Hackernews 编译，转载请注明出处： Fortinet解决了该公司某些产品中的16个漏洞，其中6个漏洞的严重程度很高。 其中一个高严重性漏洞是FortiADC日志页面中的持续XSS，跟踪为CVE-2022-38374。该漏洞的根本原因是FortiADC中网页生成漏洞[CWE-79]期间输入的中和不当。未经身份验证的远程攻击者可触发此漏洞，通过流量和事件日志视图中观察到的HTTP字段执行存储的跨站脚本 （XSS） 攻击。...

图：恶意JavaScript文件混淆内容 据Proofpoint安全研究人员介绍，该恶意软件已被安装在250多家美国新闻媒体网站之上，其中包括不少重量级新闻机构。

虽然尚不清楚受影响新闻机构的确切数量，但Proofpoint表示包括国家新闻机构在内，已经有纽约、波士顿、芝加哥、迈阿密、华盛顿特区等地的多家媒体因此受害。...

威胁者正在利用一家未披露的媒体公司的受损基础设施，在全美数百家报纸的网站上部署SocGholish JavaScript恶意软件框架（也称为FakeUpdates）。 "涉案的媒体公司是一家为主要新闻机构提供视频内容和广告的公司。Proofpoint专家表示："该公司为全美不同市场的许多公司服务“。 这个供应链攻击背后的威胁者（被Proofpoint追踪为TA569）已经将恶意代码注入了一个良性的JavaScript文件，该文件被新闻机构的网站加载。...

美国金融监管机构发布报告称，2021年勒索软件攻击与赎金支付数量再创历史新高，多数勒索软件变种的幕后操纵者据信与俄罗斯有关。 总体来看，2021年金融机构根据美国《银行保密法》要求上报的勒索攻击总损失，已经由前一年的4.16亿美元骤升至12亿美元。 这些数据出自周二美国财政部下辖金融犯罪执法网络（FinCEN）发布的最新报告。...

当地时间10月31日至11月1日，美国协同其他35个国家，在华盛顿白宫举行了第二届国际勒索软件倡议（CRI）峰会，以研究如何更好地打击勒索软件攻击。 在会后由白宫发布的联合声明中，成员国一众表示，将巩固对勒索软件的集体抵抗能力，包括：

让勒索软件攻击者对其罪行负责，确保不为其提供避风港
通过对虚拟资产及其服务商施行反洗钱和打击资助恐怖主义（AML\CFT）措施，...

CVE-2022-3602 漏洞危险指数下降 流行 CSP 中存在漏洞的 OpenSSL 实例 最新的 OpenSSL 版本包含在多个流行的 Linux 发行版中，其中 Redhat Enterprise Linux 9、Ubuntu 22.04+、CentOS Stream9、Kali 2022.3、Debian 12 和 Fedora 36 被网络安全公司 Akamai标记为有漏洞，...

Hackernews 编译，转载请注明出处： 勒索软件集团LockBit 3.0声称窃取了法国国防和科技集团Thales的数据。 Thales是全球高科技领导者，在全球拥有81000多名员工。集团投资于数字和深度技术创新——大数据、人工智能、互联互通、网络安全和量子——通过将人置于决策的核心，构建对社会发展至关重要的信任未来。...

Hackernews 编译，转载请注明出处： 微软周二表示，它解决了Azure Cosmos DB的Jupyter Notebooks中的身份验证绕过漏洞，该漏洞启用了完全读写访问权限。 这家科技巨头表示，该漏洞于2022年8月12日出现，并于2022年10月6日在全球范围内得到纠正，两天后，Orca Security披露了该漏洞，并将其称为CosMiss。...

安全内参11月1日消息，欧洲内陆国家斯洛伐克议会IT系统遭遇网络安全事件，导致上周举行的会议被迫暂停。

上周四（10月27日），斯洛伐克议会议长鲍里斯·科拉尔（Boris Kollár）在电视简报会中解释称，为了着手调查此次安全事件，原定的议会投票被迫取消。

科拉尔在简报会上透露，...

Q3季度详情 销售平均价格与中位价格 Q3季度最常针对的国家/地区...