据悉，大多数现代 macOS 设备中使用 T2 协处理器，可负责启动和安全相关的操作，以及音频处理等不同的功能。自 2018 年起，苹果已经为自家多款基于英特尔处理器平台的 macOS 设备配备了 T2 安全芯片。然而近日有位网络安全研究人员指出，该芯片存在一个无法修复的漏洞，攻击者或借此轻易获得设备的 root 访问权限。 iMac Pro 主板特写（图自：iFixit） 据 Niels H. 所述，由于 T2 芯片基于苹果 A10 处理器，因而容易受到 iOS 设备同源漏洞攻击（checkm8）的影响。   通常情况下，如果在 DFU 模式下检测到解密调用，T2 芯片将以发生致命错误的形式退出。 但该漏洞利用程序可与 Pangu 开发的另一个漏洞配合使用，以绕过 DFU 的出口安全机制。 对于经验丰富的攻击者来说，显然可借此绕过激活锁定，并执行其它恶意攻击。 一旦被攻击者获得了对 T2 芯片的访问权限，他们将拥有完全的 root 访问和内核执行特权。 即便无法解密受 FileVault 加密保护的文件，但由于 T2 芯片管理着键盘访问，因而还是有可能被注入键盘记录器程序、并窃取用户的相关密码凭证。 固件级的密码也无法幸免，因为这部分还是要用到键盘访问。此外该漏洞或允许通过移动设备管理（MDM）和查找（Find My）功能，以绕过内置的激活锁安全机制。 MacBook Pro 系统截图（来自：Apple Support） 更糟糕的是，苹果也无法在不进行硬件修补的情况下彻底缓解该漏洞。因为出于安全的考量，T2 的基础操作系统（SepOS）是烧录在只读存储器（ROM）上的。 Niels H. 表示其已向苹果公司通报了这些问题，但尚未得到任何回应，感兴趣的朋友可到 IronPeak.be 博客上了解更多细节（传送门）。 聊以慰藉的是，即便该漏洞影响所有基于英特尔处理器和 T2 安全芯片的 Mac 产品，但相关问题并不会持久存在。 因为攻击者首先需要物理接触到用户设备，然后搭配特殊的硬件来执行，比如恶意或定制的 USB-C 线缆。 对于普通用户来说，只需牢记保持物理安全性、不插入未经验证的 USB-C 设备来规避这方面的风险。 至于最新的 Apple Silicon 平台是否也存在着同样的问题，仍有待时间去检验。     （稿源：cnBeta，封面源自网络。）

与每个月的情况一样，谷歌已经开始为本月支持的Pixel设备推出月度安全补丁。这家搜索巨头还发布了Android安全公告，以记录作为2020年10月补丁的一部分所解决和修复的所有错误和漏洞。补丁列表中包括操作系统中各个组件中的一些高严重性漏洞，公告中提供了详细的内容。 除了这些适用于不同Android版本的修复之外，该公司还详细介绍了针对支持的Pixel设备发布的功能补丁。这些更新通过带来Pixel手机特有的性能改进、bug修复等，提高了设备的可用性。 本月的更新为所有支持的机型带来了屏幕自动旋转的改进，为最新的中端机、Pixel 4a等带来了触控灵敏度和自动亮度的提升。此次更新还修复了最近报道的向上滑动手势访问最近应用UI的问题。 以下是该公司发布的完整变更日志： 补丁应该会在今天通过空中更新（OTA）逐步开始向所有用户推出。然而，对于带运营商锁的设备，推出时间表可能有所不同。Google还在此提供了OTA镜像，供用户手动加载镜像并更新设备。 此外，Android安全公告本月补丁的源代码将在未来48小时内在Android开源项目(AOSP)存储库上提供。     （稿源：cnBeta，封面源自网络。）

