各位Buffer早上好，今天是 2019年4月28日星期日。今天的早餐铺内容主要有：高通近40款芯片被曝出泄密漏洞，可窃取机密信息；Google 封杀中国应用开发商 DO Global；Docker Hub 数据库遭未经授权访问；微软放弃了 60 天密码过期政策；新报告称微软Office平台已成网络攻击的一大受害者；泄露公司源代码造成超百万损失，大疆前员工被罚20万、获刑半年。

高通近40款芯片被曝出泄密漏洞，可窃取机密信息

英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞，可用来窃取芯片内所储存的机密资讯，并波及采用相关芯片的Android装置，高通已于本月初修补了此一在去年就得知的漏洞。此一编号为CVE-2018-11976的漏洞，涉及高通芯片安全执行环境（Qualcomm Secure Execution Environment，QSEE）的椭圆曲线数码签章算法（Elliptic Curve Digital Signature Algorithm，ECDSA），将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

NCC Group早在去年就发现了此一漏洞，并于去年3月知会高通，高通则一直到今年4月才正式修补。根据高通所张贴的安全公告，CVE-2018-11976属于ECDSA签章代码的加密问题，将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞，而且影响超过40款的高通芯片，可能波及多达数十亿台的Android手机及设备。[来源：eetop]

Google 封杀中国应用开发商 DO Global

BuzzFeed News 上周公布的调查发现，中国应用开发商 DO Global/DU Group 开发的多款流行应用存在广告欺诈和滥用用户权限的问题。DO Global 自称其全球用户超过 10 亿，它去年从百度剥离出来成为独立公司，百度仍然持有 34% 的股份。它的至少六个应用存在欺诈性广告点击的问题，这些应用在 Google Play 的下载量超过了 9 千万。这六个应用已经下架，但现在 Google 采取了更严厉的行动，从其应用商店封杀了 DO Global，下架了其应用。在这之前，该公司开发的大约 100 款应用安装量超过 6 亿次。除此之外，Google 的 AdMob 广告平台也封杀了 DO Global。[来源：solidot]

Docker Hub 数据库遭未经授权访问

Docker 向用户发去通知：Docker Hub 的一个数据库在 4 月 25 日被发现遭到未经授权访问。在发现之后他们立即采取措施进行干预并确保网站安全。在短暂的数据库未经授权访问期间，大约 190,000 账号的敏感数据暴露，部分用户泄露了用户名、哈希密码、用于 Docker 自动构建的 Github 和 Bitbucket 令牌。Docker 已经要求受到影响的用户改变密码，撤销了 GitHub 令牌和访问密钥。Docker Hub 是一个分享预配置 Docker 镜像的仓库，预配置的镜像可以节省管理员的设置时间。类似的供应链攻击正日益猖獗。[来源：solidot]

 微软放弃了 60 天密码过期政策

微软在几年前公布了一项安全基线配置，其中要求 60 天强制更新密码。但在最新的 Windows 10 version 1903 和 Windows Server version 1903 的安全基线配置草案中，这一要求被放弃了。密码过期政策的用意是好的，但在现实中，它却会导致系统更不安全，因为用户不喜欢每过 60 天就要记一个新密码，因此他们通常会选择一个容易记住的弱密码，然后在后面添加 1，2，3 或 4，这种密码组合很容易被暴力破解。在 GPU 等加速计算组件的帮助下，暴力破解密码是非常迅速的。在理想情况下，多要素验证而不是频繁更换密码更有利于保护系统安全。[来源：solidot]

新报告称微软Office平台已成网络攻击的一大受害者

一份新报告指出，作为市面上最受欢迎的生产力工具之一，拥有大量用户基数的 MS Office，已经成为了黑客攻击的一个重要目标。在 2019 年度会议上，卡巴斯基实验室表示，其捕获的攻击中，有 70% 是针对“Microsoft Office”产品服务的，另有 14% 为面向浏览器的攻击。据研究人员透露：“过去两年里，针对 Office 平台的攻击有所增加，迫使用户需要将软件保持在最新状态。此外，黑客之所以瞄准该平台，是因为它提供了对不同类型的文件格式的支持、并且根植于 Windows 系列操作系统。”[来源：cnbeta]

泄露公司源代码造成超百万损失，大疆前员工被罚20万、获刑半年

深圳法院近日对大疆源代码泄露案做出一审判决，综合考虑犯罪情节以及自愿认罪、有悔罪表现，以侵犯商业秘密罪判处大疆前员工有期徒刑六个月，并处罚金20万人民币。据悉，这些泄露出去的代码，已用于该公司农业无人机产品，具有实用性。尽管大疆公司采取了合理的保密措施，但该次事件依然给大疆造成经济损失116.4万元人民币。根据深圳市人民检察院披露的内情，2017年安全研究员Kevin Finisterr在大疆的网络安全方面发现了一个非常严重的漏洞。这个漏洞能让攻击者获取到SSL证书的私钥，并允许他们访问存储在大疆服务器上的客户敏感信息，这使得大疆的所有旧密钥毫无用处，从而可能导致大疆服务器上的用户信息、飞行日志等私密信息能被下载。经过大疆公司的调查，这个漏洞是大疆的一名前员工通过一个计算机指令，将含有公司农业无人机的管理平台和农机喷洒系统两个模块的代码上传至GitHub网站的“公有仓库”，造成了源代码泄露。[来源：sohu]