微软最近通过 Windows Store 发布了墙纸应用 Bing Wallpaper，用 Bing 的每日图片更换用户的桌面背景。研究了该墙纸应用的开发者报告它含有类似恶意程序的功能。它会自动安装 Bing Visual Search，解密保存在其它浏览器的 cookie 代码，地理位置 Web API，它还会尝试将 Edge 设置为默认系统浏览器。如果默认浏览器不是 Edge，它会在稍后打开默认浏览器，要求启用之前安装的 Microsoft Bing Search for Chrome 扩展。

上个月《华尔街日报》报道称中国黑客入侵了美国的电信基础设施，本周《华盛顿邮报》和《纽约时报》公布了更多信息。黑客组织被称为 Salt Typhoon，他们能利用美国执法机构在电信基础设施中设置的后门去监听电话和阅读短信。黑客无法监听加密的内容，意味着支持端对端加密的应用如 Signal 和苹果的 iMessage 可能不受影响，但苹果设备和 Android 设备之间的短消息使用的端到端加密方式不同，可能容易被 Salt Typhoon 拦截。

安全公司 ESET 的研究人员发现了针对 Linux 的新后门 WolfsBane，与 APT 组织 Gelsemium aka “狼毒草”有关联。WolfsBane 被认为是 Gelsemium 使用的 Windows 后门 Gelsevirine 的 Linux 变种，Gelsemium 组织此前主要对东亚和中东的实体发动攻击。研究人员还发现了另一个 Linux 后门 FireWood，Gelsemium 此前使用过一个与之有关联的后门 Project Wood。

Ubuntu Linux 默认使用的 needrestart 工具发现了 5 个本地提权漏洞，该漏洞是在 2014 年 4 月释出的 needrestart v0.8 中引入的，刚刚释出的 v3.8 修复了漏洞。漏洞允许本地访问的攻击者将权限提升到 root。五个漏洞分别编号为 CVE-2024-48990、CVE-2024-48991、CVE-2024-48992、CVE-2024-10224 和 CVE-2024-11003。Needrestart 被用于识别包更新后需要重新启动的服务，确保服务运行最新版本的共享库。

在披露严重远程代码执行(RCE) 漏洞后，友讯（D-Link）建议旧型号 VPN 路由器的用户淘汰和更换其设备。CVE 编号尚未分配，漏洞细节尚未披露，因为公开细节可能会导致漏洞被广泛利用。目前所知的是该漏洞属于缓冲溢出漏洞，会导致未经身份验证的远程代码执行。友讯警告，如果客户继续使用受影响的产品，连接路由器的设备也会面临安全风险。受影响设备包括：DSR-150（2024 年 5 月终止支持)，DSR-150N (同上)，DSR-250(同上)，DSR-250N(同上)，DSR-500N (2015 年 9 月终止支持) 和 DSR-1000N (2015 年 10 月终止支持)。

间谍软件公司如何运营其业务？向客户出售间谍软件之后就置身事外，还是客户提供了监视目标之后由该公司植入恶意程序窃取情报之后交给客户？根据 WhatsApp 诉 NSO Group 案件本周公布的文件，间谍软件的运营完全由该公司而不是其客户完成。Meta 旗下的消息应用 WhatsApp 在 2019 年对以色列公司 NSO Group 提起诉讼，指控它在 2019 年 4 月 29 日到 5 月 10 日之间利用 WhatsApp 服务漏洞帮助客户入侵了至少 1400 名用户的手机。NSO 的客户包括了沙特阿拉伯、迪拜、印度、墨西哥、摩洛哥和卢旺达等国。WhatsApp 控诉的一个核心依据是运营间谍软件的是 NSO 而不是其政府客户。NSO 则坚称它不知道客户的目标，其产品旨在预防严重犯罪和恐怖主义，客户有义务不滥用间谍软件。根据 NSO 员工的证词，客户只需输入目标的电话号码，其余则由系统自动完成。换句话说，间谍软件的运行不是客户操作的。通过设计和持续更新其间谍软件 Pegasus，NSO 独自决定了访问 WhatsApp 服务器窃取目标手机上的信息。

2022 年 4 月，哈萨克斯坦政府暴力镇压全国抗议活动四个月后，网络安全研究人员发现当局在智能手机上部署间谍软件去窃听公民。间谍软件不是由哈萨克斯坦政府开发的，也不是来自以色列，而是来自于意大利公司 RCS Labs。根据 Wikileaks 在 2015 年公开的文件，RCS 与巴基斯坦、智利、蒙古、孟加拉国、缅甸、越南和土库曼斯坦的军方和情报机构打过交道。安全专家称，意大利有六家大型的间谍软件供应商，以及很多小型的相关企业。以色列间谍软件公司如 NSO Group 以开发先进的零点击间谍软件闻名，意大利公司则专注于廉价工具，因此不那么引人注目。因缺乏监管，意大利的间谍软件便宜且使用频率高。意大利记者 Riccardo Coluccini 称，当局最近几年执行了数千次间谍软件行动。

