卡巴斯基：70% 黑客事件瞄准 Office；苹果高通大战开庭

(给技术最前线加星标，每天看技术热点)

转自：开源中国、solidot、cnBeta、腾讯科技、快科技等

【技术资讯】

0、卡巴斯基报告：70% 的黑客攻击事件瞄准 Office 漏洞

据美国科技媒体ZDNet援引卡巴斯基实验室报告称，黑客最喜欢攻击微软Office产品。 在安全分析师峰会（Security Analyst Summit）上，卡巴斯基表示，分析卡巴斯基产品侦测的攻击后发现，2018年四季度有70%利用了Office漏洞。而在2016年四季度，这一比例只有16%。

黑客瞄准的不同平台比例

卡巴斯基还说，利用最多的漏洞没有一个来自Office本身，大多存在于相关组件。例如，CVE-2017-11882和CVE-2018-0802是两个经常被黑客利用的漏洞，它影响了微软数学公式编辑器（Equation Editor）组件。卡巴斯基称：“分析2018年利用最多的漏洞，我们可以确认一点：恶意软件作者偏爱简单、符合逻辑的Bug。”

正因如此，数学公式编辑器中存在的漏洞CVE-2017-11882、CVE-2018-0802才会成为Office利用最多的漏洞，因为它们很可靠，在过去17年发布的所有Word版本中都能用。还有，用这两个漏洞完成开发不需要什么先进技术。

即使漏洞不会影响Office及其组件，也可以通过Office文档完成。例如，CVE-2018-8174是一个存在于Windows VBScript引擎的漏洞，当我们处理Office文档时，Office App会用到Windows VBScript引擎。

还有CVE-2016-0189和CVE-2018-8373漏洞，它们存在于IE脚本引擎，可以通过Office文档调用漏洞，我们要用IE脚本引擎处理Web内容。

1、Chrome 75 开始：网站将无法确认用户是否启用“隐身模式”

当用户启动谷歌Chrome的隐身模式（或称无痕模式）时，网站将无法保存任何浏览历史、Cookies或搜索记录，以保护个人隐私。但援引外媒9to5Google今年2月报道，网站程序员可以通过Chrome的“文件系统API”（FileSystem API）得知用户是否“隐身”。据悉该API于2010年推出，在隐身模式下该API就会被禁用。

在即将推出的Chrome 75稳定版中，谷歌将会解决这个问题。当网站要求用户的访问资料时，Chrome会创建一个虚拟的文件系统。一旦关闭隐身模式的视窗，这些资料也会被清除，不留任何痕迹，程序员也无法追踪用户是否使用隐身模式。

2、IE 0day 漏洞被用于窃取数据

安全研究员 John Page 披露了一个 IE 0day 漏洞，该漏洞允许远程攻击者利用 IE 提取本地文件。漏洞利用不需要用户打开 IE 浏览器，只需要你的 Windows 设备安装了 IE，这意味着大部分 Windows 机器都受到影响，即使用户不再用 IE。

攻击者利用了 .MHT 文件格式的漏洞，.MHT 被 IE 用于 Web 存档，而大部分现代浏览器已经不使用 .MHT 格式，因此当用户尝试打开一个.MHT 文件，Windows 操作系统会默认使用 IE 打开。为了利用该漏洞，用户需要打开从电邮、消息应用等接收到的 .MHT 附件。微软目前还没有释出修复补丁，何时修复还是未知之数。

【业界资讯】

0、苹果高通大战开庭：专利大战有望画句号

当地时间周一，苹果与高通一场关键专利诉讼在圣地亚哥开庭，而庭审结果或将为两者之间为期两年的专利战画上一个句号。两年来苹果公司和高通一直就iPhone手机上所采用技术的专利授权问题在全球各个法庭打打闹闹，但双方都没有伤及元气。但随着当地时间周一苹果与高通一场关键诉讼在圣地亚哥开庭，这一情况可能会发生改变。

在该起诉讼中，联邦陪审团将首次决定高通的商业模式是否合法，以及苹果是否有权停止为该技术支付相关费用。

任何一方的彻底胜利都可能迫使输家做出让步，从根本上解决这场在北美亚洲欧洲引发数十起诉讼的法律冲突。此次庭审结果是如此重要，预计苹果首席执行官蒂姆·库克(Tim Cook)将被传唤为公司的业务进行辩护，并解释苹果业务与高通的关系。这将是库克第一次出庭公开进行辩护。

从苹果的角度来说，现金赔偿对于拥有约2450亿美元现金流的苹果来说都是九牛一毛。而另一方面，如果圣地亚哥的陪审团判定高通滥用其市场主导地位，从手机制造商收取过高的许可费用，高通可能会要求其放弃这种商业模式。目前高通根据每部智能手机的售价来收取专利许可费用，甚至高达手机净销售额的5%。

1、北斗导航预计 2020 年服务覆盖全球

据深圳商报报道，在昨日举行的第二届“北斗之星”创新创业大赛上，中国卫星导航定位协会副会长、秘书长张全德表示，“2018年，北斗三号系统进入全球组网密集发射期，服务于‘一带一路’沿线国家和地区，预计2020年服务范围覆盖全球。”

张全德还称，“北斗应用在交通运输、精准农业、海洋监测、城市综合安防和智慧城市建设等主要细分市场的规模，将有望超过2万亿元。未来三年将是北斗产业高速发展的时期。”

据悉，北斗系统是我国自主建设、独立运行，与世界其他卫星导航系统兼容共用的全球卫星导航系统，可在全球范围，全天候、全天时，为各类用户提供高精度、高可靠的定位、导航、授时服务。

2018年12月27日，北斗三号基本系统完成建设，开始提供全球服务，正式迈入全球时代。也成为继美国GPS、俄罗斯GLONASS、欧洲伽利略后的第四套成熟的卫星导航系统。

到2035年，还将建成以北斗为核心，更加泛在、更加融合、更加智能的综合定位导航授时(PNT)体系，以更强的功能、更优的性能，服务全球。

目前，北斗定位精度水平10米、高程10米，测速精度0.2米每秒，授时精度20纳秒(以上均为95％置信度)，系统服务可用性优于95％。其中在亚太地区，北斗定位精度水平5米、高程5米，置信度95％。

2、英国考虑禁止未成年人点“赞”

根据英国数据监管机构的一项提议，它考虑禁止社交网站如 Facebook 和 Instagram 允许未成年人对帖子点“赞”。英国信息专员办公室认为，点“赞”之类的工具是鼓励用户分享更多个人数据，花更多时间在应用上。为了确保执行其规定，信息专员办公室还要求在线服务采用严格的年龄验证。它还建议互联网公司默认设置隐私级别为高；每次会话之后默认关闭位置跟踪，位置跟踪激活时有明显提示；明确是非有父母控制功能正在使用，等等。

觉得这些资讯有帮助？请转发给更多人

关注 技术最前线 加星标，看 IT 要闻

喜欢就点一下「在看」呗~