根据The Hacker News的报道，有三个高影响的统一可扩展固件接口（UEFI）安全漏洞被公布，即CVE-2021-3970、CVE-2021-3971和CVE-2021-3972，已被发现它们会影响联想的各种设备，如联想Flex、IdeaPads和Yoga笔记本电脑。 最初，CVE-2021-3971和CVE-2021-3972是为了在联想消费者笔记本的制造过程中使用。然而，在制作BIOS镜像时，它们被错误地留在其中，而没有首先停用。攻击者可以获得对这些设备的访问，他们将能够在操作系统运行期间从特权用户模式进程中禁用SPI闪存保护或UEFI安全启动功能。 联想昨天针对这些漏洞发布了安全补丁，如下所示： CVE-2021-3970-由于某些联想笔记本型号的验证工作不完善，LenovoVariable SMI Handler存在潜在漏洞，可能允许具有本地访问权限和高权限的攻击者执行任意代码。 CVE-2021-3971 – 一些消费型联想笔记本电脑设备上的旧制造工艺中使用的驱动程序存在潜在漏洞，该驱动程序被错误地包含在BIOS镜像中，可能允许具有高权限的攻击者通过修改NVRAM变量修改固件保护区域。 CVE-2021-3972 – 在一些消费类联想笔记本电脑设备的制造过程中使用的驱动程序存在潜在漏洞，该驱动程序被误认为没有被停用，可能允许具有高权限的攻击者通过修改NVRAM变量来修改安全启动设置。 利用这些安全补丁很重要，以避免在未来受到损害。这些威胁是在操作系统获得控制权之前，也就是PC启动过程的早期启动的。因此，攻击者将能够对抗任何基于操作系统内的安全措施。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1260147.htm 封面来源于网络，如有侵权请联系删除

Google 今天发布了第 3 个紧急更新，修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四，Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新，会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364 的“类型混淆”漏洞。The Register 写道，Google Threat Analysis Group 的一名成员于 4 月 13 日报告了该漏洞，Google 迅速为其提供了修复。 据估计，该漏洞是一个高严重度的零日漏洞，已经有相关证据表明被黑客利用。一旦执行，它可以导致浏览器崩溃或触发错误，这有可能允许任意代码被执行。 Google表示，它知道 CVE-202201364 的漏洞已经被黑客利用，这也是促成快速创建修复程序的一个因素。Google 没有提供该漏洞的明确细节，而是说它正在限制对该信息的访问，直到“大多数用户被更新”。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1259387.htm 封面来源于网络，如有侵权请联系删除

Intel Labs在去年宣布了ControlFlag项目，以利用人工智能寻找代码中的漏洞。ControlFlag是一个开源的、利用机器学习来发现任意代码库中的错误的项目，起初它专注于发现C/C++代码中的错误，但随着其新的V1.1版本的发布，开始支持发现PHP代码当中的错误。 ControlFlag利用机器学习来挖掘开源项目的C/C++代码库中的模式，进而检测用户提供的代码中的异常模式。英特尔使用成千上万的GitHub项目提供了C/C++训练数据。 11月，英特尔发布了Control-Flag 1.0，今天宣布更新到ControlFlag 1.1。ControlFlag 1.1的新功能是除了C/C++之外还完全支持PHP编程语言。这包括从GitHub资源库中获得的预训练数据集，同时还为想要自己训练典型编程模式的用户提供了代码。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1257545.htm 封面来源于网络，如有侵权请联系删除

