加拿大多伦多大学公民实验室的研究人员分析了腾讯旗下的搜狗输入法。该输入法月活用户逾 4.5 亿，是中国最流行的中文输入法，占据了七成市场份额，讯飞排名第二，百度输入法第三。研究人员分析了搜狗输入法的 Windows、Android 和 iOS 版本，发现搜狗使用了一个自己开发的加密系统 EncryptWall 加密敏感数据，而该加密系统存在 CBC 密文填塞（Padding Oracle）漏洞，允许网络监听者获得加密网络传输的明文，包括用户输入的内容。研究人员向搜狗报告了漏洞，搜狗开发者释出了新版本修复了漏洞。该输入法的用户需要尽快升级到新版本——Windows v13.7、Android v11.26 和 iOS v11.25。

Google 研究员 Daniel Moghimi 披露了针对英特尔服务器芯片的 Downfall 漏洞。该漏洞允许攻击者窃取共享同一台计算机上的用户的敏感数据，如密码、加密密钥和私人数据如电邮、消息或银行信息。编号为 CVE-2022-40982 的漏洞影响从 Skylake 到 Tiger Lake（6 代到 11 代酷睿）的所有英特尔处理器。即使用户的个人电脑不使用英特尔芯片，鉴于英特尔占据了七成服务器处理器市场，你仍然会受到影响。简单来说，每一个网民都受到影响。CVE-2022-40982 是一个瞬态执行旁道漏洞，利用优化处理器内存的 Gather 指令泄露预测执行期间内部矢量寄存器文件内容。攻击者能利用它提取 Software Guard eXtensions (SGX)保护的数据，SGX 目前只被英特尔服务器芯片支持。英特尔从去年 8 月获悉了该漏洞，目前已经释出了缓解该漏洞的微码更新。

通过记录按键的声音，以及训练一个深度学习模型，三名英国研究员称能以九成以上的准确率识别远程按键声音对应的字母。他们在论文《A Practical Deep Learning-Based Acoustic Side Channel Attack on Keyboards》中称，无处不在的机器学习、麦克风和视频通话，让键盘面临比以往任何时候更大的安全风险。在咖啡店和图书馆等安静公共场所使用笔记本电脑键盘更容易受到这一旁道攻击的影响。大多数笔记本电脑都使用统一的非模块化键盘，有着相似的声学特征。这项研究使用的是苹果 2021 年款 MacBook Pro 笔记本电脑，分别使用 iPhone 13 mini 和通过 Zoom 使用内置麦克风记录按键的声音。两项测试的按键识别准确率都高于 93%。研究人员称用指纹或其它生物识别工具而不是输入密码能抵御此类攻击。

在黑客今年 6 月入侵服务器并删除上面的数据之后，波兰间谍软件开发商 LetMeSpy 宣布将于八月底停止运营。LetMeSpy 开发 Android 手机监控应用，设计不会显示在受害者的屏幕上，因此难以发现和删除。当 LetMeSpy 应用植入到受害者手机上时，它会持续收集消息、通话记录和实时位置数据。非盈利透明组织 DDoSecrets 获得的数据显示，LetMeSpy 被用于从全世界逾 1.3 万部 Android 手机上窃取数据。这一数字比该公司自称控制逾 23.5 万部手机要少得多。

黑客使用假的 Android 聊天应用 SafeChat 窃取敏感用户数据，其中包括通话记录，短信和 GPS 定位。SafeChat 包含了间谍软件 Coverlm 的一个变种，能窃取流行消息应用如 Telegram、Signal、WhatsApp、Viber 和 Facebook Messenger 的数据。安全研究人员认为印度 APT 组织 Bahamut 是这一行动的幕后发起者。攻击者主要是通过 WhatsApp 发送钓鱼消息，直接向受害者发送恶意负荷。

安全公司趋势科技的研究人员发现了一种被称为 CherryBlos 的 Android 恶意程序，能使用光学字符识别窃取手机屏幕上显示的凭证。恶意程序主要通过第三方传播的 Android apps 传播。研究人员发现恶意程序的开发者也在 Google Play 官方市场发布了相同的应用，但并不含有恶意负荷。一旦安装，当用户打开币安等合法加密货币应用，CherryBlos 的覆盖窗口会模拟这些应用，在提款时将受害者接受资金的钱包地址替换成攻击者控制的钱包地址。当合法应用显示密码口令时，恶意程序会截图然后使用光学字符识别将图像翻译成文本格式，然后攻击者可以窃取账号的资金。

