*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位Buffer早上好，今天是2018年12月18日星期二。今天的早餐铺内容有：罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复；SQLite被曝存在漏洞，所有Chromium浏览器受影响；德国监管机构称没有华为设备后门证据；"早起签到"小程序暗藏诈骗陷阱，交保证金瓜分挑战金；高通赢得中国法院初步禁令，多款iPhone被禁止销售；利用网银APP漏洞非法获利超2800万，6人被刑拘。

罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复

Logitech Options是罗技官方推出的一款软件，用户可以使用它对罗技鼠标、键盘和触摸板进行自定义。

今年9月，谷歌Project Zero的安全研究员Tavis Ormandy发现了这款软件上的一个漏洞，可以招致按键注入攻击。通过此漏洞，应用程序可以打开一个WebSocket服务器。通过这一方式，外部来源可以用最小限度的身份验证，从任意网站访问应用程序。

攻击者可以通过流氓网站向Options应用程序发送一系列命令，更改用户的设置。此外，还可以通过更改一些简单的配置设置，来发送任意击键命令，从而获得访问所有信息的方式，甚至接管目标设备。也就是说，只要用户的电脑处于打开状态，同时这一应用保持在后台运行，理论上攻击者几乎能发起连续访问。

由于罗技没有照惯例在三个月内对此漏洞进行修复，谷歌Project Zero团队在12月11日公开披露了此漏洞。两天后，罗技官方在一则推文中对此事进行了回复，表示新发布的7.00版软件已经对相关漏洞进行了修复。[ithome]

SQLite被曝存在漏洞，所有Chromium浏览器受影响

SQLite被曝存在一个影响数千应用的漏洞，受害应用包括所有基于 Chromium 的浏览器。该漏洞由腾讯 Blade 安全团队发现，允许攻击者在受害者的计算机上运行恶意代码，并在危险较小的情况下泄漏程序内存或导致程序崩溃。

由于SQLite嵌入在数千个应用程序中，因此该漏洞会影响各种软件，包括物联网设备、桌面软件、Web浏览器、Android与iOS应用。如果底层浏览器支持 SQLite 和 Web SQL API，那么将漏洞利用代码转换为常规 SQL 语法也可以通过访问网页等操作远程利用此漏洞。

Chromium浏览器引擎支持此API，这意味着像Chrome、Vivaldi、Opera和Brave等浏览器都会受到影响，而Firefox和Edge由于不支持此 API，因此不受影响。腾讯Blade 研究人员表示，他们在今年秋季早些时候向SQLite团队报告了此问题，对方针对SQLite 3.26.0进行了修复。Chrome 71已经解决了该问题，但是Opera的Chromium版本还没有更新，可能仍旧会受到影响。另一方面，虽然Firefox不支持Web SQL API，不会受到远程利用攻击，但是其自带了一个本地可访问的SQLite ，这意味着本地攻击者可能利用此漏洞来执行代码。[thehackernews]

德国监管机构称没有华为设备后门证据

德国联邦资讯安全局（BSI）对于各国要求抵制中国华为技术公司表达怀疑，BSI局长Arne Schoenbohm表示，对于像禁令这样的重大决定，需要提供证据。他还说，BSI没有掌握这样的证据。

华为被指控与中国情报机构有关联，因此受到各国日益严格的审查，美国、澳洲、日本等国政府禁止使用华为设备建设5G网络。美国已经施压德国，希望他们也加入抵制行列。Schoenbohm指出，BSI专家已经检查来自世界各地的华为产品和零件。[spiegel]

"早起签到"小程序暗藏诈骗陷阱，交保证金瓜分挑战金

最近，一个叫做“早起挑战团”的微信公众号却让一些平时不愿早起的人打破了常规，并在部分人群中迅速流行。

所谓的挑战就是“早起签到”——每名用户只要交一点保证金，每天早上按时用手机签到，就可以瓜分没有签到的人的保证金。保证金门槛不高，10元起步。不仅能督促自己早起，还能赚钱，表面上看，这是个两全其美的，但事实是，嫌疑人却通过修改后台数据和签到规则，在保证金上做手脚，进行诈骗。沙坪坝公安分局刑侦支队二大队队长杨兵表示：“他设置一个黑名单，让你到那个时间段打不了卡，你的这个钱就被扣了。”

据警方查明，此案的涉案资金三千多万元，加盟商达到了上百家，涉及全国20个省市。公开资料显示，运营这个“早起挑战团”的公司去年年底在重庆沙坪坝区注册成立，重庆警方七月底在沙坪坝控制主要嫌疑人和服务器，后台数据显示有超过38万用户，包括学生、职员、家庭主妇等等。目前，全国各地涉案的57名嫌疑人被刑事拘留，部分移送起诉。[中国之声]

高通赢得中国法院初步禁令，多款iPhone被禁止销售

高通公司宣布，中国一家法院已初步裁定，禁止苹果公司在中国市场进口和销售包括iPhone X在内的部分型号手机。

这项禁令是由福州市中级人民法院做出的，案件是由高通于去年年底提出的。

今年早些时候，福州市中级人民法院还曾发布初步禁令，禁止美光(Micron Technology)在中国市场销售包括DRAM芯片在内的26种产品。对于高通这起案件，福州市中级人民法院认为，苹果侵犯了高通的两项软件专利，主要关于在触摸屏上调整照片大小和管理应用程序。

有分析人士称，由于是软件侵权，苹果可能对其软件做出调整，以确保将来可以继续销售受影响的iPhone手机。据悉，受该禁令影响的iPhone机型包括iPhone 6S、iPhone 6S Plus、iPhone 7、iPhone 7 Plus、iPhone 8、iPhone 8 Plus和iPhone X。[cnbeta]

利用网银APP漏洞非法获利超2800万，6人被刑拘

近日，上海警方成功捣毁一个利用网上银行漏洞非法获利的犯罪团伙。

2018年11月26日，松江区某银行工作人员向警方报案称，该行所属的一个账户发生多笔异常交易，造成银行巨额经济损失。

12月6日，经周密部署，警方在多地同步撒网，成功将涉案的主要犯罪嫌疑人马某以及另3名犯罪嫌疑人一举抓获，并当场查获了5套作案工具、现金200余万元，以及大量豪车、名表、奢侈品。

据警方初步查证，马某利用“黑客”技术，长期在网上寻找全国各家银行、金融机构的安全漏洞。今年5月，他发现某银行APP软件中的质押贷款业务存在安全漏洞，遂使用非法手段获取了5套该行的储户账户信息，在账户中存入少量金额后办理定期存款，后通过技术软件成倍放大存款金额，借此获得质押贷款，累计非法获利2800余万元。为了在套现过程中躲避侦查和监管，马某将非法获利的账户存款余额，在某网络直播平台上全部购成点数卡，再折价卖给其他用户。

经进一步侦查，警方还循线抓获了非法出售个人身份信息和银行储户信息的方某某以及倒卖此类信息的邓某某，并对其他倒卖个人信息的犯罪嫌疑人进行布控。目前，警方已将马某、方某某、邓某某等6名犯罪嫌疑人依法刑事拘留，并敦促涉案银行完成了安全漏洞的修复，案件正在进一步侦查中。[网易新闻]