友讯（D-Link）证实不会修复旧型号 NAS 设备的高危漏洞，它称已停止制造 NAS 设备，相关设备都已经终止支持。受影响的型号包括 DNS-320 Version 1.00、DNS-320LW Version 1.01.0914.2012、DNS-325 Version 1.01 和 Version 1.02，以及 DNS-340L Version 1.08。编号为 CVE-2024-10914 的漏洞是一个命令注入漏洞，风险等级 9.2/10，存在于 cgi_user_add 命令中，其 name 参数的数据清洗处理不充分。通过向设备发送特制 HTTP GET 请求，攻击者能利用漏洞注入任意 shell 命令。搜索显示有逾 6 万台联网友讯 NAS 设备受到该漏洞影响。友讯建议退役这些设备或者将其脱离公网。

英特尔工程师 Dave Hansen 递交了一则 RFC 补丁，建议内核维护一个针对每个英特尔 CPU 系列的最新微码列表，如果 CPU 运行旧版本的微码，那么将会被视为存在漏洞而对用户发出警告，但这并不会阻止旧版本微码的 CPU 继续工作。微码通常被用于缓解 CPU 问题，其中很大一部分问题与安全相关。Hansen 认为如果系统运行旧版本的微码，那么你就无法相信系统是安全的，所以运行旧版本微码的系统就被视为存在漏洞。

法国施耐德电气公司证实正在调查一起网络安全事件，而勒索组织 Hellcat 宣称它窃取了逾 40 GB 的压缩数据，要求该公司以法棍支付 12.5 万美元赎金，否则其敏感的客户和运营信息将被泄露。施耐德拒绝置评与法棍或加密货币支付赎金的相关报道，只声明其产品和服务未受影响。Hellcat 组织称它是通过施耐德的 Atlassian Jira 系统访问了其基础设施。这是施耐德电气在不到两年时间内第三次遭到入侵。

Windows 10 即将于 2025 年 10 月 14 日终止支持，之后微软不再提供安全更新。根据 Statcounter 的统计，截至 2024 年 10 月，Windows 10 仍然是市场占有率最高的 Windows 版本，Windows 10 占 60.97%，之后是 Win11 35.55%，Win7 2.62%，Win8.1 0.31%，WinXP 0.28%，Win8 0.19%。Windows 10 的份额在逐月下降，但到明年 10 月它的用户群仍然会十分庞大，大部分不太可能会升级到 Windows 11（该版本提升了硬件需求）。对于这些用户，微软将向他们提供一次性的为期一年的扩展安全更新，费用为 30 美元。

微软警告，俄罗斯情报机构正利用远程桌面协议(RDP)发动大规模钓鱼攻击。这一攻击最早是在 10 月 22 日发现的，其目标是政府、非政府组织、学界和国防机构。攻击者被命名为 Midnight Blizzard aka APT29 和 Cozy Bear，被认为隶属于俄罗斯对外情报局(SVR)。攻击者向 100 多个组织的数千人发送了钓鱼邮件，邮件附件包含了 RDP 配置文件。一旦受害者运行配置文件，会建立与 Midnight Blizzard 所控制系统的 RDP 连接，攻击者可利用配置文件窃取大量信息。

X.Org 项目披露了两个安全漏洞，其中之一的 CVE-2024-9632 是一个本地提权漏洞，在代码库中已存在 18 年之久。CVE-2024-9632 是于 2006 年在 X.Org Server 1.1.1 版本中引入的，影响 X.Org Server 和 XWayland。通过向 X.Org Server 提供一个修改的位图，可能会诱发堆缓冲溢出提权。问题存在于 _XkbSetCompatMap() 中，源于未能正确更新堆大小，如果 X.Org Server 以 root 运行或通过 SSH 用 X11 进行远程代码执行，可能导致本地提权。

微软资深安全工程师 Ross Bevington 在 BSides Exeter 信息安全会议上分享了该公司利用现已退役的 code.microsoft.com 创建蜜罐，大规模欺骗钓鱼者，消耗钓鱼者的时间，跟踪钓鱼者使用的策略。Bevington 的团队创建了信息足以以假乱真的数千蜜罐账号，根据 Defender 识别的钓鱼域名主动访问钓鱼网站，输入蜜罐账号，然后观察钓鱼者登录蜜罐账号，用日志记录其一举一动。他们收集的情报包括 IP 地址、浏览器、位置、行为模式、是否使用 VPN 或 VPS，以及依赖的网络钓鱼工具包等。这种欺骗技术会消耗攻击者 30 天的时间，然后对方才会意识到入侵了虚假环境。收集的情报可用于创建更好的防御策略。

