英特尔在周二晚上发布了 20201110 CPU 微代码更新包，这也是自 6 月以来的又一个重大更新。此前，安全社区已经披露了影响英特尔产品的大约 40 个新安全公告，其中包括利用 RAPL 接口来窃取 CPU 敏感数据的“鸭嘴兽”（PLATYPUS）安全漏洞。在等待许久之后，该公司终于为 Linux 用户发布了新版微代码更新包，以修复相关 Bug 和漏洞。 首先是刚才已经详细介绍过的《RPAL 接口安全漏洞》（INTEL-SA-00389），今日更新的 CPU 微码、与新版 Linux 内核补丁一起发布，旨在阻止非 root 权限用户读取 Intel CPU 的能耗信息。 其次 INTEL-SA-00381 修复了围绕“快速存储前向预测器信息泄露”的问题、以及另一个 AVX 漏洞。受此影响，本地攻击者可获取先前 AVX 执行的寄存器状态。 除了 CPU 安全更新，英特尔还修复了影响多代处理器的“功能性问题”。比如 Ice Lake 处理器的 VT-d 虚拟化 Bug，以及可能导致系统挂起的 Type-C 端口问题。 此外至强可扩展（Xeon Scalable）Cascade Lake 处理器在内核退出 C6 状态时中断丢失等问题也得到了解决，并且包括了其它各种随机的处理器 Bug 修复程序。 最后，英特尔 20201110 微码更新包也首次包含了面向了 Cooper Lake、Lakefield、Tiger Lake、以及 Comet Lake 的二进制文件。     消息及封面来源：cnBeta

联邦调查局发出安全警报：黑客正在滥用配置错误的SonarQube应用程序访问并窃取美国政府机构和企业的源代码存储库。 联邦调查局表示，黑客最早从2020年4月开始进行网络攻击活动， 于本周在网站上公开。该警报特别提醒基于Web的应用程序SonarQube的所有者：供应商已将其集成到软件构建链中，测试源代码并发现安全漏洞，然后再将代码和应用程序推广到生产环境中。SonarQube应用程序安装在Web服务器上，并连接到源代码托管系统，例如BitBucket、GitHub或GitLab帐户、Azure DevOps系统。 联邦调查局表示：未使用默认管理员凭据（admin / admin）以其默认配置（在端口9000上）运行系统的单位不受保护。 黑客滥用了错误配置来访问SonarQube，转到连接的源代码存储库，进而访问和窃取专有应用程序的数据。   “ 2020年8月，未知黑客通过公共生命周期存储库工具从两个组织窃取了内部数据。被盗数据来自使用了受影响组织网络上运行的默认端口设置和管理员凭据的SonarQube。” “该网络攻击活动与2020年7月的一次数据泄漏事件相似，一个已知黑客通过安全性较差的SonarQube窃取并发布了被攻击企业的专有源代码。”   2018年5月以来，安全研究人员就警告将SonarQube应用程序在线暴露给默认凭据存在高度安全隐患。 鲍勃·迪亚琴科（Bob Diachenko）表示：当时在线可用的所有3000个SonarQube实例中，大约30％至40％没有启用密码或身份验证机制。 瑞士安全研究人员Till Kottmann也提出了相同问题。Kottmann在公共门户网站上收集了数十家科技公司的源代码，其中许多来自SonarQube应用程序。Kottmann告诉ZDNet： “大多数人似乎都不会更改相关设置，但SonarQube的安装指南有详细解释。” FBI发布了保护SonarQube服务器的相关措施：首先是更改应用程序的默认配置和凭据；然后使用防火墙防止未经授权的用户访问该应用程序。       消息及封面来源：ZDNet；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。  

