安全周报(11.15-11.21)
1、国家等保办宣布撤销网络安全等级测评机构推荐证书
继Xbox主机曝出外挂后,索尼PS5也在同一日曝出两个内核漏洞,攻击者利用这两个漏洞窃取了PS5的根密钥,这引发了大众对游戏主机的新一轮担忧。
11月8日,攻击者在推特上公布了PS5的两个内核漏洞,在此之前索尼公司并不知道该漏洞。
游戏主机内核漏洞可以利用来安装盗版游戏和运行模拟器,因此这类漏洞在游戏社区很受欢迎。
FailOverFlow黑客组织在推特上发布了一条状态,晒出PS5固件的对称根密钥。之前该组织还在推特上公布了其他几个主机的越狱方法。该组织声称已经从软件中获得了所有PS5的根密钥,并强调是每台主机。
据BleepingComputer网站报道,英特尔公布了三个影响范围广泛的自家处理器高危漏洞,能够允许攻击者和恶意软件在设备系统上获得增强权限。
其中两个漏洞为CVE-2021-0157 和 CVE-2021-0158,CVSS v3得分均为 8.2,属高严重性级别,它们由反病毒预警软件开发商SentinelOne 发现。其中前者涉及某些英特尔处理器的 BIOS 固件中的控制流管理不足,而后者则依赖于对同一组件的不正确输入验证。
根据英特尔提供的信息,受影响的处理器有如下系列:
英特尔至强E系列处理器
英尔至强E3 v6系列处理器
英特尔至强W系列处理器
英特尔第3代至强可扩展处理器
英特尔第 11 代智能酷睿处理器
英特尔第10代智能酷睿处理器
英特尔第7代智能酷睿处理器
英特尔酷睿 X 系列处理器
英特尔赛扬N系列处理器
英特尔奔腾Silver系列处理器
英特尔尚未就这两个缺陷公布更多的技术细节,他们建议用户通过可用的 BIOS 更新来修补漏洞。但由于主板供应商并不会长期为其产品提供安全支持,比如在5年前问世的英特尔第7代酷睿处理器,因而这些问题并不能在上述受影响的产品中得到根本性修复。
这个漏洞的特殊之处,在于它还影响了一些汽车产品,比如搭载了英特尔凌动 E3900的特斯拉 Model 3。
11月17日,在工业和信息化部信息通信发展司指导下,中国互联网协会、中国信息通信研究院组织百度网盘、腾讯微云、天翼云盘、和彩云、阿里云盘、迅雷云盘、360安全云盘和网易网盘等首批8家网盘企业在京共同签署《个人网盘服务业务用户体验保障自律公约》,承诺2021年内将推出“无差别速率”产品,为各类用户提供无差别的上传/下载速率服务。