在四起车祸其中包括一次致命车祸之后，汽车安全监管机构美国国家公路交通安全管理局(NHTSA)开始调查特斯拉的 Full Self-Driving（FSD）软件。Full Self-Driving 并不是其名字意义上的全自动驾驶软件，它仍然是辅助驾驶软件，且其在功能上受限于使用的硬件（它主要依赖于摄像头而没有使用激光雷达等其它传感器）。NHTSA 表示，四起车祸中 FSD 都启用了，事故发生时天气处于太阳眩光、雾或灰尘等低能见度状况下。2023 年 11 月，亚利桑那州 Rimrock 市的一名行人在被一辆 2021 年型号的特斯拉 Model Y 撞倒后死亡。另一起正在调查的车祸据报发生了受伤状况。

中国网络空间安全协会发表了一篇文章《漏洞频发、故障率高 应系统排查英特尔产品网络安全风险》，列举了英特尔产品的多个问题，包括 CPU 侧信道漏洞，第 13、14 代高端酷睿桌面处理器不稳定性问题，IPMI（智能平台管理接口），ME（管理引擎）等等，建议对英特尔在华销售产品启动网络安全审查，切实维护中国国家安全和中国消费者的合法权益。英特尔官方微信发表声明，作为一家在华经营近 40 年的跨国公司，英特尔严格遵守业务所在地适用的法律和法规。“英特尔始终将产品安全和质量放在首位，一直积极与客户和业界密切合作，确保产品的安全和质量。我们将与相关部门保持沟通，澄清相关疑问，并表明我们对产品安全和质量的坚定承诺。”

Google 的内部分析估计，四分之三的 0day 漏洞利用属于内存安全漏洞。为了减少此类漏洞，Google 多年来一直在推动使用内存安全语言，减少内存不安全代码的风险。它没有试图用内存安全语言完全重写相关的成熟代码，而是在新代码开发中尽可能的使用内存安全语言。它正将高性能内存安全语言 Rust 的使用范围从 Android 扩大到服务器、应用程序和嵌入式生态系统中。它在 Android 的网络、固件和图形堆栈部分使用了包括 Rust 在内的内存安全语言，过去几年 Android 系统报告的内存安全漏洞显著减少，从 2019 年的 220 多个降至今年年底的大约 36 个。这一结果证明了其战略转移的有效性。

之前的实验表明，智能手机中的陀螺仪和加速计等惯性测量单元（IMU），可以通过检测声波振动监听对话。这意味着，即使是一个没有开启麦克风权限的应用程序也可以通过 IMU 获得对话内容。为了不让攻击者获得准确信息，Google 将 Android 应用从 IMU 采样数据的频率限制在每秒 200 次，使攻击者无法准确获得对话内容。根据发表在预印本平台 arXiv 上的预印本，研究人员发现了一个漏洞——通过欺骗陀螺仪和运动传感器在时间上稍微偏移地进行测量，将应用实际采样率从每秒 200 次提高到 400 次，可以突破上述保护措施。利用这种方法，攻击者能修复获得的音频量大大提升。与每秒仅采集 200 个样本相比，他们的方法在 AI 转录时单词错误率降低了 83%。这表明，目前的安全保护措施“不足以防止复杂的窃听攻击发生”，应该对其重新评估。

Windows 10 将于 2025 年 10 月 14 日终止支持，恰好是 365 天之后。大部分 Windows 10 用户将不会再获得安全更新，使用长期支持版本 Long Term Servicing Channel 的客户则还有更多时间，Windows 10 IoT Enterprise LTSC 扩展支持到 2032 年 1 月 13 日，Windows 10 Enterprise LTSC 将支持到 2029 年 1 月 9 日。根据 Statcounter 的统计，截至 2024 年 9 月，Windows 10 仍然是市场占有率最高的 Windows 版本，Windows 10 占 62.79%，之后 Win11 33.37%，Win7 2.85%，Win8.1 0.36%，WinXP 0.34%，Win8 0.22%。

日本科技公司卡西欧证实本月初遭到勒索软件攻击，员工、求职者、合作伙伴和部分客户的数据被盗，客户支付相关的信息未受影响，但随着调查的进一步深入，受影响的范围可能会扩大。勒索软件组织 Underground 此前宣布对此次攻击负责。卡西欧公布了被认为已经被盗的信息：公司及其子公司正式员工、临时个和合同工的个人数据；业务合作伙伴的个人细节；参加面试的求职者个人数据；客户的个人信息；业务合同信息；财务数据；法务、财务、人力、审计、销售等相关的文件。

