*本文中涉及到的相关漏洞已报送厂商并得到修复，本文仅限技术研究与讨论，严禁用于非法用途，否则产生的一切后果自行承担。

各位Buffer早上好，今天是 2019 年 5 月 15 日星期三。今天的早餐铺内容主要有：优衣库称日本购物网站46万账户遭黑客攻击；Facebook未来20年将受美国政府隐私保护监督；SQLite 再被曝 RCE 漏洞；俄罗斯在美国大肆散播5G影响人体健康的负面报道；LG U+ CEO:华为不会对5G基础设施构成安全威胁。

优衣库称日本购物网站46万账户遭黑客攻击

亚洲最大的零售商迅销表示，黑客可能已经获取了旗下优衣库和GU品牌电子商务门户网站大约50万用户的个人信息。该公司周一发布声明称，黑客访问了在迅销的日本购物网站上注册的至少46万个账户。总部位于东京的迅销表示，可能已经获取了用户的个人信息、购买历史记录和部分信用卡号码。黑客攻击发生在4月23日至5月10日，公司仍在调查之中。

迅销称，此事件仅限于日本网站，是一次基于列表的攻击。当客户在多个网站上使用相同的用户名和密码组合时，可能会遭受此类攻击。该公司建议用户更改密码。[来源：Solidot]

Facebook未来20年将受美国政府隐私保护监督

路透社援引消息人士的说法称，社交媒体巨头Facebook即将与美国政府就隐私保护政策和行为达成协议，从而在未来20年的时间里受到监督。此前，Facebook由于涉嫌违反2011年达成的类似协议而受到调查，新协议将解决这项调查。

Facebook与FTC于2011年达成的协议还要求该公司在随后20年中向FTC报告其隐私保护行为。FTC一直在调查关于Facebook以不当方式与剑桥分析分享8700万用户信息的指控。调查重点是这样的数据共享和其他争议是否违反了2011年时达成的协议。[来源：cnBeta]

SQLite 再被曝 RCE 漏洞

思科 Talos 研究人员发现了一个 SQLite 释放后使用漏洞，从理论上来讲可导致攻击者在受影响设备上远程执行代码。Talos 在描述该漏洞 CVE-2019-5018 时表示，“它是存在于 Squlite3 3.26.0 中 window 函数功能的一个释放后使用漏洞。”

SQLite 实现 SQL 的 Windows 函数，而研究员 Cory Duplantis 发现 SQLite 处理函数的方式中包含复用已删除的分区。他指出，“分区删除后，在 exprListAppendList 中复用，从而导致释放后使用漏洞，继而引发拒绝服务。如果攻击者能够在释放后控制该内存，那么就有机会损坏更多的数据，可能造成代码执行后果。”Talos 团队发布详细说明了该漏洞的情况。修复方案较简单：将项目或产品更新至 SQLite 版本3.28，可从 SQLite 网站下载，并将修复方案推送给终端用户。[来源：CodeSafe]

俄罗斯在美国大肆散播5G影响人体健康的负面报道

援引纽约时报报道，俄罗斯利用电视台RT America大肆传播5G网络会导致健康问题的负面新闻报道，试图用这种阴谋论的方式来帮助缩小俄罗斯和美国在5G部署上的差距。

在纽约时报的报道中称，俄罗斯政府的主要宣传工具RT America 电视 台近期集中曝光了5G网络影响健康的报道数量。去年RT America就曾开展过一项关于5G健康影响的宣传活动，但当年的规模有所增加。目前已经有7个相关节目播出，援引了一些有问题的消息来源和科学报道。

纽约时报在报道中解释道，科学家们对这些说法提出质疑，称5G排放比前几代更加安全，因为更高的无线电频率，使数据传输速度更高，不能像低频无线电波那样容易穿透皮肤。 而在美国等西方国家大肆宣传5G不和谐论调的时候，俄罗斯总统普京却表示：“未来几年的挑战是组织普遍接入高速互联网，开始运营第五代通信系统。”[来源：cnBeta]

LG U+ CEO:华为不会对5G基础设施构成安全威胁

LG U+ CEO兼副董事长Ha Hyun-hwoi明确表示，该公司认为在其5G网络基础设施中使用华为设备不会构成任何安全威胁，驳斥了一些议员声称的在网络中使用华为设备会构成安全漏洞风险的观点。

LG U+目前正与华为合作建设5G基础设施。Ha Hyun-hwoi表示，华为已经在西班牙的一家国际认证机构申请了5G网络设备的安全认证。明年评估结果出来之后，公众就能了解到其设备的安全性。[来源：CCTIME]