各位Buffer早上好，今天是 2019年4月26日星期五。今天的早餐铺内容主要有：安全漏洞可以让攻击者可以从高通芯片中恢复私钥；Facebook可能因数据滥用而面临50亿美元的FTC罚款；Oracle WebLogic爆出零日漏洞；攻击者滥用GitHub服务来托管网络钓鱼工具包；美日联合声明，网络攻击将被视为武装攻击。

安全漏洞可以让攻击者可以从高通芯片中恢复私钥

该漏洞影响高通芯片（用于数亿台Android设备）QSEE模块处理内部数据的方式。QSEE是一个可信执行环境（TEE），类似于英特尔的SGX。去年3月，NCC集团的安全研究员Keegan Ryan发现，Qualcomm实施的ECDSA加密签名算法允许检索在高通处理器的QSEE安全区域内处理的数据。攻击者只要在目标Android设备上获得Root权限即可获取QSEE空间中的数据。

Ryan表示去年就通知高通关于这个严重漏洞的详细信息，高通于本月早些时候发布了固件补丁，这些补丁已经包含在Google的Android 2019年4月安全更新中。但是鉴于很多Android设备厂商在推送补丁时动作十分缓慢，大量的手机用户仍处于巨大的安全风险之中。[来源：zdnet]

Facebook可能因数据滥用而面临50亿美元的FTC罚款

联邦贸易委员会（FTC）对Facebook发起的长达一年的数据安全调查已接近尾声，Facebook可能面临高达50亿美元的罚款。这家社交媒体巨头在周三发布的2019年第一季度财报中表示，它正拨出30亿至50亿美元作为应急费用。

此前，美国参议员罗恩·怀登（Ron Wyden）在一封写给美国联邦贸易委员会（FTC）的信中表示，希望让Facebook首席执行官马克·扎克伯格对该社交网络在隐私问题上所犯的错误“承担个人责任” 。这位民主党立法者写道： “考虑到扎克伯格先生的欺骗性陈述，他对Facebook的个人控制，以及他在批准与共享用户数据相关的关键决策中的作用，FTC可以而且必须让扎克伯格亲自对这些持续的违规行为负责。” 怀登在周二致FTC的一封信中表示。“FTC还必须明确表明，如果发生任何未来的违规行为，将适用于Facebook公司和扎克伯格先生的重大处罚。”[来源：zdnet]

Oracle WebLogic爆出零日漏洞

该零日漏洞会影响所有启用wls9_async_response.war和wls-wsat.war组件的Weblogic版本，包括最新版本。攻击者可以利用此漏洞通过发送特制的HTTP请求，在未经授权的情况下远程执行命令。根据CNCERT/CC发布的CNTA-2019-0015公告，该漏洞会影响WebLogic 10.x和WebLogic 12.1.3版本。甲骨文尚未解决这一关键漏洞。安全专家建议禁用易受攻击的模块“wls9_async_response.war”和“wls-wsat.war”，或禁止在Oracle WebLogic安装中访问URL“/ _async / *”和“/ wls-wsat / *”。KnownSec 404团队的专家通过使用ZoomEye搜索引擎在线搜索易受攻击的实例，发现36,173次攻击尝试，其中大部分在美国和中国。[来源：securityaffairs]

攻击者滥用GitHub服务来托管网络钓鱼工具包

攻击者利用GitHub Pages服务绕过白名单和网络防御，就像“使用大型消费者云存储站点、社交网络和商务服务，如Dropbox、Google Drive、Paypal、Ebay和Facebook“，可以将他们的恶意活动融入合法的网络流量中。研究人员表示，自2019年4月19日起，GitHub封禁了所有被发现参与恶意活动的账户。

正如Proofpoint的研究团队所发现的那样，多个恶意攻击者使用github.io域作为各种恶意活动的一个环节，包括网络钓鱼攻击，这些攻击将受害者引导到GitHub服务上托管的登陆页面。[来源：securityaffairs]

美日联合声明，网络攻击将被视为武装攻击

据外媒报道，日本和美国一致认为，针对日本的网络攻击可以被视为两国安全条约中提及的武装攻击。日本外相河野太郎和防卫大臣岩屋毅在东京于美日联合安全咨询委员会上会见了美国国务卿迈克·蓬佩奥和代理国防部长帕特里克·沙纳罕。后发布的联合声明中提到，将会根据具体情况，通过磋商决定一次网络攻击能否被归为武装袭击。有专家指出，很难界定网络攻击的目标是为了找出电脑安全系统漏洞的反间谍活动，还是攻击整个电脑系统，使其陷入瘫痪状态。

网络攻击包括侵入个人或企业电脑以及更严重的对基础设施的攻击，例如电力公司和金融机构。会议还发布了以在太空和网络空间等防卫新领域强化合作为主要内容的联合文件。文件对太空、网络和有阻碍通信之虞的电磁波这些新领域迅速的技术进步表示关切，将三者定位为有必要采取应对的优先领域。双方还就恶意网络活动构成“进一步威胁”达成共识。[来源：E安全]