支付宝就服务故障公开致歉：已修复不会影响用户资金安全；|马自达 CMU 车机系统曝多项高危漏洞，可导致黑客远程执行代码

支付宝就服务故障公开致歉：已修复不会影响用户资金安全；

2024年11月11日，“支付宝崩了”相关话题冲上微博热搜榜榜首。多位网友反映称，支付宝一直显示“出错”，一个订单被支付宝多次扣款。随后，南都记者从支付宝官方微博获悉，支付宝因系统消息库出现局部故障，导致部分用户的支付功能受到影响。该故障不会影响用户的资金安全，目前故障已修复。

多位网友发帖称，使用支付宝付款时显示“支付失败”“交易创建失败”“服务异常”等，“钱扣了几次，结果显示订单未支付”。还有网友表示，支付宝余额宝提现未到账，花呗还款扣款成功但账单没清等。不少人质疑支付宝“崩了”与双十一流量过大有关，并担心出现无法退款等资金损失问题。

随后，支付宝官方微博发布公告称，因系统消息库出现局部故障，导致部分用户的支付功能受到影响。该故障不会影响用户的资金安全，截至10时50分故障已经修复。对给用户带来不便深表歉意。

马自达 CMU 车机系统曝多项高危漏洞，可导致黑客远程执行代码

11 月 10 日消息，安全公司趋势科技近日发现日本汽车制造商马自达旗下多款车型的 CMU 车机系统（Connect Connectivity Master Unit）存在多项高危漏洞，可能导致黑客远程执行代码，危害驾驶人安全。

IT之家获悉，这些漏洞影响 2014 至 2021 年款 Mazda 3 等车型，涉及系统版本为 74.00.324A 的车机，黑客只需先控制受害者的手机，接着趁受害者将手机作为 USB 设备连接到 CMU 车机系统之机，即可利用相关漏洞以 root 权限运行任意代码，包括阻断车联服务、安装勒索软件、瘫痪车机系统，甚至直接危及驾驶安全。

▲ 涉及的 CMU 车机系统，图源趋势科技

趋势科技表示，具体关键漏洞包括：

CVE-2024-8355：DeviceManager 中的 iAP 序列号 SQL 注入漏洞。黑客可以通过连接苹果设备进行 SQL 注入，以 root 权限修改数据库，读取或执行任意代码。
CVE-2024-8359、CVE-2024-8360 和 CVE-2024-8358：这些漏洞允许攻击者在 CMU 的更新模块中注入任意指令，从而实现远程代码执行。
CVE-2024-8357：SoC 验证漏洞，由于 SoC 未对启动代码进行验证，使得黑客能够悄悄修改根文件系统，安装后门，甚至执行任意代码。
CVE-2024-8356：影响独立模块 VIP MCU 的漏洞。黑客可通过篡改更新文件，将恶意镜像文件写入 VIP MCU，进一步入侵汽车 CAN / LIN 控制网络，威胁车辆整体安全。

研究人员指出，相应漏洞的利用门槛较低，黑客只需在 FAT32 格式的 USB 硬盘上创建文件，命名为“.up”后缀即可被 CMU 识别为更新文件，从而执行多种恶意指令。结合上述漏洞，黑客即可通过恶意 MCU 固件实现对车载网络的控制，从而直接影响车辆的运行及安全。