近日，安全专家在 M1 芯片中发现了名为“M1RACLES”漏洞，是存在芯片组设计中的一个错误。该错误允许任意两款应用程序绕过常规系统功能秘密交换数据，如果不对芯片进行修复，这个漏洞是无法修复的。不过发现这个漏洞的人--逆向工程师和开发人员 Hector Martin 表示， Martin 甚至写了个非常长的 FAQ ，调侃“过度操作”的漏洞披露。该漏洞不能用于接管计算机或窃取私人信息，也不能从网站的Javascript中被利用。马丁指出，它可以被用来“rickroll”（恶作剧）某人，但有很多其他方法可以做到这一点。...

根据NASA监察长发布的一份报告，"对NASA网络的攻击并不是一个新现象，尽管窃取关键信息的企图在复杂性和严重性方面都在增加"。"我们发现，美国宇航局预防、检测和缓解网络攻击的能力因架构的混乱方法而受到限制"。 NASA管理着3000个网站和42000个公开的数据库。虽然努力加强其网络安全态势，但监察局确定，美国国家航空航天局在过去四年中遭受了超过6000次网络攻击，包括网络钓鱼诈骗和恶意软件。该机构糟糕的安全态势使其暴露在网络威胁的不必要的风险中 。...

据外媒报道，美国主要燃油、燃气管道运营商Colonial Pipeline此前遭到黑客攻击--这使东海岸的石油供应中断了近两周--这既是灾难性的，也是可以预防的。然而，美国国土安全部（DHS）的一个部门希望通过改变 Colonial公司和管道行业其他公司的网络安全和信息披露规则来纠正这一问题。 正如《华盛顿邮报》所报道的，美国联邦运输安全管理局（TSA）将要求燃料管道运营商报告漏洞和其他网络安全事件，关于如何保持这些关键基础设施系统免受数字威胁的额外规则将在“未来几周内”到来。任何可能导致公司拿出440万美元赎金的异常情况，都需要向TSA和网络安全与基础设施安全局（CISA）报告。...

蓝牙核心规范（Bluetooth Core）和蓝牙网状网络连接技术（Mesh Profile）规范近日被爆安全漏洞，可被网络犯罪分子利用进行中间人（man-in-the-middle）攻击。根据卡内基梅隆大学 CERT 协调中心的报告， 这两个蓝牙规范确保了多对多蓝牙通信的协议，并使设备之间通过临时网络共享数据。蓝牙冒充攻击（Bluetooth Impersonation AttackS），也称为 BIAS，允许网络犯罪分子与受害者建立安全连接，并有效绕过蓝牙的认证机制。...

请不要贸然打开电子邮件中的 PDF 附件，除非你完全确定文件的来源以及是谁发送给你的。近日，微软的安全情报团队发现了新型恶意软件攻击，通过包含恶意的 PDF 附件进行大规模传播。 这些 PDF 附件中包含了名为 StrRAT，这是一个可远程访问的木马程序，可用于窃取密码和用户凭证。除了窃取凭证甚至控制系统之外，微软研究人员还发现，这种恶意软件可以将自己伪装成伪造的勒索软件。...

据外媒报道，印尼政府已经封锁了其国内对一个知名网络犯罪中心Raid Forums的访问从而限制敏感数据泄露的扩散。当地时间5月12日，一名威胁者在Raid Formus上发帖称，他拥有并出售了2.79亿印尼人的个人数据。该国政府希望互联网服务供应商能实施这一禁令。 被称为Kotz的威胁者泄露了100万名公民的详细信息样本以证明他们的说法。泄露的数据包括公民姓名、身份证号码、税务登记信息、手机号码，另外，一些公民的头像和工资相关信息也被泄露。 尽管这些数据被认为包含一些过时的信息及死者的详细资料，但印尼当地记者发现这些数据都是真实的。...

欧洲人权法院大法庭裁定，英国间谍机构GCHQ大量截获在线通信的方法侵犯了隐私权，收集数据的制度是非法的。申请人之一的“自由组织”描述这项裁决具有里程碑意义。在审理过程中，法官们还发现批量拦截制度违反了言论自由权，并且对机密新闻材料的保护不足，但他们表示， 作为欧洲人权法院的最终法庭，该法庭还认为，GCHQ与外国政府共享敏感数字情报的制度并不违法。在爱德华-斯诺登揭发了窃听机构截获、处理和存储数百万人的私人通信数据后，"老大哥观察"和其他机构于2013年开始对GCHQ大量截获在线通信的行为提出法律挑战，这一判决使得这一系列挑战达到了高潮。...

Apple Insider 报道称，苹果刚刚为 macOS Big Sur 11.4 修复了一个零日漏洞。早前的概念验证表明，攻击者可通过劫持现有应用程序的权限，来秘密截取屏幕画面或录制视频。率先曝光此事的 Jamf 安全研究人员称：为控制应用程序能够访问哪些系统功能， 更糟糕的是，Jamf 指出，该漏洞似乎已在野外被积极利用。他们在研究名为 XCSSET 的 Mac 恶意软件时发现了该缺陷，可知 XCSSET 是通过受感染的 Xcode 项目而让 macOS 开发者躺枪的。...

新西兰怀卡托医院正面临着第二周中断，因为在一次大规模网络攻击之后，它正在努力修复其计算机基础设施。随着电脑下线和电话断线，攻击者仍然不明。据怀卡托地区卫生局首席执行官Kevin Snee称，这次针对医院的攻击可能是新西兰历史上最大的网络攻击。 他还在周一对RNZ晨报表示，他预计本周怀卡托医院将有大约20%的选择性手术和门诊预约被取消。此外，地区卫生局的IT系统将在下周恢复全面运行。攻击者的身份仍然未知。然而，这次攻击是大规模的，因为它影响了计算机系统，使电话线崩溃，并导致医院工资系统出现错误。一些假设认为，...

援引外媒 BleepingComputer 报道，Python 的官方软件库 PyPI 正遭受黑客攻击。黑客利用垃圾软件包的形式发起洪水攻击，而这些软件包均采用来自 BT 种子或者其他在线盗版内容的电影名称命名，部分名称还包括年份、在线、免费等字样。 Sonatype 的高级软件工程师 Adam Boesch 在 PyPI 上率先发现了以热门电视节目命名的可疑软件包。在接受 BleepingComputer 采访时，他提供了进一步的见解：
我在查看数据集时注意到 wandavision，这对于一个包的名字来说有点奇怪。仔细一看，我发现了那个包，...