xorg X服务器存在无法验证或处理具有两个以上命令行的参数，否则会导致低权限用户获取root权限并能够执行恶意代码并覆盖任意文件。

目前该漏洞被编号为CVE-2018-14665，最早在X.Org服务器1.19.0版本中发现，至今已两年有余。[thehackernews]

研究人员发现DDoS服务租用平台

FortiGuard实验室的安全研究人员发现了一种名为“0x-booter”的新型DDoS租用服务，该服务使用泄露的代码构建，打造了一个简洁明了，通俗易懂的使用界面。0x-booter最早在2018年10月17日被发现，其在Facebook上发布的宣传贴表示，他们的服务器具有500Gbps的功率和超过20000个bot。研究人员表示，该服务挂靠在名为Bushido（武士道）的服务器下。虽然DDoS攻击服务已经存在了很长时间，但现在的DDoS攻击则更多的依赖于通过已经受到攻击的设备来驱动攻击。[ securityaffairs]

隐私噩梦？谷歌的多伦多超级AI智慧城市遭到质疑

谷歌母公司Alphabet旗下创新城市部门Sidewalk Labs目前在信息隐私问题上陷入了困境。

因为数据信托首席专家和顾问安·卡瓦吉安（Ann Cavoukian）对隐私数据的收集方式存在顾虑而离开该项目，使得人们针对Sidewalk Labs和城市数据怀疑加深了不少。

原定其将赋予信托批准数据收集在源头上匿名化或“去识别”（de-identified）的权利。这些数据将在Quayside获取，这是一个计划中的智慧社区的第一部分，叫做“Sidewalk Toronto”。谷歌一直坚称，该社区将遵循“隐私设计”，确保在设计过程的每一个环节都考虑到隐私，以在公民权利和创造更智能、更高效和环境友好的生活空间所需要付出的之间取得平衡。然而介于谷歌在广告业务方面的声誉以及他们对数据收集所传递出的模糊信息，多数人对此并不信任。

谷歌Sidewalk Labs部门建议成立一个独立的信托机构来负责监督该社区的所有数据收集。如果任何公司想要建立公民追踪硬件或服务（包括Sidewalk Labs在内），他们首先需要向信托机构递交一个名为“负责任的数据影响评估”（RDIA，Responsible Data Impact Assessment）的申请。一些申请可以“自我认证”，或者快速审批，而另一些申请需要仔细考虑。[cnbeta]