罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复 ； 驱动人生被曝利用高危漏洞传播病毒

内容提要：

1. 罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复2. 驱动人生被曝利用高危漏洞传播病毒，半天感染数万台电脑3. 匿名者组织针对银行系统的OpIcarus 2018攻击预警4. 新的Shamoon恶意软件变种针对意大利石油和天然气公司5. 络犯罪分子使用 交 络与恶意软件通信6. ZipRecruiter将用户电子邮件地址暴露给未经授权的帐户7. 新Facebook Bug泄露680万用户照片到第三方应用程序8. 1.2亿巴西纳税人的身份证 码在线泄漏

9. 新型 Android 银行木马可绕过 PayPal 双因素认证窃取用户资金

1. 罗技Options被曝漏洞可招致按键注入攻击，官方发新版软件修复

Logitech Options是罗技官方推出的一款软件，用户可以使用它对罗技鼠标、键盘和触摸板进行自定义。据Threat Post 道，今年9月，谷歌Project Zero的安全研究员Tavis Ormandy发现了这款软件上的一个漏洞，可以招致按键注入攻击。由于罗技没有照惯例在三个月内对此漏洞进行修复，谷歌Project Zero团队在12月11日公开披露了此漏洞。两天后，罗技官方在一则推文中对此事进行了回复，表示新发布的7.00版软件已经对相关漏洞进行了修复。

2. 驱动人生被曝利用高危漏洞传播病毒，半天感染数万台电脑

火绒安全团队发现“驱动人生”旗下多款软件携带后门病毒DTStealer，仅半天时间感染了数万台电脑。该病毒进入电脑后，继续通过“永恒之蓝”高危漏洞进行全 传播（特别是政企单位局域 ），并回传被感染电脑的IP地址、CPU型 等信息。

3. 匿名者组织针对银行系统的OpIcarus 2018攻击预警

疑似匿名者（Anonymous）组织成员Lorian Synaro在推特上 召发起针对全球中央银行 站的攻击行动OpIcarus 2018或OpIcarus 2.0。根据OpIcarus历史记录，OpIcarus首次发起于2016年2月，主要针对全球金融机构（银行）进行持续的拒绝服务攻击，攻击过的目标包括纽约证券交易所，英格兰银行，法国银行，希腊银行，约旦银行和韩国银行等，今年阿尔巴尼亚中央银行、墨西哥中央银行、巴哈马中央银行等央行已经被攻击到拒绝服务，其中巴哈马中央银行中断超过24小时，基于其攻击规模，历次带来的巨大损失，建议金融企业实时关注攻击预警和攻击流量波动。

4. 新的Shamoon恶意软件变种针对意大利石油和天然气公司本周早些时候，意大利石油钻探公司Saipem遭到袭击，大约10％的服务器上的敏感文件被摧毁，主要是在中东，包括沙特阿拉伯，阿拉伯联合酋长国和科威特，还有印度和苏格兰。Saipem周三承认，针对其服务器的最新 络攻击中使用的计算机病毒是Shamoon的变种 – 一种擦除恶意软件的磁盘，用于历史上针对沙特阿美公司和RasGas Co Ltd的最具破坏性的 络攻击，并销毁了超过30,000的数据系统。

5. 络犯罪分子使用 交 络与恶意软件通信

6. ZipRecruiter将用户电子邮件地址暴露给未经授权的帐户

为求职者服务的Tinder ZipRecruiter自2010年以来一直在美国和英国开展业务，该公司声称有700多万活跃求职者，每月有4000万个工作提醒电子邮件订户。 2012年，它帮助10,000名雇主填补了职位空缺，到2017年，这个数字已超过一百万。 但令人印象深刻的增长带来了令人印象深刻的成长痛苦，求职者上传了他们的简历，他们的个人信息以他们可能没想到的方式被分享了出去。在发送给那些“幸运”用户电子邮件中，公司说： 10月5日，我们发现某些本不应该访问简历数据库的雇主用户帐户能够获取包括已将简历提交给我们的一些求职者的名字，姓氏和电子邮件地址的信息。

7. 新Facebook Bug泄露680万用户照片到第三方应用程序

Facebook又搞砸了。Facebook 站上的一个编程错误意外地让1,500个第三方应用程序访问了多达680万用户的未发布的Facebook照片。 Facebook今天悄然宣布，它在其照片共享系统中发现了一个新的API错误，允许876位开发人员访问他们从未在时间轴上共享的用户私密照片，包括上传到Marketplace或Facebook Stories的图像。

8. 1.2亿巴西纳税人的身份证 码在线泄漏

在2018年3月，InfoArmor的安全专家发现了一个错误配置的在线服务器，其中包含1.2亿巴西纳税人识别 码或Cadastro dePessoasFísicas（CPFs）。目前尚不清楚数据在 上暴露时间和访问过这些数据的人数。 专家在Apache服务器上发现了文件index.html_bkp（可能是index.html的备份），这导致Web服务器显示存储在该文件夹中的文件和文件夹列表并下载它们。 该文件夹包括大小从27MB到82GB的数据存档。

9. 新型 Android 银行木马可绕过 PayPal 双因素认证窃取用户资金