在遭到一系列远程攻击之后，西部数据（WD）敦促 My Book 用户立即断开互联网连接。在 6 月 24 日发布的官方公告中，WD 表示 My Book Live 和 My Book Live Duo 网络附加存储（NAS）设备可能通过出厂重置被远程擦除，使用户面临失去所有存储数据的风险。 在公告中写道：“西部数据已经确定，一些 My Book Live 和 My Book Live Duo 设备正受到一个远程命令执行漏洞的影响。在某些情况下，攻击者已经触发了出厂重置，似乎是要删除设备上的所有数据”。被利用的漏洞目前编号为 CVE-2018-18472，这是一个根远程命令执行（RCE）漏洞，在 CVSS 严重性评级为 9.8。 攻击者能够以 root 身份进行远程操作，他们可以触发重置并擦除这些便携式存储设备上的所有内容，这些设备在 2010 年首次亮相，在 2015 年获得了最后的固件更新。当产品进入报废期时，它们通常无权获得新的安全更新。 正如Bleeping Computer首次报道的那样，论坛用户于6月24日开始通过WD论坛和Reddit查询他们的数据突然丢失的情况。一位论坛用户认为，由于他们的信息被删除，自己 “完全完蛋了”。 另一位用户评论道：“我愿意拿出我的毕生积蓄来获取我的博士论文数据、我孩子和死去的亲戚的新生照片、我写的但从未发表的旅行博客以及我过去7个月的所有合同工作。我甚至不敢想这对我的职业生涯会有什么影响，因为我失去了所有的项目数据和文件…”。 在撰写本文时，论坛用户正在交易潜在的恢复方法和想法，并有不同程度的成功。西部数据说：“我们正在审查我们从受影响的客户那里收到的日志文件，以进一步确定攻击和访问机制的特征”。 到目前为止，这些日志文件显示，My Book Live设备是通过直接在线连接或端口转发在全球范围内被攻击的。WizCase之前已经公布了该漏洞的概念验证（PoC）代码。在某些情况下，攻击者还安装了一个木马程序，其样本已被上传到VirusTotal。 My Book Live设备被认为是参与这次广泛攻击的唯一产品。西部数据的云服务、固件更新系统和客户信息被认为没有被泄露。西部数据正在敦促客户尽快将他们的设备从互联网上撤出。 西部数据说：”我们知道我们客户的数据非常重要。”我们还不明白为什么攻击者触发了出厂重置；但是，我们已经获得了一个受影响设备的样本，正在进一步调查”。该公司还在调查受影响客户的潜在恢复方案。   （消息及封面来源：cnBeta）

据《连线》报道，IOActive安全研究员Josep Rodriquez警告说，许多现代ATM和POS系统中使用的NFC读卡器使它们容易受到攻击。这些缺陷使它们容易受到一系列问题的影响，包括被附近的NFC设备对撞攻击、作为勒索软件攻击的一部分而被锁定、甚至被黑客提取某些信用卡数据。 Rodriquez警告说，这些漏洞可能被用作所谓的”中奖”攻击的一部分，欺骗机器吐出现金。然而，这样的攻击只有在与其他漏洞的利用配对时才有可能，《连线》说，由于IOActive与受影响的ATM机供应商有保密协议，他们无法公布这种攻击的视频。 依靠机器的NFC读卡器的漏洞，黑客攻击相对容易执行。虽然以前的一些攻击依赖于使用医疗内窥镜等设备来探测机器，但Rodriquez只需在机器的NFC读卡器前挥动运行其软件的Android手机，就可以利用机器可能存在的任何漏洞。 在与《连线》分享的一段视频中，Rodriquez仅仅通过在NFC读卡器上挥动他的智能手机，就使马德里的一台ATM机显示出错误信息，然后，该机器对举到读卡器上的真实信用卡反而变得没有反应。 这项研究强调了这些系统的几个大问题。首先是许多NFC读卡器容易受到相对简单的攻击，例如，在某些情况下，读卡器没有验证它们接收到多少数据，这意味着攻击者能够用过多的数据淹没系统并破坏其内存，作为 “缓冲区溢出”攻击的一部分。 第二个问题是，即使发现了问题，ATM的厂家对世界各地使用的数十万台机器应用补丁的速度也会很慢。通常情况下，需要对机器进行物理上的实际访问才能应用更新，而且许多机器并没有定期收到安全补丁。例如，一家公司表示，虽然已经在2018年给指定型号的机器打了补丁，但研究人员依然能够验证该攻击在2020年的一家餐厅中起到作用，这证明安全更新推送实际上并没有很有效执行。 Rodriquez计划在未来几周的网络研讨会上介绍他的发现，以强调他所说的嵌入式设备的安全措施到底有多欠缺。   （消息及封面来源：cnBeta）

