安全周报（11.15-11.21）

1、国家等保办宣布撤销网络安全等级测评机构推荐证书

继Xbox主机曝出外挂后，索尼PS5也在同一日曝出两个内核漏洞，攻击者利用这两个漏洞窃取了PS5的根密钥，这引发了大众对游戏主机的新一轮担忧。

11月8日，攻击者在推特上公布了PS5的两个内核漏洞，在此之前索尼公司并不知道该漏洞。

游戏主机内核漏洞可以利用来安装盗版游戏和运行模拟器，因此这类漏洞在游戏社区很受欢迎。

FailOverFlow黑客组织在推特上发布了一条状态，晒出PS5固件的对称根密钥。之前该组织还在推特上公布了其他几个主机的越狱方法。该组织声称已经从软件中获得了所有PS5的根密钥，并强调是每台主机。

据BleepingComputer网站报道，英特尔公布了三个影响范围广泛的自家处理器高危漏洞，能够允许攻击者和恶意软件在设备系统上获得增强权限。

其中两个漏洞为CVE-2021-0157 和 CVE-2021-0158，CVSS v3得分均为 8.2，属高严重性级别，它们由反病毒预警软件开发商SentinelOne 发现。其中前者涉及某些英特尔处理器的 BIOS 固件中的控制流管理不足，而后者则依赖于对同一组件的不正确输入验证。

根据英特尔提供的信息，受影响的处理器有如下系列：

英特尔至强E系列处理器

英尔至强E3 v6系列处理器

英特尔至强W系列处理器

英特尔第3代至强可扩展处理器

英特尔第 11 代智能酷睿处理器

英特尔第10代智能酷睿处理器

英特尔第7代智能酷睿处理器

英特尔酷睿 X 系列处理器

英特尔赛扬N系列处理器

英特尔奔腾Silver系列处理器

英特尔尚未就这两个缺陷公布更多的技术细节，他们建议用户通过可用的 BIOS 更新来修补漏洞。但由于主板供应商并不会长期为其产品提供安全支持，比如在5年前问世的英特尔第7代酷睿处理器，因而这些问题并不能在上述受影响的产品中得到根本性修复。

这个漏洞的特殊之处，在于它还影响了一些汽车产品，比如搭载了英特尔凌动 E3900的特斯拉 Model 3。

11月17日，在工业和信息化部信息通信发展司指导下，中国互联网协会、中国信息通信研究院组织百度网盘、腾讯微云、天翼云盘、和彩云、阿里云盘、迅雷云盘、360安全云盘和网易网盘等首批8家网盘企业在京共同签署《个人网盘服务业务用户体验保障自律公约》，承诺2021年内将推出“无差别速率”产品，为各类用户提供无差别的上传/下载速率服务。