随着操作系统代码复杂度的提升，Bug 与漏洞也变得越来越难以避免。与此同时，随着 Android 与 iOS 平台在移动时代的重要性日渐提升，行业也需要越来越多有这方面经验的安全研究人员。最新消息是，搜索巨头谷歌正在组建一支 Android 安全团队，并将致力于发现和消除敏感 App 中的 Bug 。 虽然 Android Security 团队早期不是什么新鲜事，但谷歌显然还是希望通过成立一支新的团队，来进一步加速发现和修复 Bug 的过程。 具体说来是，这支 Android 安全团队将主要负责对“高度敏感型的应用”展开安全评估。有趣的是，该公司也在一则招聘启事中进行了披露。   据悉，搜索巨头希望招募安全工程方面的经理人选（传送门），该职位需要负责组建一支安全团队，然后对 Google Play 上高度敏感的第三方 Android 应用进行安全评估。 外媒猜测，该团队或专注于包含敏感用户数据的 App，比如网银和最近流行的 COVID-19 密切接触者追踪通报应用程序。 此外这份招聘启事还讨论了谷歌正在寻找的新 Android 安全团队将不仅致力于发现敏感 App 中的漏洞，同时也会提供解决问题的补救措施。 更进一步的话，新团队还将负责与其它 Android 安全团队的合作，以找到更好的方法来缓解此类问题的发生，后续显然会将范围覆盖到自家的 Play 应用商店之外。 换言之，此举将提升 Android 生态系统的整体安全性和可访问性，进而带来更好的用户体验。     （稿源：cnBeta，封面源自网络。）

微软周一表示，伊朗国家支持的黑客目前正在现实世界的黑客活动中利用Zerologon漏洞。成功的攻击将使黑客能够接管被称为域控制器(DC)的服务器，这些服务器是大多数企业网络的核心，并使入侵者能够完全控制其目标。 微软今天在一条简短的推文中表示，伊朗的攻击是由微软威胁情报中心(MSTIC)检测到的，已经持续了至少两周。 MSTIC将这些攻击与一个伊朗黑客组织联系在一起，该公司追踪到的这个组织名为MERCURY，但他们MuddyWatter的绰号更为人所知。 该组织被认为是伊朗政府的承包商，在伊朗主要情报和军事部门伊斯兰革命卫队的命令下工作。 根据微软的《数字防御报告》，这个组织历史上曾针对非政府组织、政府间组织、政府人道主义援助和人权组织。 尽管如此，微软表示，”MERCURY”最近的目标包括 “大量参与难民工作的目标 “和 “中东地区的网络技术提供商”。 但当安全研究人员推迟公布细节，给系统管理员更多的时间打补丁时，Zerologon的武器化概念验证代码几乎在详细撰文的同一天公布，在几天内就引发了第一波攻击。 漏洞披露后，国土安全部给联邦机构三天时间打补丁或将域控制器从联邦网络中断开，以防止攻击，该机构预计攻击会到来，几天后，它们确实来了。 MERCURY攻击似乎是在这个概念验证代码公布后一周左右开始的，大约在同一时间，微软开始检测到第一个Zerologon利用尝试。     （稿源：cnBeta，封面源自网络。）

本次稳定版更新并不是修复存在于 Edge 中的漏洞，而是修复存在于 Chromium 浏览器中漏洞。新的稳定版本更新中修复了以下漏洞： ● CVE-2020-15960 ● CVE-2020-15961 ● CVE-2020-15962 ● CVE-2020-15963 ● CVE-2020-15964 ● CVE-2020-15965 ● CVE-2020-15966 微软将这些漏洞的严重性评级为高，建议用户尽快更新Microsoft Edge。 CVE-2020-15966是一个漏洞，它允许攻击者只使用一个精心制作的扩展程序从设备中获取敏感信息。一旦用户安装这些扩展程序，他们最终可能会读取浏览器中的敏感信息。CVE中写道：“ Chrome 85.0.4183.121 之前的版本中对扩展的策略执行不重返，允许攻击者使用特制的扩展程序来获取敏感信息。” CVE-2020-15960 本身也描述了一种非常简单的攻击方法，因为它要求攻击者只需将易受攻击的浏览器指向一个恶意的HTML页面。更具体地说，黑客可以在消息平台上或通过电子邮件向用户发送一个链接，将用户指向一个被入侵的网站托管代码，利用Chrome存储组件中的堆缓冲区溢出故障。     （稿源：cnBeta，封面源自网络。）

