苹果修复两个被滥用多年的iOS零日漏洞

       研究人员报告，有两个iOS零日安全漏洞影响iPhone和iPad系统自带的邮件App，受影响的版本为iOS 6和iOS 13.4.1。苹果在上周发布的iOS 13.4.5beta版本中修复了上述问题，iOS 13.4.5正式版也即将发布，届时请尽快更新。
       ZecOps的研究人员在周三发布的报告中公开披露了这两个漏洞，攻击者只需给受害者的iPhone或iPad默认邮件应用发送一封电子邮件，就能远程利用这两个漏洞，访问与默认邮件程序相关的信息。据信，自2018年起就一直有“高级威胁”在活跃利用这两个漏洞。

    黑客更新古早的Excel4.0宏攻击         
       黑客升级了古早的Excel恶意软件攻击技术，让攻击不再受限于密码保护。
       来自安全公司Trustwave的研究人员称，他们发现了一种新型恶意邮件攻击，会发送包含宏损坏的Excel 4.0 xls 97-2003格式文件。邮件的说辞很好预测，通常是以假发票或者新冠病毒等各种主题引诱并欺骗用户。邮件中的宏链接指向一个托管Gozi的感染站点，Gozi是一种银行木马，能够跟踪受害者的银行交易，窃取从受害者账户转移资金的凭证。

       以往这种类型的攻击会使用受密码保护的Excel 4.0文档，并在邮件正文中附上文件密码，攻击者需要诱导目标使用密码打开Excel文档。其基本原理是，受密码保护的Excel文档会通过Microsoft Enhanced Cryptographic Provider v1.0传输，加密层让恶意邮件得以绕过电子邮件的防御系统。文件本身包含了Excel 4.0宏表，其中一个包含恶意宏。

       更新后的技术仍然会加密Excel文档，也需要用户交互，从钓鱼邮件打开Excel文档。但差别在于，当受害者打开密码保护的文档时，黑客设计了一种方法绕过输入密码的过程，直接打开加密文件。