作为“技术星期二”的一部分，美国联邦调查局（FBI）刚刚向大家发出了一条建议 —— 在连接公共 Wi-Fi 网络的时候，请慎重决定是否网购。历史数据表明，每年的假日期间，针对这类人群的欺诈事件都有高发态势。同时，FBI 建议大家始终保持联网设备已处于最新状态，无论是计算机还是智能手机。 设备制造商和操作系统开发团队会定期发布软件更新，以修复新老漏洞。只要做到这一点，就能够将绝大多数野外漏洞利用挡在门外。 然而随着人们对移动生活的日渐依赖，公共 Wi-Fi 也开始被越来越多的不法分子给盯上。所以在连接公共 Wi-Fi 网络的时候，还请注意谨慎暴露任何私密信息。...

在今天发布的新闻稿中，微软宣布即将在卡塔尔开设新的云数据中心区域。伴随着本次扩展，微软在全球20个国家和地区的云区域规模数量已经达到55个。卡塔尔的新云数据中心区域预估将于2021年投入使用，首先从Azure开始，Office 365, 这个新数据中心区域的成立，能够让卡塔尔的公共和私营企业访问更可靠、更具弹性的云服务。卡塔尔运输和通信部长Jassim Saif Ahmed Al-Sulaiti表示：“与微软的合作是加速卡塔尔政府数字化转型的重要一环，是推动《卡塔尔国家愿景2030》发展计划的重要动力。”...

十月份我们曾报道过，微软向所有Windows 10用户发布了一个Autopilot设备更新补丁，随后在公司意识到自己的错误后撤消了更新。而今天，微软再次重复了同样的错误，他们于12月10日在星期二的补丁更新中向所有用户推出了另一个Windows 10 Autopilot更新“KB4532441”。 访问微软中国官方商城 - Windows 用户在论坛上报告说，此更新已发布到 Windows 10的消费者版本。当用户检查更新时，会立即显示此更新，并且即使成功安装后也会反复提供。 微软已经确认该错误，并且发布撤消了该更新的消息：...

微软和谷歌都已经在昨天发布软件更新用于修复部分安全漏洞，这其中就包括某个在野外已遭到利用的零日漏洞。这些零日漏洞由卡巴斯基发现但是高级黑客团体早已利用，黑客借助这些漏洞可以直接在计算机上安装间谍软件。而经过溯源后卡巴斯基指出无法将攻击者归于任何特定攻击者，但攻击者使用的部分代码与拉撒路集团有相似性。 利用漏洞攻击韩语新闻网站加载恶意软件： 卡巴斯基调查后发现最初攻击者利用某韩语新闻网站的漏洞嵌入恶意脚本，当用户浏览该网站时就会加载该脚本。...

Sophos的安全研究团队近日发现了名为Snatch的勒索软件，利用Windows的功能来绕过安装在PC上的安全软件。这款勒索软件会让你的PC崩溃，并迫使受感染设备重新启动进入安全模式。而在安全模式下，通常会禁用防病毒和其他安全软件，从而允许该恶意程序作为服务进行自启，对PC进行全盘加密， 在过去3个月内，Sophos已经收到了12例关于该勒索软件的反馈报告，要求比特币赎金在2900美元至51,000美元之间。在安全公告中写道：“Snatch可以在常见的Windows系统上运行，从Windows 7到Windows 10，所有32位和64位版本都受到影响。 （稿源：cnBeta，封面源自网络。）...

TrickBot攻击流程 二、详细分析
当受害者打开恶意Word文档时，会显示如下图所示界面：

初次打开文档时，Office会提示是否允许宏执行，若选择允许，则文档界面中会提示一条告警消息，但是实际上后台VBA代码正在C:\Resources目录下创建5个后缀为.cmd的文件，...

安全研究人员发现了亚马逊上销售的一系列儿童智能手表存在严重漏洞。研究人员警告说，潜在的黑客可以利用这些安全漏洞来接管设备，并且可以跟踪孩子，甚至与他们进行对话。
安全公司Rapid7披露了在亚马逊上出售的三款儿童智能手表存在安全漏洞，这三款儿童智能手表是Duiwoim， 但是Rapid7的安全研究人员发现，与佩戴手表的孩子保持联系的不仅仅是父母，因为它们内建的过滤器本来只允许白名单上的电话号码与手表联系，但是Rapid7发现此过滤器根本不起作用。...

据外媒The Verge报道，Facebook高管对美国司法部长威廉·巴尔（William Barr）表示，在周二参议院就加密问题进行听证会之前，该公司不会向执法部门提供对其加密消息产品的调查访问。 在一封信中，WhatsApp和Messenger负责人Will Cathcart和Stan Chudnovsky分别表示，不良行为者可能出于恶意目的利用任何“后门”访问Facebook为执法而创建的产品。因此，Facebook拒绝了巴尔使其产品更易于使用的请求。...

一家允许美国人获取出生/死亡证明的在线公司被爆信息泄露事件。目前在Amazon Web Services (AWS) 储存库中发现了超过75.2万美国人的出生证明副本，此外的还有90400个死亡证明申请，不过无法访问或者下载。 该储存库没有进行密码保护，任何人都可以通过非常容易猜测的URL网址来访问这些数据。虽然美国各个州的申请流程各不相同，但都会执行一项相同的任务：允许美国人向该州的记录保存机构（通常是州卫生部门）提出申请，以获取其历史记录的副本。我们审查的申请书包含申请人的姓名，出生日期，当前家庭住址，电子邮件地址，...

Android系统发布了2019年12月的安全更新，此次解决的漏洞中包含一个可能导致DoS攻击的严重漏洞（CVE-2019-2232）。 12月1日的补丁解决了Framework中的六个漏洞，两个媒体框架漏洞，系统中的七个以及Google Play系统更新中的两个漏洞。 CVE-2019-2232 DoS漏洞将会影响Framework组件，以及Android版本8.0、8.1、9和10。...