Adobe再出漏洞,一个word文档就能控制电脑【马哥教育新闻快报329期】

各位小伙伴下午好,今天是2018年12月13日,这里是马哥教育新闻快报329期。

本期重点关注:Adobe再出漏洞,一个word文档就能控制电脑

【快报内容】

1.Adobe再出漏洞,一个word文档就能控制电脑

        近日,安全专家再度爆出一个存在于 Adobe Flash Player 中的新的 0day 漏洞,此次发现源于一起针对俄罗斯的医疗保健机构的网络袭击事件。

  该漏洞被编号为 CVE-2018-15982,攻击者可通过漏洞在目标用户的计算机上执行任意代码,最终可取得系统的完全控制权。漏洞最早在一个 Office 的恶意文档中被发现,目前漏洞细节已上传至了 VirusTotal。

  漏洞原理

  该漏洞通过在 word 文档中嵌入一个 Flash Active X 的控件来实现,当用户打开文档时,会触发该漏洞导致 Flash 播放器出现故障。

  但研究人员解释,Office 文件(22.docx)和其中的 Flash 漏洞本身都不包含控制系统的最终有效负载。而真正起到作用的部分反而是隐藏在其中的一个图像文件(scan042.jpg),该文件本身就是一个存档文件,与 word 文档一起打包存在压缩包中,然后通过鱼叉式网络钓鱼电子邮件分发出去。

  用户收到并打开文档后,Flash 漏洞利用程序便会在系统上执行命令来取消归档映像文件并运行恶意程序(backup.exe),该程序收到 VMProtect 的保护,并会自主安装后门程序。随后可获得用户系统中如下权限:

  1. 监控用户活动(键盘或鼠标记录);

  2. 收集系统信息并将其发送至远程命令和控制(C&C)服务器;

  3. 执行 shellcode;

  4. 将 PE 加载至内存中;

  5. 下载文件;

  6. 执行代码;

  7. 自我“毁灭”。

  来自 Gigamon Applied Threat Rearch 的研究人员将该恶意软件命名为“操作毒针”,但目前并没有确定该软件或攻击行为的来源。然而根据此前针对俄罗斯的攻击事件来看,研究人员认为攻击者可能来自乌克兰。

  该漏洞会对 Adobe Flash Player 31.0.0.153 以及其之前的版本产生影响,Google Chrome、Microsoft Edge 以及 Internet Explorer 11 等浏览器均会受到影响,Adobe Flash Player 31.0.0.108 之前版本的安装程序也会受到影响。

  研究人员已于 11 月 29 日将漏洞上报与 Adobe 公司,目前也已发布了针对 Windows、macOS、Linux 和 Chrome 等系统的升级补丁。

2.打车先驱Sidecar起诉Uber:手段卑劣带来今天的垄断!

        北京时间 12 月 13 日早间消息,听说过 Sidecar Technologies Inc 吗?它是按需打车服务的先锋,现在已经死亡。最近,Sidecar 将 Uber 告上法庭,它认为 Uber 借助低价格与反竞争行为将自己逼上绝路。

  周二上午,Sidecar 向旧金山地区法院提交诉状,它说 Uber 拼命压制竞争,一方面派发大量补贴,另一方面将虚假打车请求发给竞争对手,借此达到统治市场的目的。2015 年 12 月 Sidecar 退出竞争,2016 年将资产卖给通用汽车。

  诉讼实际上由 SC Innovations Inc 发起的,Sidecar 结束运营之后变成了 SC Innovations Inc。Sidecar 联合创始人苏尼尔·保罗(Sunil Paul)说,与 Uber 竞争总是充满不公平。

  保罗在博文中感叹:“Sidecar 因为这个原因失败,今天司机和乘客只能接受高昂的价格,选择很少,也是因为这个原因。现在事情已经很明确,Uber 制定的掠夺式反竞争策略凑效了。”

  诉状还说,Uber 高管在幕后捣鬼,将虚假打车请求发送到 Sidecar App。司机被虚假请求欺骗,当他们快要抵达接客点时订单却被取消。诉状称:“这样一来就变成了恶性循环,削弱了 Sidecar App 在 Uber 面前的竞争力。”