Threat Post报道，英特尔已经发布了29个安全警告，解决英特尔芯片BIOS的固件、蓝牙产品、主动管理技术工具、NUC迷你PC，以及有讽刺意义的英特尔自家安全库中的关键漏洞。评级较高的警告集中在CPU特权升级固件漏洞上：这对于修补和利用而言都很困难，但影响广泛，因此对聪明的攻击者很有吸引力。 英特尔的高级通信主管杰里·布莱恩特（Jerry Bryant）在周三的一篇博文中说，该公司基本上在内部挖掘出了95%的安全问题，其中一些部分来自其漏洞赏金计划和内部研究。 尽管漏洞赏金计划只占本月安全漏洞的一小部分，但到目前为止，这比2021年的正常情况要多。Chipzilla的内部安全团队发现了所处理的132个潜在漏洞中的75%，其中70%在公开披露之前就已修复。 本月的补丁集包含对各种问题的修复，其中几个被评为高严重性–包括产品的固件CPU中的4个本地权限升级漏洞；英特尔定向I/O虚拟化技术（VT-d）中的另一个本地权限升级漏洞；以及英特尔安全库中的一个可网络利用的权限升级漏洞。 英特尔的公告中还包括一个针对BlueZ的中等严重性漏洞的补丁，BlueZ是一个蓝牙软件堆栈，允许对所谓的安全蓝牙和蓝牙低能量（BLE）连接进行中间人式攻击。另一个影响英特尔CPU的中等严重性漏洞允许通过可观察到的浮点响应差异进行本地可利用的信息泄露。 对于系统管理员而言应修补系统的主板管理控制器（BMC）中的一组高威胁漏洞，它允许在2019年底发布的英特尔服务器主板M10JNP2SB系统中进行权限升级和拒绝服务攻击。   （消息及封面来源：cnBeta）

过去几个月，Mozilla 旗下安全电子邮件客户端“雷鸟”（Thunderbird）被曝用纯文本格式保存了一些用户的 OpenPGP 密钥。该漏洞的追踪代号为 CVE-2021-29956，影响从 78.8.1 ~ 78.10.1 之间的软件版本。虽然严重等级较低，但开发者还是努力在新版中实施了修复，同时为 Thunderbird 所使用的加密密钥添加了额外的保护。 几周前，Mozilla E2EE 邮件列表中的用户发现，他们可在无需输入主密码的情况下，直接查看受 OpenPGP 加密保护的电子邮件。而按照正常的功能逻辑，查看前是必须先进行用户身份验证的。 受该缺陷影响，本地攻击者将可通过查看和复制这些 OpenPGP 密钥来伪造发件人，并悄悄地向其联系人发送不为用户所知的电子邮件。 在最新的安全公告中，Mozilla 提供了有关 CVE-2021-29956 漏洞的更多细节，以及他们是如何在 Thunderbird 78.10.2 版本中修复该漏洞的。 使用 78.8.1 ~ 78.10.1 版本的 Thunderbird 邮件客户端的用户，其 OpenPGP 密钥未能通过加密存储的方式留在本地磁盘上，并导致主密码保护功能失效。 不过在 78.10.2 版本中，Thunderbird 已经恢复了新导入密钥的保护机制，并将自动保护从受影响的旧版本上导入的 OpenPGP 密钥。 Mozilla Thunderbird 项目团队软件开发者 Kai Engert 在接受 The Register 采访时给出了相关解释： 一旦用户配置了主密码，那在 Firefox / Thunderbird 首次存储任何机密内容时，系统都将提示用户输入密码。 若输入正确，则相应的密钥将在会话期间维持被记住和解锁的状态，并且可根据需要来解锁任何受保护的加密内容。 不过现在，Thunderbird 电子邮件客户端已经过了重新编写。为避免保护 OpenPGP 密钥，Mozilla 建议大家立即将 Thunderbird 升级到最新的 78.10.2 版本。   （消息及封面来源：cnBeta）

