【火绒安全周报】CPU再曝漏洞，涉及英特尔、AMD、ARM/研究人员让亚马逊自己黑自己

安全周报

PART.01

CPU再曝漏洞，涉及英特尔、AMD、ARM

近日，CPU又再次曝出一个漏洞，目前安全研究人员已公布PoC，其影响包括英特尔、AMD、ARM在内的厂商。据悉，安全人员发现，攻击者可以利用该漏洞绕过现有的基于硬件的防御措施，然后在上述厂商的CPU中进行推测执行，窃取用户的敏感信息。对此，英特尔、AMD和ARM发布公告了相关事件公告，并附上了缓解措施和更新建议，以此解决出现的CPU问题。到目前为止，AMD还没有发现在野利用的情况。

原出处：BLEEPLINGCOMPUTER

相关链接：

https://www.bleepingcomputer.com/news/security/intel-amd-arm-warn-of-new-speculative-execution-cpu-bugs

绒绒点评

梦回2018年

PART.02

研究人员让亚马逊自己黑自己

近日，有研究人员发现，亚马逊的智能音箱 Echo 自带的扬声器可以被用来发出语音指令，让其操作智能家居设备，或是拨打电话、通过网络购物。该智能音箱被唤醒词后会有一个执行命令，只需要在指令发出后 6 秒钟加上“Yes”，就能继续完成操作（对于一些敏感的操作也如此），这相当于绕过了 Echo 的防止误操作能力。研究人员将这一攻击称作“Alexa vs. Alexa”（AvA），随后还将报告发表在 arxiv 上。目前，亚马逊已提供修复补丁，建议相关用户及时更新。

原出处：solidot

相关链接：

https://security.solidot.org/?tdsourcetag=s_pcqq_aiomsg

绒绒点评

PART.03

英伟达泄露数据被用于病毒制作

据报道，英伟达数据被勒索组织攻击后，泄露的数据包括其开发人员用于签署驱动程序和可执行文件的两个签名证书（已过期）。近日，安全人员发现攻击者利用该证书制作成骗过系统的病毒。据VirusTotal显示，攻击者已开始尝试用证书给远程访问木马签名。据悉，Windows系统为了保证向下兼容性，防止系统无法启动，在某些情况下会接受2015年7月29日之前证书签发的驱动程序。因此，黑客用着过期证书，病毒也一样能伪装成合法的英伟达驱动程序。

原出处：cnBeta

相关链接：

https://www.cnbeta.com/articles/tech/1244419.htm

绒绒点评

PART.04

Firefox再爆两个0Day漏洞

近日，Mozilla对火狐(Firefox)网络浏览器进行了安全更新，其中包含了两个零日漏洞，（CVE-2022-26485和CVE-2022-26486）。数据显示，这两个漏洞被在野利用。成功利用该漏洞的攻击者可以在受损系统上执行任意代码。鉴于这些漏洞正被积极利用，建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

原出处：黑客技术

相关链接：

http://www.hackdig.com/03/hack-611536.htm

绒绒点评

赶紧修复起来

PART.05

三星190GB数据被窃取

据报道，上个月英伟达遭受勒索组织Lapsus$攻击后，韩国电子消费巨头三星电子约190GB数据也被该勒索组织窃取。这些数据包括安装在三星 TrustZone 环境中的受信任程序的源代码（三星的 Galaxy 手机会使用这些程序进行敏感操作）、所有生物识别解锁操作的算法以及三星Galaxy 设备的引导程序源代码等。由于高通和三星在智能设备领域有长期的深度合作，据称被盗的数据中还包括高通的机密数据。对此，三星表示没有任何属于消费者和员工的个人信息被盗。

原出处：security affairs

相关链接：

https://securityaffairs.co/wordpress/128712/cyber-crime/samsung-electronics-lapsus-ransomware.html

绒绒点评

科技无国界了

END