#互联网观察 ▎苹果M系列芯片存在硬件漏洞，软件层面修复困难

#互联网观察 ▎苹果M系列芯片存在硬件漏洞，软件层面修复困难 研究人员针对苹果基于 Arm 架构自研的 A 系列和 M 系列芯片进行研究，发现这些芯片存在硬件漏洞，只能从软件层面修补。但如果在软件层面修复则会降低芯片的性能。 研究人员通过设计恶意应用程序，利用上述漏洞，可以欺骗芯片的数据存取预取器（DMP），将与密钥相关的数据放入缓存中，从而重构出密钥获取电脑上的重要隐私。 苹果表示该公司已经计划在未来通过软件更新彻底解决这个漏洞。 ▎新闻引用 频道 @AppDoDo

MIT 研究人员发现苹果 M1 芯片无法修复的硬件漏洞

MIT 研究人员发现苹果 M1 芯片无法修复的硬件漏洞 MIT 研究人员发现苹果 M1 芯片存在一个无法修复的硬件漏洞，允许攻击者突破最后一道安全防线。漏洞存在于 M1 芯片硬件层安全机制 PAC（pointer authentication codes） 中。 PAC 旨在加大向硬件内存注入恶意代码的难度，为抵御缓冲区溢出漏洞增加一层防御。但 MIT 的研究人员开发出了一种新颖的硬件攻击Pacman ，利用预测执行泄露 PAC 验证结果。 研究人员证明该攻击对系统内核也有效。攻击是在本地进行的，攻击者需要登陆进系统并安装一个定制的 kext，操作难度很大。 IEEE Spectrum，solidot

苹果发布更新修复两个关键的安全漏洞

苹果发布更新修复两个关键的安全漏洞 苹果公司本周为iPhone、iPad和Mac发布了重要的软件更新，修复了苹果公司已知的被攻击者积极利用的两个安全漏洞。 这两个漏洞是在WebKit（为Safari和其他应用程序提供动力的浏览器引擎）和内核（基本上是操作系统的核心）发现的。这两个漏洞同时影响了iOS和iPadOS以及macOS Monterey。 苹果公司说，如果有漏洞的设备访问或处理 "恶意制作的网页内容可能导致任意代码执行"，WebKit的漏洞就会被利用，而第二个漏洞允许恶意应用程序 "以内核权限执行任意代码"，这意味着对设备的完全访问。这两个缺陷被认为是相关的。... 苹果公司表示，iPhone 6s及以后的机型、iPad Air 2及以后的机型、iPad第五代及以后的机型、iPad mini 4及以后的机型和iPod touch（第七代），以及所有iPad Pro机型都受到影响。

