您所在的位置: 首頁 >
新聞資訊 >
威脅情報 >
安全快訊 | 高危BIOS漏洞影響多型號英特爾處理器
1· 高危BIOS漏洞影響多型號英特爾處理器
英特爾披露了兩個高危漏洞影響多代英特爾處理器家族,漏洞允許攻擊者和惡意程序獲得更高的權(quán)限。漏洞由SentinelOne發(fā)現(xiàn),編號為CVE-2021-0157和CVE-2021-0158,CVSS v3評分都是 8.3/10,前者與BIOS固件控制流管理有關(guān),后者則與BIOS固件不正確輸入驗證有關(guān)。漏洞可被用于提權(quán),但攻擊者需要首先能物理訪問機器。受影響的型號包括了7代、10代和11代酷睿處理器,至強E、E3 v6 和W系列等。英特爾沒有披露更多細(xì)節(jié),它建議用戶如果有可用BIOS更新就打上補丁??紤]到7代酷睿已有5年歷史,主板供應(yīng)商不太可能還會釋出BIOS更新。
2· FBI電郵系統(tǒng)被黑客入侵
據(jù)外媒報道,黑客在上周六入侵了FBI的一個電子郵件系統(tǒng),發(fā)送了數(shù)萬條假信息,警告可能發(fā)生網(wǎng)絡(luò)攻擊。FBI在聲明中說,假電郵似乎發(fā)送自一個以@ic.fbi.gov結(jié)尾的合法FBI郵箱地址?,F(xiàn)任全球?qū)I(yè)服務(wù)主管表示,受感染的系統(tǒng)是一個非機密服務(wù)器,F(xiàn)BI人員使用它與組織外部進(jìn)行通信,黑客似乎沒有獲得對包含國家機密或機密信息的內(nèi)部數(shù)據(jù)庫的訪問權(quán)限。網(wǎng)絡(luò)安全專家表示,電子郵件不包含任何惡意附件的事實可能表明黑客偶然發(fā)現(xiàn)了FBI門戶中的漏洞,并且沒有特別的計劃來利用它。
3· 安全公司等待12個月后才報告9.8分高危漏洞
Palo Alto Networks的GlobalProtect VPN剛剛修復(fù)了一個緩沖溢出的高危漏洞,而安全公司Randori是在12個月前發(fā)現(xiàn)該漏洞,但一直將其作為秘密內(nèi)部使。編號為CVE-2021-3064的高危漏洞(威脅評分 9.8/10)影響PAN-OS 8.1.17之前的版本,已有超過一年歷史,但Randori根據(jù)Shodan搜索發(fā)現(xiàn)有大約1萬臺聯(lián)網(wǎng)的企業(yè)服務(wù)器運行存在漏洞的版本。為何不盡早報告漏洞?Randori聲稱該漏洞作為紅隊的工具用于對客戶的網(wǎng)絡(luò)進(jìn)行安全測試,表示0day漏洞對于客戶以及整個網(wǎng)絡(luò)安全世界的成功是必不可少的。
4· macOS曝出零日漏洞 有攻擊者借此針對中文用戶
據(jù)谷歌TAG研究人員透露,他們在8月下旬發(fā)現(xiàn)了一個惡意軟件攻擊,不法分子利用macOS操作系統(tǒng)的一個零日漏洞向香港一家媒體機構(gòu)和一個著名民主勞工組織的網(wǎng)站發(fā)起了攻擊。該漏洞編號為CVE-2021-30869(CVSS分?jǐn)?shù)7.8),惡意應(yīng)用程序能夠以內(nèi)核權(quán)限執(zhí)行任意代碼。9月下旬,蘋果修復(fù)了這一漏洞。在此次攻擊事件中,不法分子還將另一個漏洞(CVE-2021-1789)串聯(lián)起來組成攻擊鏈,以便可以控制受害設(shè)備來安裝他們的惡意軟件。隨著谷歌安全人員的披露,該漏洞和攻擊事件才逐漸被知曉。
5· Ivanti:2021年Q3與勒索軟件相關(guān)的漏洞增加了4.5%
Ivanti于近日發(fā)布了2021年Q3勒索攻擊態(tài)勢的分析報告。報告指出,第三季度與勒索軟件相關(guān)的漏洞較之上一季度增加了4.5%,總數(shù)達(dá)到278個;勒索軟件家族增加了3.4%,總數(shù)達(dá)到151個。報告還發(fā)現(xiàn)勒索運營團伙仍在積極利用零日漏洞;攻擊中使用的技術(shù)也變得越來越復(fù)雜,例如dropper as-a-service;有3個可追溯到2020年或更早的漏洞與這一季度的新勒索軟件有關(guān)。
6· 蘋果被曝將上線數(shù)字證件引發(fā)爭議
11月15日,外媒消息稱蘋果公司正在與美國多個州政府合作,計劃推出iPhone用戶的數(shù)字身份證或數(shù)字駕照等。蘋果表示這是一種更安全更簡便的方法,這項功能與蘋果包括Face ID等生物特征安全措施相結(jié)合,可減少欺詐。蘋果還要求對負(fù)責(zé)發(fā)放身份證的政府機構(gòu)擁有高度控制權(quán),具體而言,就是蘋果對該計劃的關(guān)鍵條款擁有解釋權(quán)和決定權(quán)。美國州政府將公民信息的控制權(quán)交給一家科技公司的做法引起一些業(yè)內(nèi)人士質(zhì)疑,尤其是將公民生物特征等集成到移動設(shè)備,引發(fā)對隱私保護(hù)的擔(dān)憂。
來源:安全419