联想修补了影响70多款型号笔记本电脑的 UEFI 代码执行漏洞

近日，联想发布了安全修复程序，以解决影响70多种产品型号附带的UEFI固件的三个漏洞（包括几种 ThinkBook 型号）。远程攻击者可以在启动的早期阶段触发这些缺陷，在易受攻击的系统上执行任意代码，从而避免检测安全功能。建议受影响设备的所有者更新到最新的固件版本。

AWS 修复了其Kubernetes服务中的身份验证漏洞

AWS修复了其Kubernetes一行代码中存在的三个身份验证错误，这可能允许攻击者在Kubernetes集群内提升权限。这些缺陷绕过对重放攻击的保护，允许攻击者通过冒充其他身份在集群中获得更高的权限。

Google Play上的新Android恶意软件安装了300万次

Google Play商店中一个新的Android恶意软件家族秘密地为用户订阅高级服务，下载量超过300万次。恶意软件被发现后,该公司花了六个月的时间删除了六款带应用程序，保留了两款恶意应用程序。为抵御这些威胁，Android用户应监控后台互联网数据和电池消耗，保持Play Protect处于活动状态，并尝试最大限度地减少他们在智能手机上安装的应用程序数量。2022年7月13日谷歌已经在报道发布后不久从Play商店中删除了剩下的两个广告软件应用程序.

勒索软件活动在第 2 季度卷土重来

根据安全公司Digital Shadows最新报告，勒索软件活动在上个季度增加了五分之一。该公司监控暗网上近90个数据泄露网站，观察到勒索软件组织在2022年第二季度列出了705名受害者，比上个季度的582人增加了21%。

Uniswap在大规模网络钓鱼攻击中被盗800万美元

据了解,在一次复杂的网络钓鱼攻击中Uniswap公司损失了价值近800万美元的以太坊。黑客利用免费UNI代币（空投）的诱惑来诱骗受害者授予交易，使其能够完全访问钱包。收到空投时，请确保在单击任何按钮之前验证所有内容，从登录的网站的域名开始,保护隐私安全。

研究人员发现Qakbot恶意软件逃避检测的新尝试

据外媒报道，Qakbot恶意软件背后的组织正在改变他们的交付媒介，试图避开检测。“黑客通过使用ZIP文件扩展名，诱人的通用格式文件名和Excel（XLM）来诱骗受害者下载安装Qakbot的恶意附件。

研究人员发现了ChromeLoader 浏览器劫持恶意软件的新变种

据了解，网络安全研究人员发现了ChromeLoader信息窃取恶意软件的新变种，并在短时间内突出了其不断发展的功能集。新变种劫持受害者的浏览器搜索，并展示广告。这些感染通常在点安装付费网站和社交媒体上的恶意广告活动时诱使毫无戒心的用户下载电影种子或破解的视频游戏。