截至今天，华为被美国商务部列入“实体清单”已经60天了，也就是说对华为的制裁持续了整整2个月，不过G20会谈之后美国方面宣布部分解禁，美国企业可以继续向华为出售产品，但只限于不影响美国国家安全的产品。放松制裁之后，美国商务部宣布美国企业可以申请向华为出口的许可证， 对于解禁范围，他强调华为仅可以购买“其它国家同样广泛销售的美国芯片产品”，否认这是“大赦”，表示国家安全仍然是最重要的考虑因素。 对于解禁，华为方面之前也表达了官方态度——在上周的2018年可持续发展发布会上，华为董事长梁华表示“美国不应该只是放松管制，应该取消实体清单禁令。”...

三年半前，外媒The Verge的编辑Sean Hollister亲眼见证了安全专家Marc Newlin在不物理接触设备、甚至不需要知道IP地址的情况下，利用罗技无线鼠标上的小型USB收发器触发几行代码，就可以实现全格硬盘、安装恶意程序等一系列操作，更糟糕的是整个操作就像物理访问该电脑一样。 然而本周早些时候，安全专家Marcus Mengs表示罗技的无线Unifying dongles实际上依然存在漏洞，非常容易受到黑客的攻击。当用户配对新的鼠标或者键盘时候，就有机会入侵你的电脑。...

北京时间7月15日早间消息，根据路透社看到的立法草案副本，一项阻止大型科技公司作为金融机构运作且禁止其发行数字货币的提案，已经分发给众议院金融服务委员会占据多数席位的民主党进行讨论。 在Facebook公司提出天秤币引起广泛反对之后，该法案提出对违规企业处以每天100万美元的罚款。 但这样一个全面的提议可能会招致热衷创新的共和党成员的反对，而且该法案可能很难在众议院获得足够的票数。...

据《纽约时报》报道，全美超过225位市长支持一项不向黑客支付赎金的决议。这项名为“反对向勒索软件攻击犯罪者付款” 的决议指出，市长们应“团结一致反对在发生IT安全漏洞时支付赎金”。 该决议来自6月28日至7月1日在檀香山举行的年度美国市长会议。根据该声明，自2013年以来，至少有170个县、市或州政府系统成为勒索软件攻击的目标。这些攻击使用的恶意软件程序使系统无法运行，黑客通常要求以加密货币的形式支付费用。

该决议发布之前，今年有近二十多个美国城市受到勒索软件攻击，...

据 Comparitech 的安全研究人员称，在线教育平台 K12.com 本周无意中暴露了近 700 万学生的个人信息。暴露的数据库包含全名，电子邮件地址，出生日期和性别身份，以及学生就读的学校，同时还可访问其帐户的身份验证密钥和其他内部数据。 这些信息在线提供了一个多星期，目前还不清楚数据库是否被恶意行为者访问或者获取。据发现数据暴露的研究人员称，该问题影响了K12.com的A+nyWhere学习系统（A + LS），该系统被美国1100多个学区使用。...

7月12日上午消息，华为发布《2018可持续发展报告》称，过去30年，华为和运营商一起建设了1500多张网络，在全球170多个国家和地区，为30亿人提供网络服务。事实证明，华为为客户建设的网络没有大面积的网络瘫痪，没有恶性的网络安全事故，也没有任何证据证明华为的设备有后门， 华为报告声明，迄今为止，华为没有任何法定义务在华为设备中或者允许他人在华为设备中安装“后门”，也没有任何法定义务为任何人收集情报信息。未来也会严格按照法律赋予的权利和程序来处理这样的诉求，华为以客户为中心，并致力于保护客户或者用户的合法权益不会受到侵害。...

Buhtrap发展过程 “当他们在网上免费提供工具源代码的时候，很难将行为归罪于特定的参与者，”ESET说， “然而，因为他们在源代码泄露之前更改了目标，所以我们确信首批对企业和银行进行Buhtrap恶意软件攻击的人也参与了针对政府机构的攻击。”

此外，“尽管新的工具已经添加到他们的武器库中并且更新可以应用于旧版本，...

北京时间7月12日早间消息，谷歌周四承认，某些合作伙伴向一个比利时新闻网站泄露了1000多份客户与Google Assistant（谷歌助手）的对话录音。 谷歌和亚马逊等公司利用这些对话来改善其智能助理服务的语音响应功能，而对话信息应该是保密的。 但比利时新闻网站VRT周三称，一家承包商向其提供了这种对话的样本，然后该网站利用这些样本找出了其中一些人的身份。VRT网站还检查了当用户在手机或Google Home产品中说“OK Google”时，Google会收集什么类型的对话信息。另外，VRT还在对话中听到了客户地址等信息。...

感染过程 正在创建的任务 虽然我们能够分析 Pale Moon 攻击者使用的恶意软件的行为，但因为我们无法启动它并获得有关其功能的更多信息，可能还带有恶意软件分析和VM 检测功能。

消息来源：BleepingComputer， 译者：r4938n，校审：吴烦恼
本文由 HackerNews.cc 翻译整理，...

援引外媒 TechCrunch 报道，在曝光视频会议应用 Zoom 存在严重的零日漏洞--可以在 Mac 上使用隐藏的 Web 服务器打开视频通话之后，苹果决定亲自介入并已采取相应的措施方案。苹果发布了一个静默更新，意味着无需用户参与的情况下在 Mac 设备上移除这些网页服务器， 尽管 Zoom 在昨天已经发布了紧急修复补丁来移除这些网页服务器，不过显然苹果担心用户并不会主动更新，或者没有意识到打补丁的重要性，从而忽略了这个补丁更新。苹果的介入无疑提供了更妥善的安全解决方案，不仅是因为很多用户可能在暂时不会打开 Zoom，而且很多用户还卸载了这款应用程序。
不过需要注意的是，...