  2012 年 Sidecar 推出打车服务,它是第一个让乘客在下单预订之前就能知道价格的打车 App,而且还能让乘客拼车。Uber 于 2009 年成立,2013 年推出低价打车服务。另一家公司 Lyfe 也是 2012 年开始提供服务的。三家公司的总部都在旧金山。

  Lyft 在美国占了 35% 的市场,上周它也申请 IPO。

  Uber 新闻发言人在声明中表示:“打车是一个竞争高度激烈的行业,在过去这么多年里,很多玩家进入退出,比如 Sidecar。并不是所有玩家全都幸存下来。新竞争者出现,价格降低,客户受益,这些都说明竞争是激烈的,而反垄断法要保护的正是竞争。”

  Uber 提交 IPO 文件之后没几天 Sidecar 就发起诉讼,Uber 新闻发言人认为这不是巧合。

  Sidecar 指责 Uber 用福利及其它补贴引诱司机,降低价格,每次接送都是亏钱的。诉讼称:“Uber 故意承受短期亏损,目的就是将 Sidecar 逼走,自己统治市场。”

  2015 年,Uber 乘客只承担 40% 的打车成本,Uber 用融入的钱维持生存。到了 2015 年年底,Uber 已经再私人市场投资融资 69 亿美元,Lyft 也融资 10 多亿美元。Sidecar 只融了 4300 万美元,根本打不起补贴战。

  从 2016 年开始,Uber 不断提价,抬高佣金,支付给司机的每英里费用不断下降,Lyft 也推行相似的策略。

3.谷歌为Chrome新增黑暗模式:预计2019年初上线?

        最近,谷歌在 Chrome 70 版本中重新设计了 Chrome,使它看起来更加圆润,让许多 Chrome 用户觉得非常不舒服,不过谷歌对 Chrome 的改造还没有结束。

  近日,据外媒报道,谷歌正在测试 Chrome 浏览器全新的黑暗模式(即黑色主题),该模式此前曾在 Chromium 上测试过。

Adobe再出漏洞,一个word文档就能控制电脑【马哥教育新闻快报329期】

  目前确定的是谷歌只为 macOS Mojave 的苹果用户提供了该模式,不过 Android 系统和 Windows 系统的黑暗模式可能也正在路上。

  但是该模式尚处于早期测试阶段,甚至连开发版本都没有,预计谷歌可能会于 2019 年初推出该模式。

  Chrome 是目前市面上全球用户数量最多的浏览器,此前,流量监测机构 StatCounter 公布了 6 月份的全球主流浏览器市场份额,Chrome 浏览器全球市场份额为 58.94%,第二位的为苹果的 Safari 浏览器,第三位的是 UC 浏览器。Edge 浏览器市场份额只有 1.94%。

4.三星手机天津工厂月底停产 员工面临“二选一”方案!

        新京报记者从三星中国内部人士处了解到,三星位于天津的手机制造工厂将于 12 月 31 日正式停产。

  此前 5 月 2 日,三星中国曾独家向新京报记者证实,其深圳公司已经撤销,并启动清算程序。

  新京报记者 12 月 12 日下午在位于天津市西青区微电子工业区的三星通信厂区门口采访了几位员工,有员工表示工厂给出了“二选一”方案。记者就此事联系了三星中国方面,至截稿未收到官方回复。

  三星天津工厂员工面临“二选一”

  12 月 12 日 17:00,新京报记者走访三星手机天津工厂时发现,该厂员工还在正常上下班。三星手机天津工厂员工大伟(化名)告诉新京报记者,一直以来工厂传出的消息是要转型或者慢慢消化,过年后可能会有新举措等,给人的希望是很多的。“三星近年来效益不好,我们多少有心理准备,但昨日工厂通知停产。”一位员工告诉新京报记者。

