HardenedVault 写道 "在x86/amd64架构下，Linux内核通常被打包成bzImage格式，其中包含用于引导参数的部分填充数据结构，以及16位实模式，32位保护模式和64位长模式的多个阶段入口点（如果为amd64构建），最后一个阶段是自解压缩平面二进制文件，它将正确解压缩和执行gzip压缩的内核映像， 也以平面二进制的格式，存储在其数据段中。每个阶段都将初始化下一阶段的正确执行环境，将CPU切换到下一阶段可以工作的模式，然后执行下一阶段。当然，Linux内核能够从16位实模式启动，但它也允许引导加载程序为以后阶段准备执行环境（例如32位保护模式或64位长模式），并从相应的入口点执行Linux内核。例如，如果引导加载程序本身主要在 32 位保护模式下工作，那么从其 32 位保护模式入口点引导 Linux 内核将是最有效的方法，而为 amd64 构建的 Linux 内核将在使用 kexec 引导另一个为 amd64 构建的 Linux 内核时选择 64 位长模式的入口点。最近，QEMU 的一个bug导致 kexec 之后的内核崩溃，因为 kexec-ed 内核将无法解压缩压缩的 initrd。此错误仅影响在 QEMU 中使用压缩内联的新 Linux 内核。物理机器上的 kexec，以及在 QEMU 中使用压缩的 initrd 引导 Linux 内核的其他方法，均不受影响。

当然，在 QEMU 中，使用未压缩的initrd来创建新Linux内核是有效的，因此，如果您想在 QEMU中使用基于kexec的引导加载程序，则可能必须使用未压缩的initrd才能引导目标系统。HardenedVault（赛博堡垒）的Vault Labs使用此类方法成功完成了vTPM环境下的远程证明。"

Retbleed 是最近公布的 CPU 预测执行漏洞攻击，影响 ARM、英特尔和 AMD CPU。Linux 内核最近开始加入相关的修复补丁。VMware 工程师在 Linux 5.19 上测试了补丁，结果显示它导致了巨大的性能开销。在 ESX 上运行 Linux 虚拟机，使用单个 vCPU 时，计算性能下降最高 70% ，网络性能下降 30%，存储性能下降最高 13%。关闭补丁之后性能恢复到 Linux 5.18 的水平。如此巨大的性能开销会对应用性能产生影响。VMware 工程师是在英特尔 Skylake CPU 上进行的测试，较新的 CPU 解决了大部分相关问题。

勒索软件黑帮阎罗王（音 Yanluowang）声称从思科网络窃取了数以千计的文件，总容量 55GB，其中包括机密文件、技术图表和源代码。但阎罗王没有提供证据证明其说法，只是公布了一张访问思科开发系统的屏幕截图。思科证实，阎罗王勒索软件组织在今年五月的一次攻击中从企业网络窃取了部分数据，但否认有任何敏感数据被盗。思科称阎罗王盗取了一名雇员的 VPN 账号，访问了该雇员的 Box 文件夹，但在勒索软件尝试加密系统前攻击就被阻止了。阎罗王是一个最近出现的勒索软件组织。

根据一项对 641 名医疗行业 IT 和安全从业者自我报告调查《Cyber Insecurity in Healthcare: The Cost and Impact on Patient Safety and Care》，网络攻击最常见的后果是手术和测试推迟，导致病人恢复结果不佳，并发症增加。对医院造成最严重后果的网络攻击类型是勒索软件攻击，报告称近四分之一的被调查机构病人死亡率上升，64% 的医疗机构手术或测试推迟，59% 的机构病人住院时间延长。报告称，89% 的接受调查的机构过去一年平均经历 43 次网络攻击。最常见的攻击类型是云端入侵、勒索软件、供应链攻击，以及商业电子邮件入侵或钓鱼。

Google 安全团队 TAG 跟踪了对乌克兰发动网络战的黑客组织 UAC-0098，认为有很多迹象显示 UAC-0098 的部分成员来自 Conti 勒索软件黑帮。UAC-0098 的攻击者最近从发动勒索软件攻击获取金钱转向了攻击乌克兰组织、乌克兰政府、欧盟人道主义和非营利组织。Google TAG 认为，UAC-0098 的活动代表了东欧地区黑客组织在经济动机和政府支持活动之间的模糊界限，他们会根据地区地缘政治利益而改变攻击目标。安全研究人员发现，UAC-0098 利用了 Conti 黑帮的私有后门 AnchorMail。

NAS 设备制造商 QNAP 发布安全警告，督促客户立即更新他们的联网存储设备，以防御勒索软件 DeadBolt 的攻击。DeadBolt 利用 QNAP NAS 设备上 Photo Station 软件的漏洞感染设备破坏用户储存的数以 TB 的数据。QNAP 督促客户禁用端口转发功能并更新固件修复漏洞。受影响的版本为：
QTS 5.0.1: Photo Station 6.1.2 及以上版本
QTS 5.0.0/4.5.x: Photo Station 6.0.22 及以上版本
QTS 4.3.6: Photo Station 5.7.18 及以上版本
QTS 4.3.3: Photo Station 5.4.15 及以上版本
QTS 4.2.6: Photo Station 5.2.14 及以上版本

