Google Project Zero 安全研究人员公布了 NSO 间谍软件 Pegasus 零点击 iMessage 漏洞利用的深入分析报告，认为这是他们见过的技术最先进的漏洞利用之一。漏洞 CVE-2021-30860 被利用攻击沙特的活动人士，利用漏洞不需要用户点击链接或浏览恶意网站，苹果在 9 月的更新中修复了该漏洞。安全研究人员称，Pegasus 的第一个切入点是 iMessage，攻击者只需要 AppleID 用户名的电话号码就能启动恶意程序植入。iMessage 原生支持 GIF 图像，使用 ImageIO 库去猜测源文件的正确格式然后解析。利用伪装成 gif 图像的欺骗方法数十种图像编解码器就成为零点击 iMessage 攻击面的一部分。Pegasus 针对的是其中的 CoreGraphics PDF 解析器，在该解析器中苹果使用了来自 Xpdf 的开源 JBIG2 实现，JBIG2 是压缩黑白像素的图像编解码器。JBIG2 存在一个典型的整数溢出漏洞。虽然 JBIG2 没有脚本能力，但它能模拟任意逻辑门操作的电路，Pegasus 将 pdf 伪装成 gif，利用该漏洞溢出内存之后，使用超过 7 万个 segment 命令定义逻辑位操作，创造了一个定制的虚拟机在内存中执行指令。

HardenedVault 写道 " Log4Shell(CVE-2021-44228)是Java日志框架log4j的一个造成业界极大影响的漏洞，该漏洞基本上分为两部分：log4j2 部分（允许通过特殊构造的可记录字符串引诱使用该组件的 Java 程序访问攻击者指定的 URI）和 Java 核心部分（允许不经检查地执行服务器响应中引用的 Java 代码），赛博堡垒分析了漏洞的成因，并且发现有些Java应用免疫此次漏洞并非部署了高级防护措施而只是简单的遵循了开源最佳实践，也针对Java的企业应用生态中“RCE不是一个bug而是一个feature”的实际情况进行了安全加固建议，另外近期不少讨论都是关于是否应该由基金会代理去修复更多的开源安全生态问题，赛博堡垒持有不同看法，OpenSSL的心脏出血后Linux基金会成立了CII基础架构联盟以解决开源基础架构的安全生态问题，但其结果不尽人意，比如manager的人数超过maintainer，未来CVE-2021-44228这类问题会有更多曝光，但解决的思路如果仅仅是找一个机构（不论是基金会还是监管部门或者是大厂商），那这个机构的判断正确与否都等同于是把鸡蛋放进同一个篮子。介于开源社区多样性自底向上的进化模式占比很高的情况，赛博堡垒对开源项目的建议是：谁用谁负责，谁用谁审计，谁用谁加固。"