WordPress 联合创始人兼 Automattic CEO Matt Mullenweg 宣布以“remove commercial upsells and fix a security problem”为由接管了竞争对手 WP Engine 的流行插件 Advanced Custom Fields (ACF)，创建分支将其重命名为 Secure Custom Fields。该插件的安装量超过 200 万次。Mullenweg 没有解释所谓的安全问题，他表示此举与 WP Engine 对他及其 Automattic 提起诉讼有关。

10 月 12 日，网友报告收到了广东省教育厅发送的短信，短信内容为繁体字，链接了成人电影网站等非法内容。广东省教育厅回应称，系不法分子入侵了教育厅短信平台，以“广东省教育厅”名义向师生和家长发送包含非法链接的短信。教育厅已第一时间向公安机关报案，并配合开展调查。“请广大师生和家长提高警惕，切勿点击短信中的非法链接，避免个人信息泄露或遭受财产损失。”

在澳大利亚 ABC 披露科沃斯扫地机器人存在安全漏洞容易遭黑客入侵之后，过去几天美国各地都出现了科沃斯机器人被黑客入侵的报告。受影响的型号是 Deebot X2，黑客控制了机器人后使用其内置的扬声器发出种族歧视或仇恨言论。一名受害者是明尼苏达州的律师 Daniel Swenson，他看电视时听到机器人发出奇怪的声音，他修改了密码重启了设备，但没有效果。在洛杉矶，科沃斯机器人报告追着狗跑，同时还发出仇恨言论。

10 月 9 日，Mozilla 释出了紧急更新 Firefox v131.0.2、ESR 128.3.1 和 ESR 115.16.1，修复了一个正被活跃利用的释放后使用远程代码执行漏洞 CVE-2024-9680。Tor 项目随后也释出了相应的更新 Tor Browser v13.5.7（Tor Browser 是基于 Firefox ESR 版本），证实攻击者能利用该漏洞控制 Tor 浏览器，但不太可能在 Tails 操作系统中去匿名化用户。Tails 是基于 Tor 的匿名操作系统。

中国黑客入侵了美国三大 ISP 的系统，访问了专门为执法部门进行监听而创建的安全后门。这一事件凸显了苹果几年前关于加密后门的观点的正确性。当时苹果拒绝了 FBI 的要求，在 iPhone 上创建后门以破解 Bernardino 和 Pensacola 案件枪手的手机。苹果认为，一旦为政府创建了后门，那么黑客发现后门只是时间问题。加密系统要么安全要么不安全，不存在不那么安全的加密系统，其他人能利用加密漏洞是时间问题而不是能不能的问题。法律要求 ISP 为执法部门创建后门用于监听，现在黑客找到并访问了后门。如果苹果为 iPhone 创建了后门，那么情况也会相同。

互联网档案馆 archive.org 遭遇了用户数据泄露。一名黑客入侵了网站，窃取了包含 3100 万条唯一记录的用户身份验证数据库。黑客还创建了一则 JavaScript 警告，在用户访问 archive.org 时警告网站遭到入侵用户数据泄露。Have I Been Pwned 数据泄露通知服务的作者 Troy Hunt 表示，黑客在 9 天前与他分享了互联网档案馆的用户身份验证数据库，名为 ia_users.sql 的 SQL 数据库大小为 6.4GB，包含了注册用户的电邮地址、网名、密码更改时间戳、Bcrypt 哈希密码等数据。数据库含有 3100 万个唯一电邮地址。

研究人员报告一种秘密的挖矿恶意程序感染了数千台运行 Linux 的系统。该恶意程序至少从 2021 年开始传播，它利用愈 2 万个常见错误配置感染系统，还能利用去年修复的 Apache RocketMQ 高危漏洞 CVE-2023-33426，其危险等级 10/10。研究人员将该恶意程序命名为 Perfctl，恶意程序作者为其程序进程起了一个与常见 Linux 进程相似的名字，组合了 perf Linux 监控工具和命令行工具 ctl。该恶意程序利用了多种方法防止其被检测出来，并确保具有持续感染能力，在机器重启或核心组件被删除后仍然能留在被感染设备上。它的主要功能是利用 CPU 挖掘加密货币，以及作为代理工具为付费用户中继网络流量，此外还可以作为安装其它恶意程序的后门。