对阿尔巴尼亚政府的网络攻击在 7 月中旬导致政府网站和公共服务中断数小时。俄罗斯一开始被认为是最可能的攻击嫌疑人，但上个月安全公司报告伊朗才是攻击发起者，伊朗的动机与自由伊朗世界峰会将在阿尔巴尼亚举行有关。 本周三阿尔巴尼亚总理 Edi Rama 宣布断绝与伊朗的外交关系，驱逐伊朗大使馆工作人员，他们被勒令在 24 小时内离开阿尔巴尼亚。此次针对阿尔巴尼亚政府的网络攻击被称为是一次国家侵略行动。这是已知第一次一个国家因网络攻击而断绝外交关系。

Chrome 释出紧急更新，修复正被利用的高危 0day 漏洞。该漏洞是 Mojo 组件数据验证不足导致的，编号为 CVE-2022-3075。基于 Chromium 的 Microsoft Edge 也释出更新修复相同的漏洞。最新的紧急更新是今年至今 Chrome 浏览器第六次修复 0day：CVE-2022-0609（二月）、CVE-2022-1096（三月）、CVE-2022-1364（四月）、CVE-2022-2294（七月） 和 CVE-2022-2856（八月）。

在全世界逾一百个国家经营 6,028 家酒店的洲际酒店集团证实遭到网络攻击，其房间预定功能等应用受到严重干扰。洲际酒店未提供更多细节，没有披露客户数据是否遭到窃取。它在声明中表示正在恢复受影响系统，暗示这可能是一次勒索软件攻击——勒索软件会加密网络中的系统。绝大部分勒索软件攻击除了加密系统还会窃取数据，以便于对受害者进行双重勒索。上个月，勒索软件黑帮 Lockbit 声称攻击了洲际酒店旗下的 Holiday Inn Istanbul Kadıköy。

上周五名叫 AgainstTheWest 的黑客组织在一个黑客论坛发帖声称入侵了 TikTok 和微信，称他们访问了一个阿里云实例，其中含有 TikTok 和微信用户数据。AgainstTheWest 称它访问了一个 790GB 大小的数据库，有 20.5 亿条记录，其中包括用户数据、平台统计、软件代码、cookies、身份令牌、服务器信息等等。TikTok 发表声明否认了黑客组织的说法，称黑客分享的源代码与该平台无关。微信尚未对此发表声明。

国家计算机病毒应急处理中心和安全公司奇虎 360 发表报告称，NSA 的 TAO 攻击了西北工业大学。报告称， TAO 利用了 SunOS（最后一个版本是在 1994 年发布的）的两个 0day EXTREMEPARR 和 EBBISLAND，选择中国周边国家的教育机构、商业公司等网络应用流量较多的服务器为攻击目标；攻击成功后，安装 NOPEN 后门，控制了大批跳板机。它先后使用了 41 种 NSA 的专用网络攻击武器装备，通过分布于日本、韩国、瑞典、波兰、乌克兰等 17 个国家的 49 台跳板机和 5 台代理服务器，对西北工业大学发起了攻击窃密行动上千次，窃取了一批网络数据。

计算机科学家 Peter Eckersley 于 9 月 2 日在旧金山 CPMC Davies 医院去世，年仅 43 岁。Eckersley 出生于澳大利亚墨尔本，2012 年在墨尔本大学获得计算机科学和法学博士学位。2006 到 2018 年间在 EFF 工作，期间担任过首席计算机科学家和 AI 政策负责人。离开 EFF 之后担任 Partnership on AI 的研究总监，2021 年联合创办了 AI Objectives Institute。在 EFF 工作期间他发起了 Let's Encrypt、Privacy Badger、Certbot、HTTPS Everywhere、SSL Observatory 和 Panopticlick 等项目。他在 2012 年联合创办了免费提供 SSL 证书的 Let's Encrypt CA。

安全公司 SentinelOne 和 Checkmarx 的研究人员报告，Python 软件包仓库 PyPI 成为一起复杂供应链攻击的目标，至少两个合法软件包被成功植入了窃取凭证的恶意程序。攻击者向 Python 开发者发动钓鱼攻击，诱骗他们泄露登陆凭证，然后利用窃取的凭证推送软件包最新更新，其中植入了窃取凭证的恶意程序 JuiceStealer。JuiceStealer 使用 .NET 框架开发，它会搜索 Google Chrome 储存的密码，其活动始于 2021 年下半年。它一开始利用用户拼写错误的方法传播，之后开始利用供应链攻击扩散。PyPI 项目已经开始强制要求软件包维护者启用 2FA。

Google 更新了 Google Play 政策，禁止 VPN 应用干扰或屏蔽广告。最新的政策于 11 月 1 日生效，禁止 VPNService 在未提供醒目披露声明和未征得用户同意的情况下收集个人数据和敏感用户数据；出于变现目的重定向或操控来自某个设备上其他应用的用户流量（例如，重定向广告流量，使之流经与用户所在国家/地区不同的国家/地区）；操控会影响应用变现的广告。提供隐私保护的 VPN 服务商对新政策表达了担忧。DuckDuckGo 不认为它会受到影响但会持续评估。

