各位Buffer早上好，今天是2018年12月24日星期一。今天的早餐铺内容有：研究人员发现新的 Windows 0-day 漏洞；加密货币恶意软件数量过去1年增长4000%；Facebook被曝从第三方App收集数据：涉及位置信息；法国数据保护监管机构CNI向 Uber 开出46万美元罚单；外交部发言人就美在网络安全问题上的错误言行发表谈话。

以下请看详细内容：

研究人员发现新的 Windows 0-day 漏洞

近日，推特名为 SandboxEscaper 的研究人员披露了一个新的 Windows 0-day 漏洞的 POC，这是他几个月内披露的第三 Windows 0-day 漏洞。这个漏洞是任意文件读取漏洞，可被低权限用户或恶意程序利用，读取目标 Windows 计算机上的任意文件内容。而这一功能原本只能通过管理员权限才能实现，所以也有媒体称之为Windows 系统提权漏洞。漏洞存在于“MsiAdvertiseProduct”函数中，由于存在某些错误，会让安装服务以系统权限复制任意文件，进而读取文件内容。该研究人员发布演示视频后，也在 GitHub 上发布了 POC，但该账号随后被关闭。截至本稿截稿，微软尚未发布修复措施。[来源：zdnet]

加密货币恶意软件数量过去1年增长4000%

根据McAfee实验室近期公布的最新研究报告，针对加密货币的恶意软件数量在过去一年中增长了4000%。在2018年12月威胁报告中，McAfee指出2018年第一季度针对加密货币矿工的恶意软件数量大幅增长。这一趋势在第二季度似乎略有减少，但在第三季度，环比增长近40％。在过去几个季度中，新型勒索软件的数量有所下降，这表明这些攻击者正转向更有利可图的加密劫持模式（cryptojacking）。

由于普遍缺乏适当的安全控制，类似于IP摄像头等物联网设备和路由器等设备非常容易受到攻击。这些设备虽然没有强大的CPU，但庞大的数量依然可以为黑客带来有价值的回报。在过去两年中，恶意软件总体上已经出现了稳定和可预测的增长，这一趋势没有显示出放缓的迹象。[来源：mcafee]

Facebook被曝从第三方App收集数据：涉及位置信息

据美国科技媒体CNET报道，Facebook或许一直在收集用户的一些私密信息。德国移动安全公司Mobilsicher在周三发布的报告称，像Tinder、Grindr以及Pregnancy+等Android应用会与Facebook共享用户的一些敏感信息。

报道称，约会档案、健康数据、宗教信仰等其它细节信息都包括在内。BuzzFeed表示，共享的信息还包括用户的广告ID（广告辨识码）。Facebook可以通过用户的广告ID，将第三方应用信息与使用应用的用户挂钩。第三方应用开发者可以利用Facebook提供的软件开发工具包（SDK）来收集这些信息，用户则能通过SDK来登录Facebook。大多数应用开发者认为Facebook获取的信息是匿名的。但是BuzzFeed指出，尽管名字并未纳入在数据中，但是这些信息绝非是匿名的。Facebook会为开发人员提供包括用户在应用上的使用时间以及点击位置等信息。作为信息交换，这家社交网络会通过这些应用来获取数据，然后利用此来投放精准广告。[来源： 新浪科技]

法国数据保护监管机构CNIL向Uber开出46万美元罚单

欧洲各国已经开始进入“围殴”模式，一个接一个地向Uber开出罚单，以惩戒其处理2016年数据泄露的方式。日前，法国的数据保护监管机构CNIL宣布将对Uber开出460000美元（400000欧元）的罚款。因早在2016年，Uber的大规模数据泄露影响了5700万用户，其中包括法国的140万用户。根据CNIL的报告，黑客正使用来自这些泄露数据的登录名和密码连接到Uber的GitHub存储库，然后再设法连接到Uber的亚马逊网络服务帐户并下载用户数据，更夸张的是AWS登录信息以纯文本格式存储在GitHub上，造成严重影响。[来源:cnbeta.com/articles/tech/800641.htm]

外交部发言人就美在网络安全问题上的错误言行发表谈话

外交部发言人华春莹21日就美在网络安全问题上的错误言行发表谈话。华春莹表示，12月20日，美方捏造事实、无中生有，在网络安全问题上对中方进行无端指责，以所谓“网络窃密”为由对两名中方人员进行“起诉”。此举严重违反国际关系基本准则，严重损害中美合作，性质十分恶劣，中方对此坚决反对，已向美方提出严正交涉。

她说，中国政府在网络安全问题上的立场是一贯的、明确的。中国是网络安全的坚定维护者，一贯坚决反对并打击任何形式的网络窃密。中国政府从未以任何形式参与或支持任何人从事窃取商业秘密的行为。

华春莹说，长期以来，美国有关部门对外国政府、企业和个人进行大规模、有组织的网络窃密和监听、监控活动，这早已是公开的秘密。美方以所谓“网络窃密”名义对中方进行无端指责，纯属倒打一耙，自欺欺人。中方绝不接受。

“我们敦促美方立即纠正错误做法，停止在网络安全问题上对中方的诬蔑抹黑，撤销对中方人员的所谓起诉，以免对两国关系以及双方在相关领域的合作造成严重损害。中方将采取必要措施坚定维护中国的网络安全和自身利益。”

　华春莹说，英国等个别国家也在网络安全问题上发表了诬蔑中国的言论，他们纯属无中生有、别有用心。我们绝不接受，坚决反对。我们敦促这些国家尊重事实，停止对中方的蓄意诬蔑，以免损害他们与中国的双边关系和重要领域合作。[来源：新华社]