Office 2010这一标志性的微软办公套件的经典版本从10月起不再受到官方支持，但第三方补丁服务团队0patch表示，它将通过其微补丁帮助用户防范漏洞，继续为Office 2010延长寿命。虽然微补丁一般只会提供给拥有专业或企业订阅的0patch付费客户，但该公司表示，”我们可能偶尔会决定向0patch免费用户提供一些这些微补丁，例如有望帮助减缓全球蠕虫的爆发的时候”。 然而，如果需要保证补丁安装后持续有效，需要确保原来就安装了最新版本的Office 2010以及所有可用的官方更新. 还记得0patch是如何让人们”安全地采用”Windows 7和Server 2008 R2的吗？ 当他们在2020年1月达到支持结束的时候，0patch就已经针对这些系统中的21个高危漏洞发布了微补丁，其中最受欢迎的无疑是针对Zerologon（CVE-2020-1472）的微补丁，这个漏洞几乎影响了所有Windows，目前正被勒索软件团伙广泛利用。 由于Office 2010在上个月已经达到了支持的终点，而且许多组织表示有兴趣保持它的安全，0patch决定也开始设法让人们”安全采用”Office 2010，截止发稿，这项服务已经普遍可用。 这个服务是如何运作的呢？与0patch为 Windows 7 和 Windows Server 2008 R2 所做的工作类似，安全研究人员从各种来源收集 Office 2010 的漏洞信息：合作伙伴、安全社区、公共来源，以及通过测试新发现的影响仍受支持的 Office 版本的漏洞是否也会影响 Office 2010。当安全人员在评估中发现一个高风险的漏洞，并且有足够的数据来重现它时，就会为它创建一个微修补程序，这些程序在完全更新后的Office 2010上运行。就像Windows 7和Server 2008 R2一样。     （消息及封面来源：cnBeta）

Hewlett Packard Enterprise发布了针对两个关键漏洞的补丁程序，一个漏洞在StoreServ管理控制台中被确认，另一个漏洞则影响了BlueData EPIC软件平台和Ezmeral容器平台。 最严重的问题存在于HPE StoreServ管理控制台（SSMC）3.7.0.0中，CVE-2020-7197漏洞可以利用远程绕过身份验证保护，其CVSS评分为10。SSMC是基于节点的Web控制台，它为多个阵列的管理提供支持，通常安装在Linux或Windows服务器上，并与托管列上的数据隔离。该漏洞可能使黑客无需身份验证，直接获得对应用程序的访问权限。 MindPoint Group的Elwood Buck报告了规避远程身份验证的情况。根据HPE的说法，3.7.0.0之前的HP 3PAR StoreServ Management和Core Software Media受到影响。HPE建议受影响的用户将软件升级到HP 3PAR StoreServ3.7.1.1或更高版本。在BlueData EPIC软件平台版本4.0和更早版本以及Ezmeral Container Platform 5.0中确定了第二个漏洞CVE-2020-7196，其CVSS评分为9.9。HPE解释说，问题在于这两个应用程序“都使用不安全方法来处理Kerberos密码，导致密码容易受到未经授权的拦截和/或检索。” HPE建议将相关软件更新至Ezmeral Container Platform 5.1或更高版本。除此之外，HPE还在上周发布了针对Aruba CX交换机、Aruba AirWave Glass和其他Aruba产品中的几个高危漏洞的补丁程序。       消息来源：securityweek；封面来自网络；译者：小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软已经承认了存在于 Windows 10 系统中的两个新错误，并承诺会尽快修复。正如本站近期报道的那样，Windows 10 系统中存在一个令人讨厌的错误，当某些用户启用 Microsoft Store 应用或启用 VPN 连接时候会出现网络连接错误的情况。 Windows 10 May 2020（20H1/Version 2004）功能更新及更高版本都存在这个问题。在某些情况下，Windows 10 的这个 BUG 会破坏互联网连接，并阻止了 Spotify，Office，Microsoft Store 等重要应用程序上线。 一些报告表明该问题可能与VPN或代理使用有关，而其他报告则指出 Windows 10 更新破坏了“网络连接状态指示器（NCSI）”。目前仍不清楚网络断开错误的根源是什么，但是微软表示将解决类似的问题，该问题将阻止重要的应用程序联网。微软计划在本月的补丁星期二活动日中发布补丁进行修复。 此外微软还承认了可能会导致开始菜单中动态磁贴无法正常工作的问题。发生这种情况时，您会注意到磁贴显示为灰色，并带有“正在进行应用更新”进度条。目前尚不清楚微软何时计划解决该特定错误，但该技术巨头已经在9月发布的预览版本中对其进行了修补。 值得注意的是，微软还注意到Windows 10中的其他问题，其中一个问题是睡眠模式无法按预期工作，并且“重置此PC”功能无法刷新系统映像。     （消息来源：cnBeta；封面来自网络）