尽管修复程序已发布数周，但苹果尚未完成对 iOS 和 macOS 中存在的 WebKit 漏洞的修补。Apple Insider 指出，该漏洞由网络安全初创公司 Theori 研究人员首先发现，问题主要与 WebKit 中的 AudioWorklets 实现有关。除了可能引发 Safari 浏览器的崩溃，Theori 也警告它是一个可被利用的类型混淆漏洞。 AudioWorklet 接口允许开发者控制、渲染和输出音频，但也为攻击者利用此漏洞在设备上执行恶意代码而敞开了大门。 不过恶意攻击者仍需绕过指针验证码（PAC），才能在现实世界中发起攻击。作为一套缓解措施，PAC 强制需要密码签名，才能在内存中执行代码。 开源开发者已于 5 月初修复了 AudioWorklet 漏洞（GitHub 传送门），但 Theori 研究人员 Tim Becker 警告称，该漏洞仍存在于最新版本的 iOS 和 macOS 中。 在理想情况下，从公开补丁到稳定版发布的时间间隔会尽可能小，但 AudioWorklet 漏洞还是让新版 iOS 设备用户在几周内易受攻击。 在 Tim Becker 看来，缺乏修复程序的“空窗缺口”是开源开发领域的一个重大风险。 由谷歌 Project Zero 安全团队披露的数据可知，自 2021 年初以来，苹果系统中共有 7 个漏洞在野外被积极利用，且其中已修复的多个都与 WebKit 有关。   （消息及封面来源：cnBeta）

近日，安全专家在 M1 芯片中发现了名为“M1RACLES”漏洞，是存在芯片组设计中的一个错误。该错误允许任意两款应用程序绕过常规系统功能秘密交换数据，如果不对芯片进行修复，这个漏洞是无法修复的。不过发现这个漏洞的人–逆向工程师和开发人员 Hector Martin 表示，Mac 用户并不需要担心这个漏洞，因为它基本上无法用于任何恶意的行为。 Martin 甚至写了个非常长的 FAQ ，调侃“过度操作”的漏洞披露。该漏洞不能用于接管计算机或窃取私人信息，也不能从网站的Javascript中被利用。马丁指出，它可以被用来“rickroll”（恶作剧）某人，但有很多其他方法可以做到这一点。 Martin 写道：“如果你的电脑上已经感染了恶意软件，这个恶意软件可以以一种意想不到的方式与你电脑上的其他恶意软件沟通”。但是，恶意软件有很多方式进行通信，完全用不到这个漏洞。 Martin 继续说道：“真的，在现实环境下，没有人会真正为这个缺陷找到邪恶的用途。此外，在每个系统上，已经有一百万个侧面通道可以用于合作的跨进程通信（例如缓存的东西）。秘密通道不能从不合作的应用程序或系统中泄露数据。事实上，这个问题值得重复。秘密渠道是完全无用的，除非你的系统已经被破坏”。 换句话说，最坏的情况是，用户系统上的恶意软件可以利用这个漏洞来相互通信。等到Mac电脑受到这种损害时，很可能攻击者反正也不需要使用它。尽管不是一个严重的缺陷，该漏洞仍然是一个漏洞，因为 “它违反了操作系统的安全模式”。 至于为什么存在这个漏洞，马丁说一个苹果工程师犯了一个错误。更具体地说，苹果 “决定通过删除一个强制性功能来破坏ARM规范，因为他们认为他们永远不需要在macOS上使用这个功能”。据报道，通过删除该功能，苹果公司使现有的操作系统更难缓解它。   （消息及封面来源：cnBeta）