早些时候，美国土安全部旗下的网络与基础设施安全局（CISA）发布了有关 Windows Server 操作系统的罕见漏洞警告，因为攻击者可借此来完全控制网络上的每台计算机。此前 CISA 仅假设有黑客正在利用该漏洞，并建议系统管理员尽快部署微软八月发布的补丁更新。然而周四的时候，微软证实其已观察到新的 Windows 漏洞攻击。 作为近期曝光的最严重的 Windows 漏洞之一，按去哪研究人员证实其拿到了 10.0 的严重性评分，促使 CISA 建议所有政府机构、企业和个人立即部署微软几周前发布的修补程序。 由于 Netlogon 远程协议（MS-NRPC）漏洞太过严重，软件巨头还计划在明年初发布第二次更新，以进一步缓解这方面的隐患。 Zerologon 的危险性在于，其允许不怀好意者接管网络上的任何计算机，而无需事先窃取任何登陆凭证。攻击涉及伪造 Netlogon 的身份验证令牌，然后为所有功能敞开大门。 密码验证方案中的缺陷，使得这一切成为了可能。在被授予了度网络的访问权限之后，攻击者或借助其它恶意软件来感染计算机，并从受害设备上提取数据。 微软在本周四发布了有关此事的最新消息，称其正在积极追踪利用 CVE-2020-1472 Netlogon EoP 漏洞（简称 Zerologon）的活动，并表示已观察到有攻击者在具体实施中掺入了其它漏洞攻击。 KrebsOnSecurity 指出，该漏洞影响大多数受支持的 Windows Server 版本（从 2008 到 2019）。遗憾的是，尽管已经收到了 CISA 的警告，也不是每个人都能对其网络进行修补。 大多数 Windows 用户甚至对补丁不加理会，因而在管理员对网络进行修补之前，各企业单位和政府机构都将成为 Zerologon 攻击的潜在目标。     （稿源：cnBeta，封面源自网络。）

系统管理员认为，除非软件更新是专门修复安全漏洞，那么不要在更新出来之后立即安装。就 Windows 更新而言，更是如此。不过推荐用户还是尽快安装今年8月补丁星期二发布的累积更新，因为它修复了严重的 Zerologon 安全漏洞。 在8月的补丁星期二活动日中，微软修复了编号为 CVE-2020-1472 的安全漏洞，这可能是历史上最严重的漏洞之一。攻击者可以利用该漏洞接管企业网络中当作域控制器运行的Windows Servers，可以一键成为Domain Admin。 虽然该漏洞的CVSS 评分为满分10分，但细节从未公开过，也就是说用户和IT 管理员从未意识到该漏洞的严重程度有多高。 Netlogon 是 Windows 上一项重要的功能组件，用于用户和机器在域内网络上的认证，以及复制数据库以进行域控备份，同时还用于维护域成员与域之间、域与域控之间、域DC与跨域DC之间的关系。 通过伪造用于特定 Netlogon 功能的身份验证令牌，他能够调用一个功能以将域控制器的计算机密码设置为已知值。之后，攻击者可以使用此新密码来控制域控制器并窃取域管理员的凭据。     （稿源：cnBeta，封面源自网络。）

据外媒TechCrunch报道，一名安全研究人员发现，美民主党总统候选人乔·拜登的官方竞选应用存在隐私漏洞–任何人都可以查询数百万美国人的敏感选民信息。这款名为Vote Joe的竞选应用允许拜登的支持者在即将到来的美国总统大选中鼓励朋友和家人投票，方法是上传他们的手机联系人列表然后看看他们的朋友和家人是否已经注册投票。 据悉，这款应用将用户上传的联系人跟TargetSmart提供的选民数据进行匹配。TargetSmart是一家政治营销公司，声称拥有超1.91亿美国人的个人文件。 当完成匹配后，该应用就会显示选民的姓名、年龄和生日以及他们在最近的选举中投了票。该应用还称，这将被有助于用户找到自己认识的人并鼓励他们参与进来。 虽然大部分数据都已经可以公开，但这个漏洞可以让任何人都通过这个应用轻松访问任何一位选民的信息。 移动专家App Analyst在以自己的名字命名的博客上详细介绍了自己的发现。他指出，其可以通过在自己的手机上创建一个以选民名字命名的联系人名单来欺骗该应用获取任何人的信息。 他告诉TechCrunch，更糟糕的是，该应用吸收的数据比实际显示的要多得多。通过拦截进出设备的数据，他可以看到更详细、更私密的信息，其中包括选民的家庭住址、出生日期、性别、种族和支持的政党。 拜登的竞选团队修复了这个漏洞并在周五发布了一个应用更新。 拜登竞选团队发言人Matt Hill告诉TechCrunch：“我们被告知，我们的第三方应用开发商从商业数据中提供了不需要的额外信息。于是我们迅速跟供应商合作解决了这个问题并删除了这些信息。我们致力于保护我们的员工、志愿者和支持者的隐私，我们将一直跟供应商合作来做到这一点。” TargetSmart的一名发言人表示，其他用户可以访问有限数量的公开或商业可用数据。 实际上在政治竞选活动中，交易和共享大量选民信息的情况并不少见，这些信息被称为选民档案，其中包括选民的姓名、家庭住址、联系方式以及他们登记的政党等基本信息。每个州的选民档案都有着很大的不同。 虽然这些数据中有很多是可以公开获得的，但政治公司也试图从其他来源获取更多的数据来丰富他们的数据库进而帮助政治竞选活动识别和锁定关键的摇摆选民。     （稿源：cnBeta，封面源自网络。）

