Apple发布紧急更新修复iOS和iPadOS中内存损坏0day；Windows 11与非ASCII字符的应用存在兼容性问题

Apple在10月11日发布紧急更新，修复了iOS 15.0.2和iPadOS 15.0.2中的内存损坏0day。该漏洞追踪为CVE-2021-30883，是IOMobileFrameBuffer中的一个内存损坏漏洞，可用来在目标设备执行命令。Apple在安全公告中称该漏洞已在针对手机和iPad的攻击中被广泛利用。此外，在漏洞公开不久，研究人员Saar Amar就发布了关于该漏洞的技术文章和利用漏洞的PoC。

微软近日发布的Windows 11已知问题文档显示，Win11与非ASCII字符的应用存在兼容性问题。微软称，非ASCII字符的应用可能无法在受影响的系统上正常运行，并可能导致其他问题，包括蓝屏错误等。更糟糕的是，具有非ASCII字符的注册表项可能也无法修复。微软正深入调查该问题，并将在未来提供解决方案。如果用户的注册表中有使用非ASCII字符的应用程序，微软将不会向用户推送Windows 11升级。

医疗设备制造商美敦力(Medtronic在10月11日通知其部分胰岛素泵的遥控器存在漏洞，可用来修改患者的胰岛素数量。研究人员称，攻击者可以靠近胰岛素泵，在用户注射胰岛素时复制遥控器的无线射频信号，然后重新发送该信号再次注射胰岛素。该公司此次召回的型号是MiniMed 508和Paradigm系列遥控器MMT-500和MMT-503，占市场上胰岛素泵的60%。该公司于2018年8月首次向用户通报了该问题，并在今年10月加大了召回力度。

Phone Arena在10月9日披露利用短信针对美国最大运营商Verizon的用户的钓鱼活动。在此次活动中，短信来自特定号码5626661159，内容为感谢用户已支付9月份订单，以及感谢的小礼物。当用户点击短信中的链接时，可能会被重定向到钓鱼网站。研究人员表示，这与近期针对T-Mobile用户的攻击相似，当时短信声称提供了100美元的免费礼物，影响了近4800万用户。

McAfee在10月4日发布了2021年第二季度威胁态势的分析报告。报告指出，在2021年Q2，勒索软件REvil/Sodinokibi的占比高达73%，而DarkSide的攻击目标从石油、天然气和化工行业扩展到了法律服务、批发和制造行业。遭到勒索攻击最多的行业为政府机构，其次是电信、能源和媒体与通信行业。与2021年Q1相比，垃圾邮件的数量增幅最大，为250%，其次是恶意脚本（125%）和恶意软件（47%）。

Check Point发布了2021年全球威胁态势的分析报告。在全球范围内，与2020年相比，2021年组织每周遭到的攻击数量增加了40%，该数值从2020年3月开始显著增加，到2021年9月达到峰值，全球每个组织平均每周遭到超过870次攻击，是2020年3月的两倍多。遭到攻击最多的仍然是教育和研究行业，每个组织每周平均遭到1468次攻击(比2020年增加60%)，其次是政府和军工行业为1082次(增加40%)和医疗行业为752次(增加55%)。