蓝牙核心规范（Bluetooth Core）和蓝牙网状网络连接技术（Mesh Profile）规范近日被爆安全漏洞，可被网络犯罪分子利用进行中间人（man-in-the-middle）攻击。根据卡内基梅隆大学 CERT 协调中心的报告，“支持Bluetooth Core 和 Mesh 规范的设备存在漏洞，容易受到冒名攻击和AuthValue泄露，这可能使攻击者在配对期间冒充合法设备”。 这两个蓝牙规范确保了多对多蓝牙通信的协议，并使设备之间通过临时网络共享数据。蓝牙冒充攻击（Bluetooth Impersonation AttackS），也称为 BIAS，允许网络犯罪分子与受害者建立安全连接，并有效绕过蓝牙的认证机制。 根据安全研究人员的说法，与安全建立蓝牙认证程序、不良功能切换和安全连接降级有关的第一个问题是BIAS攻击。它们相当稳定，因为安全蓝牙连接不需要用户互动。为了证实 BIAS 攻击实际上是有效的，研究人员对苹果、高通、英特尔、赛普拉斯、博通、三星和CSR的所有主要蓝牙版本进行了测试，对主要技术供应商的 31 个蓝牙设备（28个特定蓝牙芯片）进行了测试。 在 Bluetooth Mesh Profile 规范 1.0 和 1.1 版本中发现了4 个漏洞。完整漏洞包括： ● CVE-2020-26555 蓝牙传统BR/EDR引脚配对协议中的冒充行为（从 v1.0B 到 5.2 版本的蓝牙核心规范） ● CVE-2020-26558 蓝牙LE和BR/EDR安全配对过程中的密码输入协议中的冒名顶替（从 2.1 到 5.2 版本的蓝牙核心规范）。 ● N/A（未编号） 蓝牙LE传统配对协议的认证（从 4.0 到 5.2 版本的蓝牙核心规范） ● CVE-2020-26556 蓝牙Mesh配置文件配置中的可塑性承诺（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 ● CVE-2020-26557 蓝牙Mesh Profile供应中的可预测 AuthValue（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 ● CVE-2020-26559 蓝牙 Mesh Profile AuthValue 泄漏（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 ● CVE-2020-26560 蓝牙Mesh Profile配置中的冒名攻击（从 1.0 到 1.0.1 版本的蓝牙 Mesh Profile 规范）。 在列出的受这些安全缺陷影响的产品供应商中，有Android开源项目（AOSP）、思科、Cradlepoint、英特尔、微芯科技和红帽。AOSP、思科和微芯科技表示，他们正在努力缓解这些问题。 负责监管蓝牙标准制定的蓝牙特别兴趣组 (Bluetooth SIG) 也在今天早些时候发布安全公告，指出了针对影响这两个易受攻击标准的每个安全缺陷的建议。Bluetooth SIG 表示，该组织机构正在就该漏洞及其修复方案与会员企业广泛沟通详情，并鼓励它们快速集成任意必要补丁。和之前一样，蓝牙用户应确保安装了操作系统厂商最新推荐的更新版本。   （消息及封面来源：cnBeta）