试图成为 Web3 版本 DNS 的以太坊域名服务 ENS 依赖 Eth.link 将 .eth 域名记录转换到其它服务。但 eth.link 域名是有时间期限的，到期后需要续期。问题是域名持有人 Virgil Griffith 因帮助朝鲜逃避制裁而被判入狱五年，目前正在服第一年牢役。域名服务商 GoDaddy 此前允许其他人代表 Griffith 续期域名，但现在它逆转了这一决定，让 eth.link 域名在 9 月 5 日过期。ENS DAO 督促人们切换到不同的服务，担心域名被恶意者抢注后发动钓鱼攻击。

提供密码管理服务的 LastPass 发表声明，称黑客窃取了它的部分源代码。LastPass 称，两周前他们检测到开发环境中有异常活动，随后展开的调查发现未经授权的黑客通过一个入侵的开发者账号获得了对部分开发环境的访问权限，窃取了部分源代码和私有技术信息。LastPass 表示它已经采取了应对措施，并雇佣了一家网络安全和取证公司。它强调没有任何证据表明黑客访问了客户数据或密码库。LastPass 解释说，它利用了行业标准的 Zero Knowledge 零知识架构确保它也不知道客户的主密码。

安全公司趋势科技的研究人员报告，《原神》的反作弊驱动 mhyprot2.sys 被勒索软件利用杀死杀毒软件的进程和服务。mhyprot2.sys 作为设备驱动是与《原神》游戏分开安装的，卸载《原神》并不会卸载 mhyprot2.sys，早在 2020 年 9 月米哈游发布 《原神》时游戏社区就开始讨论具有间谍软件能力的 mhyprot2.sys。它很快被发现存在漏洞允许被利用杀死进程。开发者神楽坂早苗/kagurazakasanae 和 Kento Oki 分别发布了 PoC 演示了杀死进程的能力。Kento Oki 向米哈游报告了漏洞，但该公司没有承认也没有修复。勒索软件利用的 mhyprot2.sys 是 2020 年 8 月构建的，其签名至今仍然有效没有撤销。

当 Google 关闭你的账号，你是很难找到方法上诉去推翻搜索巨人的决定的。即使你是付费用户，依赖 Google 仍然是一个巨大的风险。同样的事情一次又一次发生。《纽约时报》报道了一位旧金山家庭主夫的不幸经历。2021 年 2 月的一个周五晚上，Mark（他没有提供完整姓名以免名誉受损） 注意到儿子的生殖器似乎发胀了，他抓起 Android 手机拍摄了照片。新冠疫情当时正在流行，护士建议发送照片给医生评估。医生很快诊断了问题，开了抗生素，情况迅速好转。但真正的麻烦才刚刚开始。因为 Google 有自动工具扫描儿童色情内容，在拍摄照片两天之后他的 Google 账号就以存在有害内容的理由关闭了。讽刺的是，作为软件工程师 Mark 曾为一家大公司开发自动工具下架被用户标记为有问题的视频内容。他以为在申述阐述情况之后 Google 会迅速解封账号。他很快发现过于依赖 Google 的问题——他的 Google Fi 账号也被关闭了，必须换手机号码。Google 之后还拒绝了他的上诉，没有给出更多解释。2021 年 12 月，Mark 收到旧金山警局的邮件，披露了他因为“儿童色情”而受到的调查，警方调查人员的结论是没有犯罪发生，案件了结了。他再次上诉到 Google 并提供了警方的证词，但一无所获。他的账号已经被永久删除了。Mark 考虑起诉 Google 但认识到并不值得。

朝鲜黑客组织 Lazarus 的黑客使用一种签名的 macOS 可执行文件冒充 Coinbase，引诱 Web3 领域的求职者打开恶意文件。冒充 Coinbase 的招聘文件命名为 Coinbase_online_careers_2022_07，打开之后它会显示虚假的 PDF 同时加载恶意 DLL，允许攻击者向被感染设备发送指令。安全公司 ESET 的研究人员还发现了 macOS 版本的恶意程序，专门为 macOS 系统编译。macOS 版本恶意程序使用了一个截至 8 月 12 日仍然有效的签名，该签名是在今年 2 月签发给名叫 Shankey Nohria 的开发者的。恶意程序没有经过公证——苹果检查程序是否有恶意成分的自动程序。

在拉斯维加斯举行的 Def Con 安全会议上，安全研究人员 Sick Codes 演示了在 John Deere 制造的拖拉机显示屏上运行 Doom 游戏。Sick Codes 称整个过程花了数个月时间，包括越狱 John Deere 4240 型拖拉机使用的 Linux 系统。在拖拉机上运行的 Doom 当然经过特别修改，场景被设置在玉米田里，玩家操纵拖拉机去消灭敌人。他开发和展示了针对 John Deere 拖拉机的新越狱方法获取系统的 root 访问权限。这一方法可能有助于农民绕过软锁自行维修拖拉机。Sick Codes 称目前使用的方法相当复杂，未来可能开发出更简单的漏洞利用方法。