尽管发布了一个更新来解决macOS Monterey中的两个零日漏洞，但苹果还没有将其应用于最后两个macOS版本，这可能会让多达40%正在使用的Mac计算机处于危险之中。 苹果在2022年3月31日对macOS Monterey的更新中解决了这些关键的漏洞。然而，到目前为止，它还没有更新macOS Big Sur和macOS Catalina。但苹果公司传统上会支持当前和之前两个版本的macOS的安全更新。 两个被积极利用的漏洞中，有一个仍然专门针对Big Sur，那就是漏洞CVE-2022-22675，涉及AppleAVD，用于音频和视频解码的框架。 第二个漏洞CVE-2022-22674是在英特尔图形驱动程序中出现的，迄今为止仍然能够影响到Big Sur和Catalina。安全人员预计，这两个漏洞同时存在于老版本的macOS，意味着35%到40%的活跃的Mac电脑都有漏洞。 安全警报的的发布者Intego说，它有”高度的信心，CVE-2022-22674可能影响到macOS Big Sur和macOS Catalina”。它的部分依据是，它说，”英特尔图形驱动程序中的几乎所有漏洞”都影响了所有版本的macOS。 苹果公司还没有发表评论。不过，它已经发布了iOS和iPadOS的更新，据说对iPhone和iPad的AppleAVD漏洞进行了修补。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1255271.htm 封面来源于网络，如有侵权请联系删除

4月6日消息，安全公司Kryptowire警告说，三星的各种设备都容易受到重大安全漏洞的影响，该漏洞允许黑客接管设备。Kryptowire制作移动应用安全测试(MAST)，这是一种扫描漏洞以及安全和隐私问题的工具。 据该公司称，它发现了一个漏洞（CVE-2022-22292），该漏洞可能允许黑客采取一系列行动，包括拨打电话、安装/卸载应用程序、通过安装未经验证的证书来削弱HTTPS 安全性、在背景，甚至恢复出厂设置。 由于预装的手机应用程序具有“不安全组件”，该漏洞似乎影响了几乎所有运行Android 9至12的三星智能手机。因为电话应用程序以系统权限运行，这为不良行为者打开了攻击媒介。恶意应用程序可以利用电话漏洞来“模仿系统级活动”并访问本应受到保护的功能。 Kryptowire于2021年11月首次发现该漏洞并通知了三星。该公司于2022年2月发布了修复程序，鼓励所有三星用户立即更新以确保他们的手机安全。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1254955.htm 封面来源于网络，如有侵权请联系删除

Facebook动态消息（News Feed）因为存在重大排序错误，过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞，动态消息抬高了虚假、暴力信息的权重。去年10月，工程师发现推送有问题，当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的，应该早早得到抑制，但这些信息却四处传播。工程师找不到根本原因，只能眼睁睁看着虚假信息持续发酵，几个星期后平息，然后复发，最终工程师才发现是排序有问题，并于3月11日修复。 内部文档显示，该技术问题最早可追溯到2019年，但直到2021年10月才造成重大影响。Meta新闻发言人乔·奥斯本（Joe Osborne）说：“我们追踪根本原因，最终发现是软件有漏洞，然后进行了修复。漏洞不会给我们的评估标准造成任何有意义的长远影响。” 多年来，Facebook一直鼓吹公司开发的降序系统，认为它可以提高动态消息的质量，随着自动系统的优化未来能处理更多种类的内容。很明显，Facebook系统仍然不完美。   转自 新浪科技 ，原文链接：https://finance.sina.com.cn/tech/2022-04-01/doc-imcwipii1733635.shtml 封面来源于网络，如有侵权请联系删除

SentinelOne 的 SentinelLabs 去年就曾发现 Microsoft Azure 的 Defender 存在多个安全漏洞，其中部分漏洞的严重程度和影响被评为“关键”。微软已经为所有的漏洞发布了补丁，但 SentinelLabs 敦促 Azure Defender for IoT 用户必须立即采取行动。 SentinelLabs 的安全研究人员发现的这些缺陷可以让攻击者远程控制受微软物联网 Azure Defender 保护的设备。基于这些漏洞的攻击利用了 Azure 的密码恢复机制的某些弱点。 SentinelLabs 声称它在 2021 年 6 月主动向微软报告了这些安全漏洞。这些漏洞被追踪为 CVE-2021-42310, CVE-2021-42312, CVE-2021-37222, CVE-2021-42313 和  CVE-2021-42311，并被标记为关键，有些漏洞的 CVSS 评分为10.0，这是最高的。安全研究人员声称他们还没有发现被黑客滥用的证据。换句话说，尽管微软 Azure Defender for IoT 的安全缺陷已经超过 8 个月，但还没有记录到基于这些漏洞的攻击。 动图链接：https://static.cnbetacdn.com/article/2022/0329/4b0618f0405e7e8.webp Microsoft Defender for IoT是一个无代理的网络层安全，用于持续的IoT（物联网）或OT（运营技术）资产发现、漏洞管理和威胁检测。微软保证该保护层不需要改变现有环境。它是一个灵活的安全平台，这意味着用户可以选择在企业内部或与Azure连接的环境中部署同样的安全平台。 微软早在2020年就已经收购了CyberX。Azure Defender for IoT是一个主要基于CyberX的产品。看来至少有一个攻击载体是在一个安装脚本和一个包含系统加密文件的柏油档案里面发现的。这两个文件都存在于”CyberX”用户的主目录中。该脚本对存档文件进行了解密。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1252243.htm 封面来源于网络，如有侵权请联系删除

Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84，以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说：”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌面频道中向全球推出，整个用户群完成更新可能需要一个星期。进入Chrome菜单>帮助>关于Google浏览器检查新的更新时，这个更新立即可用。该网络浏览器还将自动检查新的更新，并在下次启动后自动安装。 今天修复的零日漏洞（被追踪为CVE-2022-1096）是一个匿名安全研究员报告的Chrome V8 JavaScript引擎中的高严重性类型混淆缺陷。 虽然类型混淆缺陷通常会在成功利用后导致浏览器崩溃，通过读取或写入超出缓冲区的内存，攻击者也可以利用它们来执行任意代码。 即使Google说它在外部检测到利用这一零日的攻击，该公司也没有分享有关这些事件的技术细节或其他信息。 “对错误细节和链接的访问可能会保持限制，直到大多数用户得到修复的更新，”Google说。”如果该错误存在于其他项目同样依赖的第三方库中，但尚未修复，我们也将保留信息披露的限制。” 在浏览器供应商发布更多信息之前，Google浏览器用户应该有足够的时间来升级Chrome浏览器并防止恶意攻击者利用它的企图。 通过这次更新，Google解决了自2022年开始的第二个Chrome零日漏洞，另一个（追踪号为CVE-2022-0609）在上个月打了补丁。 Google威胁分析小组（TAG）透露，朝鲜政府支持的黑客在2月补丁公布前几周就利用了CVE-2022-0609零日，最早的主动利用迹象是在2022年1月4日发现的。 由朝鲜政府支持的两个独立的威胁集团在通过钓鱼邮件推送恶意软件的活动中利用了这个零日漏洞，这些钓鱼邮件使用虚假的工作诱饵和被破坏的网站托管隐藏的iframe来提供一个利用工具包。 研究人员解释说：”这些电子邮件包含欺骗合法求职网站的链接，如Indeed和ZipRecruiter。在其他情况下，我们已经观察到假网站–它被设置为分发木马化的加密货币应用程序–托管iframes并将其访问者指向漏洞工具包。”   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1251469.htm 封面来源于网络，如有侵权请联系删除

