2023年的四则奇异安全动态和点评

好差不差又到2023年底了，想要总结不知道写什么，无奈今年都是围着娃转，没有太多产出，于是简单摘今年印象比较深的四则安全动态和事件点评下。

如果去年的主题是“魔幻”，那么今年的则是“奇异”...

1. 以LangChain为代表的LLM应用让大家接触到了一种全新的应用程序架构，依托于大模型可以诞生各种各样的超级应用，同时扑面而来的是各种闻所未闻的新型安全漏洞，比如“老奶奶哄睡故事”、聊天RCE这种漏洞...好在OWASP组织安全社区整理修订了大模型应用存在的十大安全风险，给LLM应用的安全带来了一盏明灯，这里的每一个点又可以诞生不少安全工作岗位。

2. 今年老美发布了NIST SP 1800-37草案，找了几个安全供应商要解决使用TLS1.3加密协议的可见性挑战，最后得出的这个方案还是需要端点配合，是从客户端和服务端内存中抽取Session Key保存到专门的SKI（密钥拦截）设备，供流量安全系统解密TLS流量使用。安全和隐私真是一对冤家，安全的可见性不可避免要触碰隐私，但是要以合规且安全的方式进行。

3. Exchange的RCE漏洞这几年来一直让人深恶痛绝，特别是PowerShell Remoting这个入口点，过去的防护方式是黑白名单。由于从白名单中删除一些危险对象会导致原有功能的损坏，所以攻防就变成了漫长的找不同游戏。今年11月的Exchange补丁咬咬牙，默认启用了PowerShell序列化数据证书签名校验,虽然还有一些小BUG，但是现在就是找出茬了也很难利用。其实并不是微软不修漏洞，而是一个复杂产品到了后期才出现的安全需求，不可避免的和以前的正常功能冲突产生BUG，这些都是还历史债。

4.CVE-2023-38606这个最尴尬的0day漏洞细节披露了，攻击者可以利用苹果手机GPU协处理器里未公开的MMIO（内存映射IO）寄存器对受害者的手机为所欲为，并且不光苹果手机有这个问题，M1芯片也存在一样的未知功能。一般这类未公开寄存器指令的秘密只有厂商自己知道，对于攻击者来说有几种可能，一是入侵苹果获取了内部硬件技术资料，二是苹果主动和合作伙伴分享了秘密，三就是有内鬼。这到底是商业安全事故还是阴谋论里大BOSS的布局呢？无论是哪一种苹果都很尴尬~