各位Buffer早上好，今天是2019年6月11日星期二。今天的早餐铺内容主要有：研究发现，只有5.5%的被发现漏洞曾遭到利用；SandboxEscaper又发布了一个微软0day危急漏洞；Google认为禁止华为使用Android会危及到美国国家安全；微软发布Office漏洞攻击预警；安卓Q手动断开的WiFi将被列入黑名单24小时；人民日报：App别乱动我们的个人信息。

安全资讯早知道，三分钟听完最新安全快讯~

研究发现，只有5.5%的被发现漏洞曾遭到利用

本周发表的一项新研究揭示了在过去10年里发现的安全漏洞中实际遭到利用的数量。

据悉，这项被认为是迄今为止在同类研究中最广泛的研究发现，在2009年至2018年发现的7.6万个安全漏洞中只有4183个安全漏洞遭到利用。

研究人员发现，在公共网站上发布概念验证(PoC)攻击代码与网络攻击尝试之间没有相关性。并表示，2009年至2018年间，在4183个安全漏洞中只有一半的漏洞代码曾出现在公共网站上。这意味着，没有公共PoC并不一定会阻止攻击者利用某些漏洞--一些黑客在需要的时候会利用自己的漏洞。

在外被利用的大多数漏洞都是安全漏洞，它们都具有很高的CVSSv2严重性评分（可以从1到10，其中10分被分配给最危险和最容易遭到利用的漏洞）。对此，研究小组表示：“在所有被利用的漏洞中，将近一半的漏洞CVSS的得分是9分或更高。

研究人员希望，他们这一安全漏洞研究将能帮助企业优先考虑其首先想到的漏洞修补以及那些最有可能遭到攻击的漏洞。[cnbeta]

SandboxEscaper又发布了一个微软0day危急漏洞

SandboxEscaper重新推出了新的0day权限提升代码，这名对微软充满了仇恨的女黑客再次击败了微软4月份发布的针对CVE-2019-0841的补丁，并像往常一样，发布了附带概念验证漏洞利用代码的漏洞，这意味着其它黑客可以快速参考其攻击方法制作恶意软件入侵Windows系统。

不过值得庆幸的是，该漏洞需要在本地计算机上运行代码，无法实现远程攻击，比较有害的地方在于，它允许具有有限权限的黑客获得对受保护文件的完全控制，例如她的演示漏洞中的win.ini。

CERT/CC已确认此漏洞利用适用于运行微软最新安全更新的Windows 10版本1809和1903。自2018年8月以来，SandboxEscaper已经疯狂地发布了9个0day攻击方法。[cnbeta]

Google认为禁止华为使用Android会危及到美国国家安全

以美国国家安全的名义，Google告诉特朗普政府它应该继续向华为提供Android相关服务。

因为出口管制禁令，Google被禁止授权华为使用Google Play等Android核心服务。Google认为这将迫使华为创建Android分支版本，不再包含Google服务（国行版本就是如此），其中之一是自动扫描恶意程序的Google Play Protect。这意味着华为向全世界销售的智能手机将运行没有Google安全功能的Android手机，这将会降低其安全性更容易被入侵。如果美国人向使用这些手机的人发送敏感信息，无论有没有端对端加密，信息都更容易被窃取。因此Google认为美国的国家安全受到了威胁。[ theverge]

微软发布Office漏洞攻击预警

微软(Microsoft)发布警告称，针对欧洲地区的垃圾邮件活动正在利用一个漏洞执行攻击，只要打开附件文件就可能感染用户。

微软称，这是一场针对欧洲地区的主动电子邮件恶意软件运动，散布了带有CVE-2017-11882漏洞的RTF文件，该漏洞允许攻击者自动运行恶意代码而不需要用户交互。

CVE-2017-11882漏洞允许创建RTF和Word文档，一旦打开就自动执行命令。这一漏洞在2017年得到了修补，但微软表示，他们在过去几周再度看到使用此类漏洞的攻击有所增加。根据微软的说法，当附件打开时，它将“执行不同类型的多个脚本(VBScript、PowerShell、PHP等)来下载有效负载。”

微软声明此可执行文件是一个后门，当前配置为连接到一个不再可访问的恶意域。这意味着即使计算机被感染，后门也不能与其命令和控制服务器通信来接收命令。不过，这个有效负载可以很容易地切换为工作负载，因此微软建议所有Windows用户尽快为这个漏洞安装安全更新。[bleepingcomputer]

安卓Q手动断开的WiFi将被列入黑名单24小时

据Android开发者网站信息，Android Q中的一项功能会自动将用户手动断开连接的Wi-Fi网络列入黑名单24小时，在此期间，即便是删掉该网络重新登录，也无法自动连接该网络，直至24小时之后。 

此外，Android Q还包含一个名为“设置面板”的应用程序编程接口（API）。这将允许用户在应用内部执行操作，例如在应用内部开启或关闭诸多连接选项——如Wi-Fi，移动数据或飞行模式等。这意味着用户无需离开应用程序即可进行这些连接更改。[bianews]

人民日报：App别乱动我们的个人信息

5月24日，App专项治理工作组发布的《百款常用App申请收集使用个人信息权限列表》显示，在10大类26项个人信息相关权限中，平均每个App申请收集数目达10项。这些信息很容易落到不法分子手里，成为敲诈勒索等违法犯罪活动的工具。5月28日，国家互联网信息办公室发布《数据安全管理办法（征求意见稿）》（下称《办法》），对公众关注的个人信息安全问题直接回应。

专家表示，《办法》着眼于公众反映强烈的个人信息泄露问题，对“任性”的App立规矩，将对该行业产生重大影响，倒逼网络经营者加强对用户个人信息安全保护。需要说明的是，App不是不能收集用户个人信息，但不能“越界”、过度，不能强制、超范围索要权限。中国消费者协会此前发布的《100款App个人信息收集与隐私政策测评报告》显示，多达91款App列出的权限涉嫌“越界”过度收集用户个人信息。其中，用户位置信息、通讯录信息、手机号码等个人信息是被过度收集或使用的主要内容。此外，用户照片、财产信息、生物识别信息、工作信息、交易账号信息、交易记录、上网浏览记录、教育信息、车辆信息以及短信信息等均存在被过度使用或收集的现象。判断App是否“越界”获取隐私权限的标准应当是App向用户提供的功能是否必须用到相应权限。

而对App的治理涉及市场治理、社会治理、政府监管等多个层次，是一个综合问题。如何平衡好保护与开发利用的关系，这是衡量互联网相关立法和监管质量的重要标准。比较好的做法是既不影响企业技术创新，又能够制止相关歪门邪道行为。这需要各方汇集足够智慧、形成治理合力。[c114]