被诸多 WeWork 员工用于访问打印机设置的共享账户使用了非常简单的密码，以至于他们的客户都猜出来了。在伦敦 WeWork 办公的 Jake Elsley 表示之所以能发现这个密码，是因为他所在地区的 WeWork 员工在办公之后没有及时登出而发现的。 像 Elsley 这样的客户会被分配到一个七位数的用户名称和四位数的密码，用于在 WeWrok 办公场所打印密码。但是，WeWork 的员工所使用的用户名称是“9999”四位数，然后 Elsley 猜测使用了和用户名称相同的密码，随后他们成功以 9999 作为账号和密码登录。 WeWork 社区经理使用“9999”账号来监管每个地区的每日打印情况，不过想要访问这些打印的文档，需要使用客户账号。Elsley 说，“9999”帐户看不到文件名以外的文档内容，但是登录到 WeWork 打印管理终端，允许将这个打印任务分配给该网络内的其他 WeWork 打印机。 WeWork 发言人 Colin Hart 说：“WeWork 致力于保护我们的成员和员工的隐私和安全。我们立即对这一潜在问题进行了调查，并采取了措施解决任何问题。我们还将将所有打印功能升级为一流的安全性和体验解决方案，历时数月，即将结束。我们预计该过程将在未来几周内完成。”     （消息及封面来源：cnBeta）

据荷兰媒体报道， 四名荷兰人是目前在德国受审的八人之一，他们在为全世界犯罪分子用来进行数百万欧元的非法交易的暗网计算机中心提供主机服务方面发挥了作用。这八人被指控通过存放在摩泽尔河附近一个废弃的地堡中的服务器，促成了超过249000起犯罪。被作为一个更容易访问数据的快速切入点。 该地堡是荷兰国民Herman Johan Xennt在2013年购买的，据报道，他在托管活动中遇到麻烦后离开了荷兰，他的服务器也存放在泽兰的一个地堡中。总共有4名荷兰人、3名德国人和1名保加利亚人嫌疑人–年龄从20岁到60岁不等–被指控与“网络碉堡”(cyberbunker)活动有关。 Telegraaf周二表示，通过服务器处理的交易包括毒品–Cannabis Road等平台–拥有数百万活跃用户。该报称，其他网站允许人们订购假钱和身份证，该地堡还被用来对德国电信公司德国电信进行僵尸攻击。对该“网络碉堡”的调查历经多年的观察和电话窃听，最终在2019年9月的一次有650名警察参与的突袭行动中取得突破。该案的受审计划进行到2021年。     （消息来源：cnbeta；封面来自网络）

据外媒报道，没有一家慈善机构愿意拒绝捐款尤其是在资金短缺的情况下。但如果捐款来自一个令人惊讶的来源–黑客呢？虽然这听起来像是现代版的罗宾汉–通过电子手段盗取公司的资金然后通过比特币将其数字化返还给慈善机构–但当这些资金来自犯罪收益时，法律做出了明确规定：必须拒绝。 当这个慈善机构不知道钱是谁捐的、钱是从谁那里被偷的也不知道如何归还的时候又该怎么做呢？ 上周，网络犯罪集团Darkside就将两家美国慈善机构置于了这样一个不幸的境地。该集团透露，它向Children International和Water Project捐赠了0.88比特币，价值1万美元。 该组织在其网站上发布了一篇相关“新闻稿”。 Comparitech.com安全专家Brian Higgins表示，此举只是Darkside为了吸引来自外界的注意。“首先，跟他们多年来从受害者那里勒索的巨额资金相比，1万美元只是一个小钱，所以这算不上什么大慈善行为。其次，没有一家可靠的慈善机构会接受明显来自犯罪的捐款。有一种很小的可能性，这是一种测试，看看他们是否能以某种方式洗干净他们的犯罪收益，但更有可能的是，Darkside显然有太多的时间，他们的比特币钱包里有太多偷来的钱。如果他们真的想‘让世界变得更美好’，他们就会卖掉笔记本电脑，远离互联网。” 据了解，Darkside主营给电脑加密并由此牟取暴利的勒索软件开发工作。 Children International表示：“我们意识到了这种情况并正在进行内部研究；这对我们来说还是第一次（遇到这种情况）。如果这笔捐款跟黑客有关，我们将无意保留它。” 在最初的媒体报道了该组织的捐款后，Darkside更新了它的帖子并发出警告。负责报道的Giving Block被告知，这笔钱是通过一个mixer发送的，这是一种自动洗钱的形式，其模糊了比特币的真正发送者和接收者。另外，它还警告称，对其捐款的报道只会损害处理捐款的公司以及收到捐款的公司。 据了解，这些慈善捐款是Darkside怪异的品牌宣传活动的一部分，其目的是将自己塑造成不同于普通罪犯的形象。该组织在8月份开始运营时发布的一份意向声明中表示：“我们之所以创造了DarkSide，是因为我们还没有找到适合自己的完美产品。但现在我们有了。” 该组织表示，根据他们的原则，其不会攻击医院、学校、政府或慈善机构，“我们只攻击那些能够支付要求金额的公司，我们不想毁掉你们的生意。在受到攻击之前，我们会仔细分析你的会计工作，根据你的净收入来决定你能支付多少。” 至少在某种程度上，它确实不同于以前的许多勒索软件。除了对电脑进行加密，该机构还会将黑客入侵的数据上传到自己的服务器上，如果赎金没有及时支付，该机构就会将全部内容发布到服务器上。     （消息来源：cnbeta；封面来自网络）