Google 安全博客回顾了 2022 年的 0day 漏洞：2022 年发现了 41 个正被利用的 0day，低于 2021 年的 69 但高于 2015 年以来的其它年份。Google 称 Android 生态系统的一大问题是补丁更新不及时，OEM 厂商不能及时向用户推送安全更新，导致的结果是已知的 N-days 漏洞和 0day 漏洞的严重性相差无几，不需要 0day 攻击者使用 N-days 漏洞就能实现成功入侵。举例来说，ARM Mali GPU 的一个漏洞 CVE-2022-38181 是在 2022 年 7 月报告的，ARM 在 10 月释出了新版驱动修复了漏洞，到了 11 月安全研究人员发现了漏洞利用。而 Android 系统直到 2023 年 4 月才修复漏洞。三星浏览器的漏洞利用存在类似现象。

俄罗斯政府以叛国罪判处网络安全公司 Group-IB CEO Ilya Sachkov 14 年徒刑。Group-IB 是俄罗斯最大的网络安全公司之一，Sachkov 是其联合创始人，他已关押近两年。Sachkov 在 2003 年创办了 Group-IB，因曝光和破坏一系列大规模网络犯罪活动而名声大振，他在 2021 年 9 月以叛国罪名遭到逮捕，但政府拒绝透露指控细节，他则拒绝认罪。Group-IB 几年前将其总部搬到了新加坡，到今年 4 月退出了俄罗斯市场。该公司在一份声明中表示，其创始人在关押前几个月被拒绝了与外界通信的权利——不能打电话也不能写信，朋友家人也无法访问。Group-IB 称其创始人被剥夺了公正审判的机会——所有案件材料都保密，所有听证会都秘密举行。在他被捕之后，彭博社曾报道称他向美国提供了与 Fancy Bear 相关的情报，该行动旨在影响 2016 年美国大选。

美国证券交易委员会（SEC）实施了新规则，要求上市公司在被认为重大的网络安全事件发现四天内予以披露。所谓重大事件是指上市公司股东在做出投资决策时认为重大的事件。SEC 还要求外国私人发行人（foreign private issuers）在发生网络攻击后提供同等程度的披露。新的规则将在 12 月或《联邦公报（Federal Register）》上发表 30 天后生效，小型公司给予额外 180 天的推迟执行。特殊情况下，如果美国司法部长认为立即披露网络安全事件会对国家安全或公共安全构成重大风险，那么也可以推迟披露。

Google Project Zero 安全团队的 Tavis Ormandy 披露了 AMD Zen 2 架构处理器的 Zenbleed 漏洞(CVE-2023-20593)。该漏洞影响基于 Zen 2 的消费级、工作站和服务器处理器。漏洞允许攻击者从 CPU 寄存器窃取数据。现代处理器利用预测执行机制通过预测下一步的任务加速操作，Zen 2 处理器无法从特定类型的预测错误中正确恢复， Zenbleed 能利用该漏洞窃取敏感数据。它会导致 CPU 以每秒最高 30 KB 的速度泄露数据，其中包括加密密钥、root 和用户密码等敏感信息。该漏洞能被远程利用，恶意网站可通过加载 JS 触发。好消息是目前还没有观察到漏洞利用，但随着 Zenbleed 的披露情况可能会发生改变。修复该漏洞的微码已经释出，未更新的 Linux 用户需要尽快更新。

欧洲电信标准协会在 1995 年创建了 TETRA(陆地集群无线电)标准，它不是开源标准，而是使用了私有的加密算法，因此外部专家难以验证其安全性。安全公司 Midnight Blue 的研究人员从 eBay 上购买了 TETRA 无线电设备，他们在无线电接口上发现了一个漏洞，实现了在主应用处理器上执行任意代码，他们最终找到了方法逆向工程 TETRA 的加密算法，发现了被称为 TETRA:BURST 的一系列漏洞，细节将在即将举行的 Black Hat 安全会议上公开。后门存在于被称为 TEA1 的加密算法中，不是所有用户都使用该算法，它是批准出口的 TETRA 标准的一部分。研究人员还发现了其它漏洞，能用于实现通信信息的历史解密和去匿名化。该后门被认为是故意植入的，但欧洲电信标准协会不愿意使用后门这一名字，只是表示它是为满足出口控制的加密强度而设计的。该漏洞容易破解，普通计算机能在 1 分钟内破译加密无线电。TETRA 无线电的客户包括欧洲警方和紧急服务部门，非洲军事武装，世界各地关键基础设施的培训操作人员，等等。

