大赦国际报告，两名人权活动人士的手机多次成为以色列 NSO 公司开发的间谍软件 Pegasus 的目标。摩洛哥人权活动人士 Maâti Monjib 和律师 Abdessadak El Bouchattaoui 的手机收到的短信包含了恶意网站的链接，如果点击链接，网站将会尝试在手机上安装 Pegasus，它是目前曝光的功能全面的最先进间谍软件之一。这不是第一次 NSO 的间谍软件被用于监视活动人士或异议人士。2016 年阿联酋的活动人士 Ahmed Mansoor 就收到短信试图引诱他访问会在 iPhone 手机上安装 Pegasus 的网站，网站利用了三个 iOS 0day 漏洞。NSO 在一份声明中表示会对报道进行调查，如果确认将会采取恰当的行动，包括终止客户对其产品的使用。NSO 声称它三次关闭客户对其系统的访问，大赦国际则对此表示了怀疑。

大约一年多前，彭博商业周刊爆料，中国在苹果亚马逊等美国科技公司使用的超微服务器主板上悄悄植入了米粒大小的微型间谍芯片。这一报道至今没有获得证实，相关公司甚至 NSA 都否认了报道。但对供应链的攻击已变成一种确确实实的威胁，而在硬件上植入难以察觉的微型芯片也变得日益廉价。在本月晚些时候举行的 CS3sthlm 安全会议上，安全研究员 Monta Elkins 将展示他的微芯片植入硬件的概念验证版本。使用 150 美元的热空气焊接工具，40 美元的显微镜，以及从网上订购的 2 美元芯片，Elkin 能以绝大多数 IT 管理员难以注意到的方式修改思科防火墙设备。他编程芯片在防火墙启动时执行攻击，它模拟管理员访问防火墙配置，触发密码恢复功能，创建新的管理员账号，访问防火墙配置。在恶意芯片能访问防火墙配置之后，就可以为攻击者远程访问打开方便之门。

惠普设备预装的软件 HP Touchpoint Analytics 发现漏洞，允许恶意程序获得管理权限接管设备。SafeBreach Labs 的安全研究人员在夏天报告了该漏洞，惠普在本月释出更新修复了漏洞。惠普建议其台式机和笔记本电脑用户尽可能及时更新客户端。HP Touchpoint Analytics 的功能主要是收集硬件性能的诊断信息，然后发送给惠普。该应用具有管理权限，安全研究人员发现可以劫持该应用加载恶意 DLL 文件运行恶意代码，该漏洞不允许黑客远程控制设备，但允许本地应用获得提权。

上周五发布的一份报告发现 FAA 对波音 737 Max 的认证存在严重缺陷。波音 737 Max 发生了两起致命空难，而空难原因被认为与被称为 MCAS 的自动控制新系统有关。报告由 FAA、NASA 和来自欧洲、中国等地的九家国际监管机构代表共同编写。报告称，波音公司没有向 FAA 充分解释 MCAS 系统是如何工作的，FAA 也缺乏对波音这款新飞机的许多信息进行有效分析的能力。该机构严重依赖波音公司派驻的员工来保证 Max 的安全性，而在飞机研发过程中，波音代表 FAA 工作的员工有时会因 “优先事项相互冲突” 而面临 “过度的压力”。报告认为，如果 FAA 的技术人员对 MCAS 有更充分的了解，该机构可能会要求对这一系统进行额外审查，或许能够就此发现缺陷。