Windows 7和IE浏览器都已经于上月停止支持，但由于最新曝光的严重IE漏洞微软决定再次为Windows 7系统提供安全补丁。在发现了一个被黑客广泛使用的JavaScript引擎漏洞之后，微软决定为所有IE 9之前的旧版浏览器提供安全更新。 CVE-2020-0674公告中写道：
这个远程代码执行漏洞存在于IE浏览器处理脚本引擎对象的内存中。该漏洞可能以一种攻击者可以在当前用户的上下文中执行任意代码的方式来破坏内存。成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限。...

据外媒报道，本周，超1060万名住在米高梅国际度假(MGM Resorts)酒店的客人的个人详细信息被公布在了一个黑客论坛上。除了普通游客之外，遭新曝光的信息还包括了一些名人、科技公司老总、记者、政府官员以及来自全球最大科技公司的职工。 米高梅度假村发言人通过电子邮件确认了这一事件。 泄露了什么？...

网络诈骗者往往会抓住时下热点，欺骗用户点击链接或者下载含有恶意代码的软件。例如在过去几个月中，就有诈骗者利用澳大利亚山火进行虚假众筹，以及出售假冒的科比·布莱恩特纪念品等等。时下最热门的话题莫过于新型冠状病毒，因此诈骗者利用该新闻进行传播恶意程序就没有奇怪的了。 这些恶意行为最早是由CheckPoint发现的，这些网络诈骗者发送了当地或者全球世界卫生组织的官方文件。如果用户打开这些看上去合法的文件，那么计算机就会被感染。...

腾讯安全威胁情报中心检测到“快Go矿工”更新，该团伙本次更新利用MSSQL弱口令爆破攻击的方式进行传播。“快Go矿工”由御见威胁情报中心于2019年10月发现，最初仅利用“永恒之蓝”漏洞进行攻击传播，因其使用的C2域名中包含“kuai-go”， “快Go矿工”最新变种将挖矿程序伪装成系统进程WinInit.exe，截止目前已挖矿获得门罗币47个，市值人民币2万余元。同时，病毒在攻陷机器上植入的gh0st远控木马，具有搜集信息、上传下载文件、键盘记录、执行任意程序等多种功能，被攻陷的电脑还会面临机密信息泄露的风险。...

NIC.gp 的安全研究员和开发人员 Michel Gaschet 于近日提出，Microsoft 在其数千个子域的管理方面存在问题，存在有许多子域可以被劫持并用于攻击用户、员工或显示垃圾内容。据 ZDNet 报道称，Gaschet 在接受其采访时说，在过去三年中， Gaschet 表示，他已经在 2017 年向微软报告了 21 个容易受到劫持的 msn.com 子域 [1, 2]，并在 2019 年报告了 142 个错误配置的 microsoft.com 子域 [1, 2]。此外，他还分享了其于去年向微软报告的 117 个 microsoft.com 子域列表。...

美国国土安全部网络安全和基础设施安全署的公告显示，有一家未公开名字的天然气公司在感染勒索软件后关闭设施两天。感染发生在该公司的天然气压缩设施，攻击始于钓鱼邮件内的恶意链接。 攻击者从其 IT 网络渗透到作业 OT 网络，其 IT 和 OT 网络都被勒索软件感染。感染没有扩散到控制压缩设备的可编程逻辑控制器，因此该公司没有失去对操作设施的控制。工作人员关闭了压缩设施两天，但由于管道传输的依赖性，它的关闭连带影响到了其它地方的压缩设施。 （稿源：solidot，封面源自网络。）

一个国际研究小组去年底在《Nature Communications》期刊上发表论文，描述了一种完美保密的新加密系统，声称能对抗未来的量子计算机。英特尔公司的加密专家 Rafael Misoczki 称，完美保密是加密学中最高等级的安全观念，一个加密系统如果能实现完美保密， 绝大多数实现完美保密的尝试都集中在开发量子密钥分发系统（QKD），但部署 QKD 系统需要企业和政府投入大量资金去建造新的量子通信线路。但研究人员描述的新完美保密加密方法是基于现有的光纤通信基础设施。它不是依赖于量子物理学，而是基于混沌光状态。...

Let’s Encrypt是一家得到Mozilla Firefox和Google Chrome支持的自动化证书颁发机构。今天该机构宣布了一项新措施，从而进一步保护用户免受网络攻击的侵害。这项新功能称之为多角度域认证（multi-perspective domain validation）， 域验证并不是什么新问题，但在验证过程中还存在很多的漏洞，这意味着网络攻击者可以诱使CA机构错误的颁发证书。而通过多角度域认证，网络攻击者需要同时破坏三个不同的网络路径，这不仅大大提高了安全系数，而且在互联网拓扑社区中也能更快发现网络攻击行为。...

Word Press插件Theme Grill Demo Importer的漏洞被修复，影响将近20万个网站，该插件可以利用漏洞清除网站数据库并获得管理员权限。管理员可对演示内容等进行内部设置。 网络安全公司Web ARX研究人员近期发现：该插件的1.3.4到1.6.1版本受一个关键漏洞影响，漏洞可允许未经身份验证的攻击者擦除Word Press网站的整个数据库，而该公司研究人员发现该漏洞已经存在三年。...

据外媒报道，微软在发现导致安装失败或安装成功出现某些功能崩溃的问题后取消了Windows 10的安全更新。据了解，这个KB4524244原本是为了解决在卡巴斯基救援盘(Rescue Disk)中发现的一个安全漏洞而推出的。该安全漏洞则是在去年4月被公开的。 尽管卡巴斯基自己在8月份解决了这个问题，但为了保护运行旧版本软件的用户微软还是决定开发额外的补丁。 卡巴斯基表示，升级所导致的问题跟他们的软件无关，因为在KB4524244安装在Windows 10上之后他们已经进行了彻底的检查从而确保跟他们的救援盘工具之间不存在兼容性问题。...