2021 年 PC 主板和显卡制造商技嘉遭勒索软件组织 RansomEXX 入侵，多达 112GB 的机密数据被盗，其中包含了来自供应链合作伙伴 AMD、英特尔和 AMI 等的信息。安全公司 Eclypsium 的研究人员分析了泄露的 AMI 固件，识别出了多个存在了多年的高危漏洞，允许本地或远程攻击者利用漏洞访问名为 Redfish 远程管理接口，在数据中心的每一台服务器上执行任意代码。AMI 在今年 4 月释出了补丁修复漏洞。而在漏洞修复前，这些固件漏洞能给予黑客超级用户身份，可以安装任意恶意程序。

Shawn the R0ck 写道：本文详细的总结了数字军火行业的历史以及现状，数字军火涉及0-day和N-day漏洞和漏洞利用的生态，作者介绍了在行业全盛时期的情况，快速衰败的原因和进入平稳期后的形态，这篇文章不仅可以让公众有机会了解数字军火行业，更重要的是可以给安全工程师，安全分析师，CISO（首席安全官）和其他机构决策者一个参考，在赛博世界中，武器化漏洞利用是攻击者的破局之道，而对于防御的一方来说只有理解了武器化漏洞利用和数字军火行业才能更好的打造属于自身的赛博堡垒，0ldsk00l黑客们经历的“Hacking for fun and profit”早在斯诺登大爷那会儿就一去不返，伴随而来的是不可避免的”This is cyber, sir!”时代下的网络战，这些历史或多或少都在这篇文章中有所提及，不论什么时代性的背景，我们都应该谦卑，这样至少在面对The Desert of the Real时降低看花眼的概率。

著名黑客凯文·米特尼克(Kevin Mitnick)于 7 月 16 日因胰腺癌去世，年仅 59 岁。米特尼克出生于洛杉矶，他在 1990 年代参与盗窃大量文件入侵不同公司计算机网络等一系列犯罪行为，被称为当时的头号黑客通缉犯。2000 年出狱之后改头换面，成为安全顾问、演说家和畅销书作者。他与人合作完成了四部书，其中三部与计算机安全相关，还有一部是个人自传——《The Art of Deception: Controlling the Human Element of Securit》、《The Art of Intrusion: The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers》、《Ghost in the Wires: My Adventures as the World's Most Wanted Hacker》和《The Art of Invisibility》。

Shawn the R0ck 写道：数字军火行业涉足未公开（0-day)的和已经公开（N-day）的漏洞以及相关的漏洞利用，数字军火是一种无形的武器，这种武器的构造和形态难以被普通人理解，即使是从业信息安全多年的安全工程师，安全分析师和CISO（安全首席官）也经常把诸多概念混淆，什么是 bug？什么是 exploitable bug？什么是漏洞？什么是漏洞利用？什么是漏洞利用平面？什么是漏洞利用方法？他们的关系是什么？早在 HardenedLinux 还有全职 maintainer 的阶段（2015-2020)，我们就致力于基于开放的方法论对抗数字军火，到2021年成立了 HardenedVault 后逐步的把基础架构领域的各个环节工程化，在 Vault Labs 看来，攻击和防御双方信息是极度不对称的，我们行走了三分之一个地球，不论到哪里，如果你说你是从事数字军火领域的那一定很多人乐意跟你做生意，反之，如果你富有激情的讲解系统安全的防御，即你是打造盾牌的那一位，不好意思，你或许会遇到有人不屑一顾的表情就像在说“Fuc* off 去你大爷浪费我时间！”一样，另外，我们收到的反馈中，不乏有对于极端威胁模型的困惑，大部分人基于各种动机和原因认为面对 The Desert of the Real 是没有意义的或者压根认为真实的荒漠不存在，这正是当我们看到 Maor 的文章后非常兴奋的原因，毕竟再遇到有人问相同的问题直接让他们去读 Maor 的那两篇文章即可，这个策略一定会奏效于那些坚持探索真相的人，不论他们是否从事信息安全工作。

