1· 高危BIOS漏洞影响多型号英特尔处理器

英特尔披露了两个高危漏洞影响多代英特尔处理器家族，漏洞允许攻击者和恶意程序获得更高的权限。漏洞由SentinelOne发现，编号为CVE-2021-0157和CVE-2021-0158，CVSS v3评分都是 8.3/10，前者与BIOS固件控制流管理有关，后者则与BIOS固件不正确输入验证有关。漏洞可被用于提权，但攻击者需要首先能物理访问机器。受影响的型号包括了7代、10代和11代酷睿处理器，至强E、E3 v6 和W系列等。英特尔没有披露更多细节，它建议用户如果有可用BIOS更新就打上补丁。考虑到7代酷睿已有5年历史，主板供应商不太可能还会释出BIOS更新。

2· FBI电邮系统被黑客入侵

据外媒报道，黑客在上周六入侵了FBI的一个电子邮件系统，发送了数万条假信息，警告可能发生网络攻击。FBI在声明中说，假电邮似乎发送自一个以@ic.fbi.gov结尾的合法FBI邮箱地址。现任全球专业服务主管表示，受感染的系统是一个非机密服务器，FBI人员使用它与组织外部进行通信，黑客似乎没有获得对包含国家机密或机密信息的内部数据库的访问权限。网络安全专家表示，电子邮件不包含任何恶意附件的事实可能表明黑客偶然发现了FBI门户中的漏洞，并且没有特别的计划来利用它。

3· 安全公司等待12个月后才报告9.8分高危漏洞

Palo Alto Networks的GlobalProtect VPN刚刚修复了一个缓冲溢出的高危漏洞，而安全公司Randori是在12个月前发现该漏洞，但一直将其作为秘密内部使。编号为CVE-2021-3064的高危漏洞(威胁评分 9.8/10)影响PAN-OS 8.1.17之前的版本，已有超过一年历史，但Randori根据Shodan搜索发现有大约1万台联网的企业服务器运行存在漏洞的版本。为何不尽早报告漏洞?Randori声称该漏洞作为红队的工具用于对客户的网络进行安全测试，表示0day漏洞对于客户以及整个网络安全世界的成功是必不可少的。

4· macOS曝出零日漏洞 有攻击者借此针对中文用户

据谷歌TAG研究人员透露，他们在8月下旬发现了一个恶意软件攻击，不法分子利用macOS操作系统的一个零日漏洞向香港一家媒体机构和一个著名民主劳工组织的网站发起了攻击。该漏洞编号为CVE-2021-30869(CVSS分数7.8)，恶意应用程序能够以内核权限执行任意代码。9月下旬，苹果修复了这一漏洞。在此次攻击事件中，不法分子还将另一个漏洞(CVE-2021-1789)串联起来组成攻击链，以便可以控制受害设备来安装他们的恶意软件。随着谷歌安全人员的披露，该漏洞和攻击事件才逐渐被知晓。

5· Ivanti：2021年Q3与勒索软件相关的漏洞增加了4.5%

Ivanti于近日发布了2021年Q3勒索攻击态势的分析报告。报告指出，第三季度与勒索软件相关的漏洞较之上一季度增加了4.5%，总数达到278个;勒索软件家族增加了3.4%，总数达到151个。报告还发现勒索运营团伙仍在积极利用零日漏洞;攻击中使用的技术也变得越来越复杂，例如dropper as-a-service;有3个可追溯到2020年或更早的漏洞与这一季度的新勒索软件有关。

6· 苹果被曝将上线数字证件引发争议

11月15日，外媒消息称苹果公司正在与美国多个州政府合作，计划推出iPhone用户的数字身份证或数字驾照等。苹果表示这是一种更安全更简便的方法，这项功能与苹果包括Face ID等生物特征安全措施相结合，可减少欺诈。苹果还要求对负责发放身份证的政府机构拥有高度控制权，具体而言，就是苹果对该计划的关键条款拥有解释权和决定权。美国州政府将公民信息的控制权交给一家科技公司的做法引起一些业内人士质疑，尤其是将公民生物特征等集成到移动设备，引发对隐私保护的担忧。

来源：安全419