  对于停产之后员工的安置,年轻员工小君(化名)表示,他们被要求进行“二选一”:一是报名转移到另外的三星企业里,二是离职。

  小君告诉记者,目前,三星手机天津给员工转移的可选择余地有:本地附近的三星移动,天津塘沽的三星电机,以及天津武清的三星电池。

  据了解,5 月份三星深圳工厂关闭,员工们获得了数目颇丰的经济补偿。

  “天津和深圳那边做的型号并不一样,而且员工数目上深圳只有约 300 人,但天津有上千人,如果有补偿可能是‘N+1’,但天津很难能获得同深圳一样的补偿。”大伟说。目前补偿方案还没有消息。

  三星继续在天津投资生产动力电池

  新京报记者查询启信宝显示,天津三星通信技术有限公司成立于 2001 年 3 月,属于中外合资,注册资本为 1.04 亿美元。股权结构显示,三星电子株式会社持股 90%,天津市国资委通过天津中环电子信息集团有限公司持股 10%。

  与关闭手机工厂同步的是,三星计划在天津投资动力电池生产线和车用 MLCC(多层陶瓷电容器)工厂等项目,新增投资为 24 亿美元。

  有媒体引述天津开发区管委会办公室副主任李伟华的话称,天津区域内现有 10 家三星系企业,累计投资超过 58 亿美元,占三星在华总投资的近1/5。这些企业 2017 年完成产值 840 亿元,与前两年基本持平,发展态势平稳。

  对于手机工厂关闭,天津市方面认为,目前看即使调整也属正常产品战略调整之举,不会对天津移动通信配套产业链造成直接冲击。据悉,上述两个新项目投产后,合计产值将超过 200 亿元,是三星在天津手机产业产值的一倍以上,同时将提供相关就业岗位。

  看点

  “炸机”事件后三星手机在华节节败退

  过去两年里,三星手机在中国损失巨大。调研机构 Strategy Analytics 数据显示,2018 年第三季度三星在中国的出货量仅为 60 万台,市场份额不足千分之六。

  2016 年 9 月初,全球出现几十例三星 Note 7 电池燃烧的报告,三星电子宣布暂停销售 Note 7 手机。然而,随后的首次全球召回却并不包括中国。直到 10 月 11 日,三星才向中国国家质检总局备案召回计划。

  只有两个月寿命的 Note 7,不仅直接让三星调低了当年三季度的盈利预期,还让其在中国市场一直处于被动。三星补救措施的迟缓让中国消费者在本就竞争激烈的智能手机市场转向其他品牌。Canalys 分析师贾沫表示,Note 7 导致的三星品牌形象受损非常严重,随之而来的销售不利也造成了渠道危机。三星当时并没有太好的办法去解决这个问题,直接导致了现在的颓势。

  2017 年上半年,三星电子曾面向市场发布 Galaxy S8 系列。凭借全球 1900 万台的出货,成为第二季度全球销量最高的 Android 机。然而,在中国市场,机构 Counterpoint 数据显示,三星销量直线下滑,市场占有率从 2016 年的7% 缩水至3%。

  有行业内人士告诉记者,由于销量未达预期,三星电子甚至在中国撤销了七大支社,变为 26 个办事处,并随后陆续裁员。但在这之后发布的 Note 8 也因为售价偏高,而遭遇市场冷淡,甚至价格跳水。

  有行业分析师表示,三星在中国的衰败主要是受到两端的挤压,一方面苹果不断抢食高端市场,另一方面中国品牌崛起向上冲击,并且技术迭代速度更快,而三星自己缺少中端。此外,三星的营销推广并没有跟上新一代消费主力人群,同时在渠道和产品质量上不断失分。

  相关

  三星手机工厂“出走”越南

  新京报记者从多个渠道获悉,三星电子早已将产能开始转向其他更低人工成本的区域,比如越南,而中国区工厂陆续关闭,所剩产能不足三星电子手机全球出货量的 20%。

  5 月 2 日,三星电子中国曾独家向新京报记者证实,其深圳公司已经撤销,并启动清算程序。当时,三星电子副会长李在镕正好在中国出差,而随同人员皆为三星电子中半导体等中高端产业链上游部门的高管。