在间谍软件供应商的推动下 2023年被恶意利用的0day漏洞猛增50%

在间谍软件供应商的推动下 2023年被恶意利用的0day漏洞猛增50% 在 97 个0day漏洞中，研究人员能够确定其中 58 个漏洞的威胁者动机。其中 48 个漏洞归因于间谍行为，其余 10 个归因于出于经济动机的黑客。FIN11 利用了三个0day，Nokoyawa、Akira、LockBit和Magniber四个勒索软件团伙分别利用了另外四个0day。报告指出，FIN11 是影响Accellion 传统文件传输设备的2021 0day的幕后黑手，该设备被用于攻击数十家知名机构。研究人员说："FIN11 高度关注文件传输应用，这些应用提供了对受害者敏感数据的高效访问，无需横向网络移动，简化了外流和货币化的步骤。随后，大规模勒索或勒索软件活动带来的巨额收入很可能会助长这些组织对新漏洞的额外投资"。其中值得注意的是，与中国有关联、专注于间谍活动的黑客制造了 12 起0day事件，高于 2022 年的 7 起。研究人员广泛报道了几起源自中国的活动，包括明确针对梭子鱼（Barracuda）电子邮件安全网关的活动，黑客的目标是东盟成员国外交部的电子邮件域和用户，以及台湾和香港的外贸办事处和学术研究机构的个人。Google指出，其中一个0day漏洞与Winter Vivern有关，这是一个由白俄罗斯国家赞助的网络组织，曾多次攻击乌克兰和其他欧洲国家。Google说，这是已知的第一个与白俄罗斯有关联的间谍组织在其活动中利用0day漏洞的实例，这表明该组织"日益复杂"。就目标产品而言，研究人员发现，威胁行为者寻求"产品或组件中的漏洞，这些产品或组件提供了对多个目标的广泛访问"。研究人员说，梭子鱼电子邮件安全网关、思科自适应安全设备、Ivanti Endpoint Manager Mobile and Sentry和趋势科技 Apex One等企业专用技术多次成为攻击目标，并补充说，这些产品通常提供广泛的访问权限和高级权限。商业间谍软件供应商的参与2023 年企业专用技术开发量的增长主要受安全软件和设备开发量的推动。商业监控供应商（CSV）是浏览器和移动设备漏洞利用的罪魁祸首，在 2023 年针对Google产品和Android生态系统设备的已知0day漏洞中，Google占 75%（17 个漏洞中的 13 个）。TAG 公司的研究人员 Maddie Stone 说，Google的0day发现最令人震惊的是，大量漏洞被 CSV 在野外利用，而且缺乏针对该行业的全球规范。她说："我们已经广泛记录了 CSV 造成的危害，但它们仍占针对最终用户的0day漏洞的大多数。"这家科技巨头再次警告说，商业监控行业继续向世界各国政府出售尖端技术，这些技术利用消费设备和应用程序中的漏洞，"在个人设备上偷偷安装间谍软件"。私营公司参与发现和销售漏洞已有多年，但我们注意到，在过去几年中，由这些行为者驱动的漏洞利用明显增加。Google今年 2 月表示，它正在追踪至少 40 家参与制造间谍软件和其他黑客工具的公司，这些间谍软件和黑客工具被出售给政府，并被用来对付"高风险"用户，包括记者、人权活动家和持不同政见者。浏览器内部攻击Google还指出，第三方组件和库中的漏洞是"一个主要的攻击面，因为它们往往会影响多个产品"。2023 年，Google发现这种针对浏览器的攻击有所增加。他们发现有三个浏览器0day漏洞被第三方组件利用，影响了不止一个浏览器。报告指出，影响 Chrome 浏览器的 CVE-2023-4863 和影响 Safari 浏览器的 CVE-2023-41064"实际上是同一个漏洞"，并补充说它还影响了Android和Firefox浏览器。他们还引用了 CVE-2023-5217 - 一个去年出现的影响 libvpx 的头条漏洞。去年还有其他几个浏览器内部工具也被利用。令人惊讶的是，去年没有发现针对 macOS 的野外0day漏洞。Google解释说，虽然发现的一些 iOS 漏洞由于共享组件也会影响 macOS，但发现的漏洞只针对 iPhone。"2023年，有8个被利用的0day针对Chrome浏览器，11个针对Safari浏览器。"研究人员说："跟踪到的 Safari 浏览器0day程序被用于针对 iPhone 的链中，而除了一个 Chrome 浏览器0day程序外，其他所有0day程序都被用于针对 Android 设备链中。"Google警告说，随着越来越多的黑客投入巨资进行研究，被利用的零漏洞数量很可能会继续增加。0day漏洞利用"不再仅仅是少数行为者可以利用的利基能力，我们预计，随着供应商继续减少其他入侵途径，以及威胁行为者将越来越多的资源集中在0day漏洞利用上，我们在过去几年中看到的增长可能会继续下去"。TAG 的斯通告诉 Recorded Future News，报告中最有希望的发现是Google的 MiraclePtr 和苹果的 Lockdown 模式等供应商的缓解措施，这两种措施都成功地阻止了对许多野外使用的漏洞链的利用。她补充说："这表明了供应商在安全方面的投资如何能够产生明显的影响，使攻击者更难利用0day利用用户。" ... PC版： 手机版：

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞

Google Chrome v124.0.6367.201/.202版紧急更新 修复高危安全漏洞 基于安全性考虑通常新版本发布时谷歌不会立即透露漏洞的完整细节避免更多黑客利用漏洞展开攻击，待大多数用户已经更新到不受影响的版本时，谷歌才会逐渐向研究人员和公众披露漏洞细节。此次修复的这枚漏洞编号为 CVE-2024-4671，漏洞位于视觉组件中，属于 Use-after-free 类的安全漏洞，由匿名安全研究人员在 5 月 8 日报告给谷歌。如此快发布更新进行修复的原因在于，谷歌已经意识到已经有黑客在野外利用这类漏洞发起攻击，所以谷歌接到通报后就立即着手修复并发布新版本。需要提醒的是此漏洞影响 Chromium 浏览器 / 内核，因此接下来基于 Chromium 开发的浏览器包括但不限于 Microsoft Edge、Vivaldi、Opera、Brave 等浏览器也都需要发布新版本修复该漏洞。建议使用其他 Chromium 浏览器的用户也注意开发商发布的更新，如果有更新最好立即安装避免漏洞遭到利用影响安全性。注：124.0.6367.202 版适用于 Windows 和 Mac，124.0.6367.201 版适用于 Linux 系统。 ... PC版： 手机版：

Chrome 发现严重漏洞，可导致浏览器崩溃可破坏用户数据

Chrome 发现严重漏洞，可导致浏览器崩溃可破坏用户数据 2月中旬，「零日漏洞」在Chrome 被安全研究人员发现，「零日漏洞」 (zero-day)又叫零时差攻击，是指被发现后立即被恶意利用的安全漏洞，这种攻击往往具有很大的突发性与破坏性。强大如Google 也遭到这一「待遇」。 据 Google 相关证据表明，在Chrome 已经发现黑客利用该漏洞发起攻击一事，最重要的是在Chrome 浏览器Animation 代码中发现的「use after free」漏洞。该漏洞可以导致浏览器崩溃，也可以配合其他行动破坏用户数据，植入并启动恶意代码造成各种混乱。这段时间谨慎利用Chrome 里面种种程式，如果要使用，那么一定要彻底地检测它们，如果不这样做，可能会损失惨重。 让人安心点的就是， Chrome 浏览器已经准备好更新，以修补这个最为严重的高危漏洞，之后的时间里将修补另外的10个漏洞，为安全起见，请即时更新至Chrome v98.0.4758 以上。 Qooah