随着技术的进步，车载驾驶辅助系统的安全性得到了不断的提升，但其可靠性仍未能让我们感到满意。安全研究人员已经证明，通过被劫持的互联网广告牌，就可诱导特斯拉电动汽车的 Autopilot 等系统采取突然的制动、驻车或转弯等操作。《连线》杂志报道称，位于以色列内盖夫的本·古里安大学的研究人员，一直在对所谓的“鬼影”图像展开试验。 资料图（来自：Tesla） 具体说来是，这些图像可能让自动驾驶 / 驾驶辅助系统感到困惑，其中涉及到营造瞬间的光线投射、让系统“看到”不存在的物体（比如停车指示牌）。 这项技术的早期示例，是将路标和人的影像投射到道路上。即便只显示几毫秒的时间，就足以误导高级驾驶辅助系统（ADAS）。 虽然本文介绍的这项新研究基于类似的方法，但演示中并未使用投影的图像，而是利用了联网的数字广告牌。 在侵入某款数字广告板之后，攻击者可注入一些可能导致汽车发生碰撞的内容，但不会留下明显的痕迹（司机只会感到一头雾水）。 据悉，研究人员针对特斯拉 Autopilot 和 MobileEye 630 系统开展过测试，前者会被出现仅 0.42 秒的鬼影图像所欺骗、后者则是 1/8 秒。 有关这项研究的详情，将在今年 11 月的 ACM 计算机和通信安全会议上作介绍。让人担忧的是，这类数字广告牌鬼影攻击可能波及更多车型和导致大范围的误伤。   （稿源：cnBeta，封面源自网络。）  

  在十月补丁星期二活动发布的 Windows 10 累积更新中，微软增强了对驱动程序软件的验证，防止恶意程序利用易受攻击的硬件驱动程序来危害 Windows 10 计算机。在本次安全性更新中，微软表示如果 Windows 10 无法验证软件开发商，那么系统将阻止用户安装 OEM 或者制造商的驱动程序。 新的驱动认证模型对于安全至关重要，如果微软无法认证该驱动程序，那么在安装过程中就会导致驱动错误。微软表示在所有支持的 Windows 10 系统上，如果驱动程序认证失败就可能会跳出两个错误消息。 第一个错误消息是“ Windows 无法验证该驱动程序软件的发行者”，第二个错误消息是“主题中没有签名”。这两个错误消息均表示 Windows 在驱动程序验证中发现格式不正确的目录文件，并且驱动程序安装将失败。 如果从 OEM 或驱动程序供应商网站安装驱动程序时遇到以上两个错误，微软表示您需要联系制造商并要求他们上载具有适当修复程序的驱动程序。用户只有在应用旧的驱动程序更新时才可能遇到这些问题。由Intel，AMD或Nvidia发行的较新驱动程序已经与Windows 10的新验证模型兼容。     （文章及封面来源：cnBeta）