Apple Insider 报道称，苹果刚刚为 macOS Big Sur 11.4 修复了一个零日漏洞。早前的概念验证表明，攻击者可通过劫持现有应用程序的权限，来秘密截取屏幕画面或录制视频。率先曝光此事的 Jamf 安全研究人员称：为控制应用程序能够访问哪些系统功能，苹果特地在 macOS 中实施了“透明许可与控制”框架，但该零日漏洞还是为此类攻击敞开了大门。 更糟糕的是，Jamf 指出，该漏洞似乎已在野外被积极利用。他们在研究名为 XCSSET 的 Mac 恶意软件时发现了该缺陷，可知 XCSSET 是通过受感染的 Xcode 项目而让 macOS 开发者躺枪的。 在利用该漏洞劫持了其它应用程序的权限之后，恶意软件将使得攻击者达成许多目的，比如挂接到具有视频录制权限的 Zoom 云视频会议软件中。然而只有在利用该漏洞进行屏幕截图的时候，它才会被用户所察觉。 庆幸的是，苹果已于本周一发布了针对 macOS Big Sur 11.4 的这一漏洞补丁。与此同时，macOS Mojave 和 Catalina 也迎来了两个安全更新。 苹果在致《福布斯》的一份声明中强调，该漏洞仅影响通过 Mac 官方应用商店之外的渠道来下载应用程序的用户。 早些时候，苹果软件工程主管 Craig Federighi）还在 Epic 诉 App Store 案件的证词中表示 —— 与 iOS 移动设备相比，Mac 平台上的恶意软件状况是难以让人接受的。   （消息及封面来源：cnBeta）

有证据标明存在于高通和 Mali GPU 内核驱动中的漏洞已经被黑客利用，至少有数百万台 Android 设备受到影响。到目前为止，Google Pixel 设备是唯一得到修补的设备，但其他 Android 设备延迟更新的长期问题仍然存在。 本月早些时候，安全公司 Check Point 发现，为数亿台 Android 设备提供动力的高通芯片存在一个关键的安全漏洞。在本周更新的 5 月 Android 安全公告中，表示 5 月 1 日披露的漏洞中有 4 个已经被黑客利用发起攻击。 在安全公告中，罗列了不少于 42 个漏洞，这些漏洞在 2021 年 5 月的安全更新中被修补，但当时该公司并不知道有任何漏洞被积极利用。而最新数据标明，其中 4 个漏洞可能处于“有限、有针对性的利用”中。 其中两个漏洞影响到数百个芯片组中的高通 GPU，包括最新的支持 5G 的芯片组，如骁龙 768G 和骁龙 888。另外两个漏洞影响到Arm Mali GPU（用于数百万安卓设备）的内核驱动，其严重性不可低估，因为它们允许攻击者完全控制你的手机。 安全公司Zimperium的副总裁Asaf Peleg告诉Ars Technica，”从提升默认情况下的权限到执行当前进程现有沙盒之外的代码，设备将被完全破坏，没有数据是安全的”。   （消息及封面来源：cnBeta）

与竞争对手 Intel 相比，AMD 处理器在安全性方面表现得相对出色。但在偶尔的情况下，研究人员还是会发现一些容易被利用的新攻击。TechPowerUp 指出，在即将于 5 月 27 日举办的第 15 届 IEEE WOOT’21 技术研讨会上，将有两篇专门针对 AMD 安全加密虚拟化（SEV）漏洞的新文章等待发表。 来自德国慕尼黑工业大学和吕贝克大学的研究人员，将分别披露有关 CVE-2020-12967 和 CVE-2021-26311 安全漏洞的论文。 虽然尚不清楚 AMD SEV 新漏洞的详情，但我们不难猜测有哪些处理器受到了影响。由于 SEV 是一项企业级的安全特性，因此 AMD 的霄龙（EPYC）服务器处理器将首当其冲。 AMD 表示，相关漏洞影响所有 EPYC 嵌入式 CPU，以及 1、2、3 代霄龙处理器。对于后者，该公司已经提供了专门的 SEV-SNP 缓解功能。 至于其它产品线，官方还是建议客户尽量在各个方面都遵从最佳的安全实践，以避免受到潜在的 SEV-SNP 攻击的影响。   （消息及封面来源：cnBeta）