亚马逊证实在第三方供应商发生安全事故后其员工信息遭到泄露。亚马逊表示它以及 AWS 是安全的，没有发生安全事故。亚马逊称它收到通知，其物业管理供应商发生了安全事故，影响亚马逊在内的多个客户，泄露的员工信息与工作相关，如工作电邮地址、办公桌电话号码和建筑位置。敏感信息如社会安全号码或财务信息未受影响。此前有黑客在论坛 BreachForums 发帖称拥有逾 280 万行从亚马逊窃取的数据，这些数据是在去年的 MOVEit Transfer 安全事件期间盗取的。

友讯（D-Link）证实不会修复旧型号 NAS 设备的高危漏洞，它称已停止制造 NAS 设备，相关设备都已经终止支持。受影响的型号包括 DNS-320 Version 1.00、DNS-320LW Version 1.01.0914.2012、DNS-325 Version 1.01 和 Version 1.02，以及 DNS-340L Version 1.08。编号为 CVE-2024-10914 的漏洞是一个命令注入漏洞，风险等级 9.2/10，存在于 cgi_user_add 命令中，其 name 参数的数据清洗处理不充分。通过向设备发送特制 HTTP GET 请求，攻击者能利用漏洞注入任意 shell 命令。搜索显示有逾 6 万台联网友讯 NAS 设备受到该漏洞影响。友讯建议退役这些设备或者将其脱离公网。

英特尔工程师 Dave Hansen 递交了一则 RFC 补丁，建议内核维护一个针对每个英特尔 CPU 系列的最新微码列表，如果 CPU 运行旧版本的微码，那么将会被视为存在漏洞而对用户发出警告，但这并不会阻止旧版本微码的 CPU 继续工作。微码通常被用于缓解 CPU 问题，其中很大一部分问题与安全相关。Hansen 认为如果系统运行旧版本的微码，那么你就无法相信系统是安全的，所以运行旧版本微码的系统就被视为存在漏洞。

法国施耐德电气公司证实正在调查一起网络安全事件，而勒索组织 Hellcat 宣称它窃取了逾 40 GB 的压缩数据，要求该公司以法棍支付 12.5 万美元赎金，否则其敏感的客户和运营信息将被泄露。施耐德拒绝置评与法棍或加密货币支付赎金的相关报道，只声明其产品和服务未受影响。Hellcat 组织称它是通过施耐德的 Atlassian Jira 系统访问了其基础设施。这是施耐德电气在不到两年时间内第三次遭到入侵。

Windows 10 即将于 2025 年 10 月 14 日终止支持，之后微软不再提供安全更新。根据 Statcounter 的统计，截至 2024 年 10 月，Windows 10 仍然是市场占有率最高的 Windows 版本，Windows 10 占 60.97%，之后是 Win11 35.55%，Win7 2.62%，Win8.1 0.31%，WinXP 0.28%，Win8 0.19%。Windows 10 的份额在逐月下降，但到明年 10 月它的用户群仍然会十分庞大，大部分不太可能会升级到 Windows 11（该版本提升了硬件需求）。对于这些用户，微软将向他们提供一次性的为期一年的扩展安全更新，费用为 30 美元。

微软警告，俄罗斯情报机构正利用远程桌面协议(RDP)发动大规模钓鱼攻击。这一攻击最早是在 10 月 22 日发现的，其目标是政府、非政府组织、学界和国防机构。攻击者被命名为 Midnight Blizzard aka APT29 和 Cozy Bear，被认为隶属于俄罗斯对外情报局(SVR)。攻击者向 100 多个组织的数千人发送了钓鱼邮件，邮件附件包含了 RDP 配置文件。一旦受害者运行配置文件，会建立与 Midnight Blizzard 所控制系统的 RDP 连接，攻击者可利用配置文件窃取大量信息。

X.Org 项目披露了两个安全漏洞，其中之一的 CVE-2024-9632 是一个本地提权漏洞，在代码库中已存在 18 年之久。CVE-2024-9632 是于 2006 年在 X.Org Server 1.1.1 版本中引入的，影响 X.Org Server 和 XWayland。通过向 X.Org Server 提供一个修改的位图，可能会诱发堆缓冲溢出提权。问题存在于 _XkbSetCompatMap() 中，源于未能正确更新堆大小，如果 X.Org Server 以 root 运行或通过 SSH 用 X11 进行远程代码执行，可能导致本地提权。