大大小小的机构开始手忙脚乱的修复正被利用的多个高危漏洞。Adobe 和 Citrix 先后披露了多个 0day。Adobe ColdFusion 的一个评分 9.8/10 的漏洞 CVE-2023-38203 正和另一个漏洞 CVE-2023-29298 被黑客组合利用。Adobe 在 7 月 11 日释出了补丁，但补丁并不完整，只需要略改下 POC 就能被重新利用，Adobe 表示它在开发更完整的补丁。更糟糕的是在 Adobe 释出补丁前安全公司 Project Discovery 披露了 ColdFusion 的一个漏洞 CVE-2023-38203，安全研究员以为漏洞已经修复了但实际上没有。CVE-2023-38203 和 CVE-2023-38203 都是正被利用的 0day。上周释出补丁修复的漏洞 CVE-2023-29300 被发现正被黑客利用。这些漏洞的评分都是 9.8/10。Citrix 本周修复的漏洞 CVE-2023-3519 其评分也是 9.8/10，也正被黑客利用。

安全研究人员跟踪了 Twitter 上有关信息安全的讨论，发现过去几个月此类的讨论推文大幅减少。研究人员是从 2021 年 7 月 12 日开始跟踪信息安全主题的原创推文（非转推），平均每天的推文数量在 1,272 则左右，工作日较多，周末较少。马斯克（Elon Musk）是在 2022 年 10 月 27 日完成对 Twitter 的收购，之后裁掉了大批员工，不过信息安全的推文数量短期内没有出现太大的波动。但从今年 4 月底 5 月初开始，情况突变。过去三周，信息安全的原创推文数量从马斯克收购前的平均每天 1,272 则减少到了每天 333 则，暴降 74%。如果去掉自动发布 CVE 声明的机器人账号，过去两周每天只有 66 则，暴降 87%。很多信息安全的研究人员都转到了一个专门的 Mastodon 实例 infosec.exchange。

基于云端的 IT 管理公司 JumpCloud 披露遭政府支持黑客入侵。攻击始于 6 月 22 日，起源于钓鱼攻击。攻击者获得了公司内网的部分访问权限。虽然调查人员目前没有发现有任何客户受到影响的证据，但该公司表示轮换了账号凭证，重构系统，并采取其它防御措施。调查人员发现，攻击极具针对性，只限于特定用户。该公司没有透露目标客户的名字。JumpCloud 被逾 20 万机构使用，付费客户约 5000，其中包括 Cars.com、GoFundMe、Grab、ClassPass、Uplight、Beyond Finance 和 Foursquare 等。

美国军方邮件域名的后缀是.mil，而马里的国家域名是 .ml，美国军方人员经常在发送邮件时因拼写错误而将高度敏感的邮件发送到 .ml 域名。Johannes Zuurbier 是一名荷兰的互联网创业者，他与马里政府签署了长达十年的国家域名管理合同。这份合同即将到期，而马里是俄罗斯的亲密盟友，当合同过期之后，马里当局将会接收到这些发送错误的邮件。Zuurbier 一直试图让美国政府严肃对待这一问题，他控制了逾 11 万封此类邮件，每天收到近千封。他警告美国，这一真实存在的风险可能会被美国的对手利用。

All-In-One Security（AIOS）是一款安装量逾百万的 WordPress 安全插件，三周前它被发现记录明文密码并将其存储在管理员可访问数据库中后释出了安全更新。开发者表示，用户登陆使用 AIOS 的网站后明文密码会被记录，该 bug 是在 5 月释出的 v5.1.9 中引入的，上周释出的 v5.2.0 修复了 bug 并从数据库里删除了相关数据。拥有最高全新的管理员可以访问明文密码。以明文形式储存密码是安全大忌。储存密码可接受的做法是使用哈希加密，因此即使密码数据库被恶意者窃取，他们通常会很难在短时间内暴力破解。