上周，Chrome Security 团队的 Adrian Taylor，在一篇谷歌安全博客文章中解释了“为何在野外被利用的 CVE 漏洞似乎有所增加”。对于这种漏洞利用的可见性增长趋势，归咎于多个方面的因素。而谷歌旗下的 Project Zero 团队，也有对包括 WebKit、IE、Flash、Firefox 和 Chrome 在内的所有已识别的浏览器零日漏洞展开追踪。 （来自：Google Security Blog） 从 2019 到 2021 年，Chrome 上的这些漏洞利用增势非常明显。但在 2015 到 2018 年，Chrome 却没有记录到零日漏洞。 Chrome Security 团队解释称，虽然这并不意味着完全没有针对 Chromium 内核的浏览器漏洞利用，但由于缺乏完整的归纳试图，可用数据或存在抽样偏差。 那为何大家还是感觉漏洞变多了呢？Chrome Security 将之归结于四个可能的原因 ——（1）供应商透明度、（2）攻击者焦点的演变、（3）站点隔离项目的完工、以及（4）软件错误的复杂性。 ● 首先，许多浏览器厂商都在一改往日的做法，主动通过各自的渠道来披露此类漏洞利用的详情。 ● 其次，攻击者的关注点发生了转移。随着 Microsoft Edge 于 2020 年初切换至 Chromium 渲染引擎，攻击者也自然地盯上了更广泛的受众群体。 ● 第三，错误的增加，或源于最近完成的持续多年的站点隔离项目 —— 其使得一个 bug 的出现，不至于对全局造成过大的伤害。 ● 第四，基于软件存在 bug 这一简单事实，我们必须承认其中有一小部分可被攻击者拿来利用。随着浏览器与操作系统变得日益复杂，更多的错误也是难以避免。 零日漏洞趋势 综上所述，漏洞数量已不再和安全风险直接画等号。即便如此，Chrome 团队仍保证他们会在发布前，努力检测并修复错误。 在利用已知漏洞的 n-day 攻击方面，其“补丁空窗期”已显著减少（Chrome 为 35 天 / 平均 76~18 天）。此外为了防患于未然，Chrome 团队还在努力让攻击变得更加复杂和代价高昂。 在具体正在实施的改进中，包括了不断增强的站点隔离，尤其是针对 Android、V8 heap sandbox 沙箱、MiraclePtr / Scan 项目、内存安全编程语言等新组件，以及被野外利用后的缓解措施等。 最后，对于普通用户来说，最简单的应对方法，就是在看到 Chrome 更新提醒的第一时间执行操作。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1247609.htm 封面来源于网络，如有侵权请联系删除

在俄乌冲突于 2 月下旬爆发后，许多西方国家都颁布了针对俄罗斯的制裁令。然而漏洞赏金平台 HackerOne 的做法，却让不少乌克兰安全研究人员也感到寒心。多位乌克兰黑客与研究人员在 Twitter 上控诉，HackerOne 正在阻止他们提取漏洞赏金，甚至有人被截留了数千美元。 由 HackerOne 支持代表发给安全研究员 Vladimir Metnew 的一封电子邮件可知：“如果你身处乌克兰、俄罗斯、或白罗斯，那当前所有的通信和交易都将被暂缓”。 让人无语的是，尽管Metnew 是一位正在欧盟地区的乌克兰人，他的账户还是被该漏洞赏金平台给冻结了 ——“我们推测他们阻止了所有注册地为乌克兰的研究人员的提款”。 据悉，HackerOne 旨在构建一座桥梁，让发现和上报安全漏洞的黑客与安全研究人员，能够与寻求修复其产品和服务的公司实现更好的沟通。 参考 2020 年的数据，HackerOne 共向研究人员支付了超过 1.07 亿美元的漏洞赏金。随着安全社区的日渐成熟，不少人也将这项工作当做了主要收入来源。 仍然身处乌克兰的许多其他研究人员，也汇报了类似的情况 —— 要么账户被冻结，要么就是无法顺利提取资金。 其中 Bob Diachenko 会定期向外媒分享调查结果，然而从 2 月到现在，他账户中的 3000 美元收入一直无法到手。 在缺乏官方沟通渠道的情况下，HackerOne 此举已经引发了众怒。但更让大家感到困惑的是，该平台到底遵循着怎样的出口管制条款？ 乌克兰黑客 @kazan71p 在一条推文中指出，尽管自己不来自受制裁的克里米亚或顿巴斯地区，但他的账号还是被无理由地一刀切制裁了。 庆幸的是，在引发了舆论争议之后，HackerOne 首席技术官 Alex Rice 终于出面接受了外媒的采访，并声称将很快恢复赏金支付。 我们积极支持乌克兰为自由而战，且无意限制乌克兰研究人员的赏金支付。对于因此造成的压力，我们深感抱歉、并致力于尽快让一些恢复正常。 当拜登政府宣布针对乌克兰的两个被占领地区实施金融制裁时，我们立即开始努力确保不会向那里不当地发放赏金，这导致一些研究人员的付款处理出现了延迟。 目前 HackerOne 团队正在积极解决这一问题，如果一切顺利的话，平台有望在一周内恢复所有提款处理。   转自 cnBeta ，原文链接：https://www.cnbeta.com/articles/tech/1247093.htm 封面来源于网络，如有侵权请联系删除