平时人们总能听到有关 Windows 和 Android 操作系统的漏洞报告，iOS 和 Linux 则要少一些。不过本文要为大家介绍的，则是 VxWorks 实时操作系统（RTOS）曝出的 11 个严重的零日漏洞。RTOS 被广泛应用于行业内的关键计算机系统上，此次曝出的大型安全漏洞，很可能引发灾难性的后果。

报道称，过去 13 年里，这些设备已存在不少于 11 个零日漏洞。遗憾的是，由于 RTOS 设备属于电子设备领域的沉默工作者，媒体并没有对其加以广泛的关注。

举个例子，RTOS 软件驱动着从调制解调器、电梯、乃至核磁共振（MRI）扫描仪等在内的各种机器。而 VxWorks 的客户名单，涵盖了 Xerox、NEC、三星、理光等知名企业。

物联网安全研究机构 Armis 将这些漏洞统称为 URGENT / 11，以敦促行业尽快更新机器的 RTOS 系统。其中六个比较严重的漏洞，或赋予攻击者远程代码执行的权限。

另外五个漏洞没有这样致命，但也可以在没有用户交互的情况下，授予攻击者相应的访问权限。讽刺的是，它们甚至可以绕过 VxWorks 自带的防火墙和 NAT 等安全设备。

尽管 GRGENT / 11 的名字看起来有些平淡，但 Armis 还是希望业界能打起 12 分精神。研究人员提出了三种潜在的攻击方式，称威胁可来自内部或外部网络，另一项甚至威胁到了网络本身的安全措施。

Armis 表示，URGENT / 11 对工业和医疗保健行业造成了最大的风险，因其广泛使用运行 VxWorks 的设备。

好消息是，风河公司已在 7 月 19 日发布的补丁中进行了修复。坏消息是，使用 RTOS 的设备，并不能简单地执行应用软件更新。

来源：cnBeta.COM

更多资讯

谷歌 Titan 安全密钥套件在加拿大、法国、日本和英国市场推出

谷歌今天宣布旗下的 Titan 安全密钥套件已经在加拿大、法国、日本和英国市场推出，而此前这款带有蓝牙按键和标准 USB-A 插口的安全密钥仅在美国地区上市发售。售价方面，在美国，Titan 套装的售价为 50 美元；在加拿大价格为 65 加元；在法国为 55 欧元；英国为 50 英镑；日本为 6000 日元，均包邮送货。

来源： cnBeta.COM
详情链接： https://www.dbsec.cn/blog/article/4833.html 

iOS 12.2 封堵的几个漏洞由谷歌 Project Zero 团队提交

上周苹果推出了 iOS 12.4 正式版，这一版本除了带来新的 iPhone 迁移功能和为 Apple Card 做准备之外，还封堵了一些系统漏洞。按照惯例，每个系统版本更新都会顺带修复一些 BUG，这是十分正常的行为。但有趣的是，苹果在刚刚发布的 iOS 12.4 中封堵的个别漏洞却是由来自谷歌的 Project Zero 团队成员发现的，而且“价值不菲”。

来源： 威锋网
详情链接： https://www.dbsec.cn/blog/article/4835.html 

外媒：第一投资数据泄露事件比它看起来更复杂

当地时间周一晚上，第一投资及其客户得到了一些非常糟糕的消息。该公司遭遇大规模数据泄露事件，大约1亿美国和加拿大用户的社会安全号码和帐户详细信息遭泄露。纽约州司法部长已经宣布对第一投资的泄露事件展开调查，但更广泛的故事是熟悉的：一家大公司让许多敏感数据丢失，客户承担了大部分风险。

来源： cnBeta.COM
详情链接： https://www.dbsec.cn/blog/article/4836.html 

2/3 机构不设网络安全部门，澳洲已成国际黑客实验乐园

澳大利亚网络安全智库“Security In Depth”发布 2019 年度报告，指出了该国网络安全面临的严重问题。数据显示，自去年2月以来澳大利亚数据泄露事件激增 700%，预计在 2019 年会造成 70 亿澳元的损失。

来源： 界面
详情链接： https://www.dbsec.cn/blog/article/4837.html 

（信息来源于网络，安华金和搜集整理）