微软资深安全工程师 Ross Bevington 在 BSides Exeter 信息安全会议上分享了该公司利用现已退役的 code.microsoft.com 创建蜜罐，大规模欺骗钓鱼者，消耗钓鱼者的时间，跟踪钓鱼者使用的策略。Bevington 的团队创建了信息足以以假乱真的数千蜜罐账号，根据 Defender 识别的钓鱼域名主动访问钓鱼网站，输入蜜罐账号，然后观察钓鱼者登录蜜罐账号，用日志记录其一举一动。他们收集的情报包括 IP 地址、浏览器、位置、行为模式、是否使用 VPN 或 VPS，以及依赖的网络钓鱼工具包等。这种欺骗技术会消耗攻击者 30 天的时间，然后对方才会意识到入侵了虚假环境。收集的情报可用于创建更好的防御策略。

在四起车祸其中包括一次致命车祸之后，汽车安全监管机构美国国家公路交通安全管理局(NHTSA)开始调查特斯拉的 Full Self-Driving（FSD）软件。Full Self-Driving 并不是其名字意义上的全自动驾驶软件，它仍然是辅助驾驶软件，且其在功能上受限于使用的硬件（它主要依赖于摄像头而没有使用激光雷达等其它传感器）。NHTSA 表示，四起车祸中 FSD 都启用了，事故发生时天气处于太阳眩光、雾或灰尘等低能见度状况下。2023 年 11 月，亚利桑那州 Rimrock 市的一名行人在被一辆 2021 年型号的特斯拉 Model Y 撞倒后死亡。另一起正在调查的车祸据报发生了受伤状况。

中国网络空间安全协会发表了一篇文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》，列举了英特尔产品的多个问题，包括 CPU 侧信道漏洞，第 13、14 代高端酷睿桌面处理器不稳定性问题，IPMI（智能平台管理接口），ME（管理引擎）等等，建议对英特尔在华销售产品启动网络安全审查，切实维护中国国家安全和中国消费者的合法权益。英特尔官方微信发表声明，作为一家在华经营近 40 年的跨国公司，英特尔严格遵守业务所在地适用的法律和法规。“英特尔始终将产品安全和质量放在首位，一直积极与客户和业界密切合作，确保产品的安全和质量。我们将与相关部门保持沟通，澄清相关疑问，并表明我们对产品安全和质量的坚定承诺。”

Google 的内部分析估计，四分之三的 0day 漏洞利用属于内存安全漏洞。为了减少此类漏洞，Google 多年来一直在推动使用内存安全语言，减少内存不安全代码的风险。它没有试图用内存安全语言完全重写相关的成熟代码，而是在新代码开发中尽可能的使用内存安全语言。它正将高性能内存安全语言 Rust 的使用范围从 Android 扩大到服务器、应用程序和嵌入式生态系统中。它在 Android 的网络、固件和图形堆栈部分使用了包括 Rust 在内的内存安全语言，过去几年 Android 系统报告的内存安全漏洞显著减少，从 2019 年的 220 多个降至今年年底的大约 36 个。这一结果证明了其战略转移的有效性。

之前的实验表明，智能手机中的陀螺仪和加速计等惯性测量单元（IMU），可以通过检测声波振动监听对话。这意味着，即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息，Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次，使攻击者无法准确获得对话内容。根据发表在预印本平台 arXiv 上的预印本，研究人员发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量，将应用实际采样率从每秒 200 次提高到 400 次，可以突破上述保护措施。利用这种方法，攻击者能修复获得的音频量大大提升。与每秒仅采集 200 个样本相比，他们的方法在 AI 转录时单词错误率降低了 83%。这表明，目前的安全保护措施“不足以防止复杂的窃听攻击发生”，应该对其重新评估。

Windows 10 将于 2025 年 10 月 14 日终止支持，恰好是 365 天之后。大部分 Windows 10 用户将不会再获得安全更新，使用长期支持版本 Long Term Servicing Channel 的客户则还有更多时间，Windows 10 IoT Enterprise LTSC 扩展支持到 2032 年 1 月 13 日，Windows 10 Enterprise LTSC 将支持到 2029 年 1 月 9 日。根据 Statcounter 的统计，截至 2024 年 9 月，Windows 10 仍然是市场占有率最高的 Windows 版本，Windows 10 占 62.79%，之后 Win11 33.37%，Win7 2.85%，Win8.1 0.36%，WinXP 0.34%，Win8 0.22%。