各位Buffer早上好，今天是2018年9月30日星期日，农历八月二十一。今天的早餐铺内容有：Facebook披露了影响5000万用户帐户的网络漏洞；第一个规模利用的 UEFI 恶意固件 rootkit 曝光；蔚来ES8行驶中系统死机；中华遗嘱库用区块链技术保障遗嘱安全有效；微软云计算开放硬件安全方案。

Facebook周五宣布，该公司发现了一个安全漏洞，黑客可利用这个漏洞来获取信息，而这些信息原本可令黑客控制约5000万个用户账号。Facebook CEO马克·扎克伯格（Mark Zuckerberg）称：“这是个非常严重的安全问题，我们正在非常认真地对待。”在披露这一消息之前，Facebook股价已经下跌了1.5%左右，消息传出后进一步走低，到收盘时下跌2.59%报164.46美元，盘中一度触及162.56美元的低点。[来源：cnBeta]

蔚来汽车首款量产车ES8作为一款国产电动产有着不小的名气，定位高性能和极致生活体验的智能7座SUV，首批车辆已经交付，但其稳定性却遭到质疑。据微博认证用户@亚东称，自己的蔚来ES8居然在行驶过程中出现了死机，车辆能开，但是行车系统加不上电，全车系统启动不了，重启依然加不上电。[来源：IT之家]

ESET团队近日曝光了一个有规模利用的UEFI恶意固件样本LoJax，此恶意固件应该是由Sednit（又名APT28）组织打造用于配合恶意软件持久化控制受害者计算机，整个恶意植入的流程大概如下：检查固件安全设置是否正确，如果未正确设置（比如没有写保护）就直接写入恶意模块到SPI flash中，如果正确设置的情况下则使用CVE-2014-8273漏洞利用进而完成恶意模块植入。基于UEFI的rootkit成为了Sednit恶意软件体系重要的组成部分，关于其他部分的描述可以参考ESET给出的信息。此次曝光的攻击是针对Windows的机型，但由于其固件的特性可以很轻松的移植到其他平台，HardenedLinux社区的建议是常规的固件安全审计，以及基于包括自由固件在内的定制方案( hardenedboot)。[来源：Solidot]

据新京报报道，中华遗嘱库管委会主任陈凯近日表示，“今后，凡在中华遗嘱库进行遗嘱登记以及保管业务，所有电子证据保全及认证证书、数字证书、可信时间戳证书都将实时上传司法电子证据云，将遗嘱保管在遗嘱库将更加安全”。“遗嘱司法证据备案查询系统”将司法电子证据与遗嘱登记融合，这将让遗嘱保管更加具备司法公信力，也让遗嘱更安全。该系统是将中华遗嘱库登记。[来源：Bianews]

微软作为OCP(开放计算节点基金会)的白金会员，此前贡献了名为Olympus的微软下一代数据中心的机架项目给OCP，其中服务器规格是基于x86/arm64处理器的1U/2U机型，而Olympus有一个衍生的开放硬件安全项目：Cerberus，Cerberus使用一个安全处理器对SPI总线和主板硬件设备之间进行拦截，作为信任根对固件（UEFI，OptionROMs，BMC，Intel ME/SPS以及其他外设的固件）的签名合法性和完整性进行检查，这一过程对于主CPU是无感知的。Cerberus目标是满足NIST SP 800-193固件合规指南的要求，随着NIST SP 800-193于2018年5月定稿，未来像Cerberus，OpenTITAN这类开放可审计的方案会更受欢迎。[来源：Solidot]