  进入 8 月,有外媒报道称三星电子正在考虑关闭位于中国的一家智能手机生产工厂。当时媒体给出的一组数据显示,三星电子在越南北宁省和太原省的两个工厂每年产能为 2.4 亿台,而天津工厂年产能为 3600 万台,惠州工厂为 7200 万台。

  一位前三星中国员工告诉记者,天津手机工厂是三星电子在中国最重要的两大工厂之一。目前的状况是销量太低,又不愿意给别的品牌代工生产,所以整体成本居高不下,与之相比,越南工厂的规模正在起来,并且成本更低。

  Canalys 分析师贾沫表示,三星电子越南工厂已经能取代中国成为三星最大的手机生产地。所以这次退出也只是之前迁移的延续。毕竟越南的建厂、人工成本较中国有很大的优势。

  三星电子官网显示,2009 年 4 月投入运营以来,到 2017 年 11 月,三星电子在越南拥有超过 10 万名员工,主要集中在北宁省的 Nen Phong 工业区和太原省的 Pho Yen 区。

  相关新闻

  三星发布新机  合作伙伴遭质疑

  12 月 10 日,三星电子在中国发布了具有黑瞳全视屏功能的 Galaxy A8s 产品。该公司大中华区总裁权桂贤称,“我要告诉大家的是中国三星已经返场,凭借今天发布的产品我们足以与任何品牌一较高下”。

  与以往不同,三星电子试图改变策略推动更多的中价手机,并配备其最新的技术。然而,在这场发布会期间,三星并没有公布售价。与此同时,三星选择了更为年轻的代言人,以及针对女性特别设计的型号。

  不过,这场宣誓回归的发布会却引来非议。原因是三星电子大中华区首席市场官冯恩介绍的合作伙伴“Superme”被指为美国纽约著名街头服装品牌“Supreme”的山寨者。

  三星当时称,双方计划在 2019 年发布第一个合作项目。但很快有中国网民称这家公司并非 Supreme。三星电子大中华区数字化营销高级经理刘磊在微博回应,合作品牌为 Superme 意大利品牌。但随后美国 Supreme 发表声明称,“这些说法是一家假冒伪劣公司的虚假宣传”。

        三星 Galaxy 盖乐世官方微信回应,正在重新评估此次合作。

【今日学习必备】

【Linux面试真题】-在日常管理中,通常CPU会影响系统性能的情况是什么?

A 、CPU已满负荷地运转

B、CPU的运行效率为30%

C、CPU的运行效率为50%

D、CPU的运行效率为80%

正确选项为:_A

【Python面试真题】-解释一下Python的and-or语法

    与C表达式 bool ? a : b类似,但是bool and a or b,当 a 为假时,不会象C表达式 bool ? a : b 一样工作
应该将 and-or 技巧封装成一个函数:

def choose(bool, a, b):
    return (bool and [a] or [b])[0]

因为 [a] 是一个非空列表,它永远不会为假。甚至 a 是 0 或 '' 或其它假值,列表[a]为真,因为它有一个元素。

>【就业喜讯】

【学员喜讯-743期】30岁的运维工程师,给自己一次折腾的机会,事实告诉你,学了马哥的课程,薪资翻了不止4倍!

Adobe再出漏洞,一个word文档就能控制电脑【马哥教育新闻快报329期】

[今日直播]

1、南一博——60分钟揭秘抖音访问加速技术-CDN网络加速(10:30-11:30) 

2、爬虫进阶:学会这一招,薪资+50%-用爬虫分析招聘岗位技术要点(15:00-16:00)

【近期开班】
Linux面授班:2019年3月4日(北京)
Linux网络班:2019年1月19日(网络)
Python面授班:2018年12月24日(北京)
Python网络班:2018年12月29日(网络)



相关新闻

历经多年发展,已成为国内好评如潮的Linux云计算运维、SRE、Devops、网络安全、云原生、Go、Python开发专业人才培训机构!