蓝牙无线技术背后的组织今天发布了关于设备供应商如何缓解对蓝牙功能设备新攻击的指南。新发现的BLURtooth是蓝牙标准中一个名为Cross-Transport Key Derivation（CTKD）组件中的漏洞。该组件用于在两个蓝牙功能设备配对时协商和设置认证密钥。 该组件的工作原理是为蓝牙低能（BLE）和基本速率/增强数据速率（BR/EDR）标准设置两套不同的认证密钥。CTKD的作用是准备好密钥，让配对的设备决定他们要使用什么版本的蓝牙标准。它的主要用途是蓝牙 “双模式 “功能。 但根据蓝牙特别兴趣小组(SIG)和卡内基梅隆大学CERT协调中心(CERT/CC)今天发布的安全通告，攻击者可以操纵CTKD组件覆盖设备上的其他蓝牙认证密钥，并允许通过蓝牙连接的攻击者访问同一设备上的其他蓝牙功能服务/应用。 在某些版本的BLURtooth攻击中，认证密钥可以被完全覆盖，而其他认证密钥可以降级使用弱加密。所有使用蓝牙4.0到5.0标准的设备都有漏洞。蓝牙5.1标准带有可以激活和防止BLURtooth攻击的功能。 蓝牙SIG组织官员表示，他们开始通知蓝牙设备的供应商关于BLURtooth攻击，以及他们如何在使用5.1标准时减轻其影响。在撰写本文时，补丁还没有立即可用。防止BLURtooth攻击的唯一方法是控制蓝牙设备配对的环境，以防止中间人攻击，或通过社会工程（欺骗人类操作员）与流氓设备配对。 不过，蓝牙SIG组织预计在某个时间点会有补丁，并且被集成作为固件或操作系统更新提供给蓝牙备。目前，这些更新的时间表还不清楚，因为设备供应商和操作系统制造商通常在不同的时间表上工作，一些设备供应商和操作系统制造商可能不会像其他供应商那样优先考虑安全补丁。 用户可以通过检查固件和操作系统的发布说明，查看CVE-2020-15802，即BLURtooth漏洞的bug标识，来跟踪他们的设备是否已经收到BLURtooth攻击的补丁。根据蓝牙SIG的说法，BLURtooth攻击是由洛桑联邦理工学院（EPFL）和普渡大学的两组学者独立发现的。     （稿源：cnBeta，封面源自网络。）

Bleeping Computer 援引安全研究员 Jimmy Bayne 的 Twitter 爆料称：Windows 10 的主题设置存在漏洞，恶意行为者可创建特定的主题来实施“哈希传递”（Pass-the-Hash）攻击，从而窃取用户的凭证。具体说来是，可安装与其它来源分离的主题功能，使得攻击者能够创建恶意主题文件，从而在文件打开时将用户重定向至需要输入其凭据的页面。 据悉，只需在桌面右键点击，即可引导至“个性化 -> 主题”设置页面。用户可接着点击“保存要分享的主题”，从而创建一个名为“.deskthemepack”的文件。 该方式创建的自定义主题，可通过电子邮件等渠道进行分享、下载和安装。攻击者亦可创建一个类似的“.theme”主题文件，但其中默认的壁纸设置可指向需要身份验证的网站。 当粗心的用户不慎输入其凭据时，包含详细信息的 NTLM 哈希值将被发送到站点进行身份验证，而后攻击者就能够通过特殊的逆运算软件来暴力破解非复杂的密码。 作为应对，Bleeping Computer 想到了通过组策略进行一些限制，以阻止将 NTLM 哈希凭证发送到远程主机。只是对于企业用户来说，这么做可能会干扰到正常的身份验证。 Bayne 补充道，其已将这些发现披露给微软安全响应中心（MSRC）。可惜由于这是一项“设计特性”，该 bug 并未得到修复。 至于软件巨头是否会在后续正式修复、或调整主题文件结构以防止不良利用行为，目前暂不得而知。     （稿源：cnBeta，封面源自网络。）