微软已经开始通知一些Outlook.com用户，黑客能够在今年早些时候访问其帐户。公司发现支持代理的凭据因其网络邮件服务而受到损害，允许在2019年1月1日至3月28日期间未经授权访问某些帐户。微软称黑客可能已经查看了电子邮件账户，包括文件夹名称和主题行，但不包括电子邮件或附件的内容。 目前尚不清楚有多少用户受到了黑客行为的影响，或者是谁参与了Outlook.com电子邮件帐户的访问。在此次入侵事件中，黑客无法窃取登录详细信息或其他个人信息，但出于谨慎，微软建议受影响的用户重置密码。...

近日安全专家在IE 11浏览器上发现了全新漏洞，在处理.MHT已保存页面的时候能够让黑客窃取PC上的文件。更为重要的是.MHT文件格式的默认处理应用程序是IE 11浏览器，因此即使将Chrome作为默认网页浏览器这个尚未修复的漏洞依然有效。 该漏洞是由John Page率先发现的，只需要用户双击. 研究人员表示：“通常情况下，在IE浏览器中实例化‘Microsoft.XMLHTTP’这样的ActiveX对象的时候会跳出安全警示栏，以提示启用了被阻止的内容。但是使用恶意的标记来打开特制的.MHT文件时候，用户将不会收到此类活动内容或安全栏警告。”...

两位安全研究人员今天披露了一组漏洞，这些漏洞统称为Dragonblood，影响了WiFi联盟最近发布的WPA3 Wi-Fi安全和认证标准。如果被利用，漏洞将允许在受害者网络范围内的攻击者获得Wi-Fi密码并渗透目标网络。 Dragonblood漏洞组总共有五个漏洞，包括一个拒绝服务攻击漏洞、两个降级攻击漏洞和两个侧通道信息泄漏漏洞。尽管拒绝服务攻击漏洞并不重要，因为它只会导致与WPA3兼容的访问点崩溃，但其他四个攻击可以用于获得用户密码。 两个降级攻击和两个侧通道泄漏漏洞都利用了WPA3标准Dragonfly密钥交换中的设计缺陷，即客户端在WPA3路由器或接入点上进行身份验证的机制。...

近期在互联网媒体上流传 PostgreSQL 存在任意代码执行的漏洞：
拥有‘pg_read_server_files’权限的攻击者可利用此漏洞获取超级用户权限，执行任意系统命令。
针对此言论，PostgreSQL 官方在2019年4月4日发表声明如下：
互联网媒体上报导的有关 PostgreSQL COPY .. PROGRAM 功能明确规定，只能被授予超级用户权限、或是默认 pg_execute_server_program 角色的数据库用户来执行。根据设计，此功能允许被授予超级用户或 pg_execute_server_program 的用户作为 PostgreSQL 服务器运行的操作系统...

赛门铁克首席安全研究人员Candid Wueest近日发文称，酒店网站可能会泄露客人的预订详情，允许其他人查看客人的个人数据，甚至取消他们的预订。在最近研究酒店网站上可能发生的劫持攻击时，Wueest偶然发现了一个可能泄露客人个人数据的问题。 Wueest测试了多个网站 - 包括54个国家/地区的1500多家酒店 - 以确定这个隐私问题的常见程度。我发现这些网站中有三分之二（67％）无意中将预订参考代码泄露给第三方网站，如广告客户和分析公司。他们都有隐私政策，但他们都没有明确提到这种行为。...

谷歌的在线生产力和协作平台G Suite迎来了一系列安全更新。本轮更新重点增强了公司数据的保护，既包括控制用户的访问权限，还可以通过提供新的工具来防止网络钓鱼和恶意软件攻击。今天谷歌发布了高级网络钓鱼和恶意软件保护Beta版本，旨在帮助管理员保护用户免受恶意附件和电子邮件欺骗等因素的影响。 其中最有趣的功能就是全新的安全沙盒，这是面向G Suite企业用户的另一项测试版功能。在对附件进行已知病毒和恶意软件的扫描之外，该沙盒还可以额外添加一层保护层。附件扫描无法完全保护您免受零日勒索软件或复杂恶意软件的侵害。因此在沙箱环境中执行附件，以检查是否存在任何安全问题。...

秉承着对保护用户隐私的承诺，Mozilla近日宣布将会为Firefox浏览器引入几种新方式。正如此前在Bugzilla追踪器中BUG报告中所暗示的，Firefox将会增加对网站指纹和加密货币挖矿脚本的保护。 Mozilla在官方博文中解释道：网站通过指纹脚本可以收集每位访客的硬件相关数据，这样即使用户清除了cookies也能在网络上追踪用户。这些信息包括处理器、内存容量等信息，在苹果去年发布的macOS 10.14 Mojave中就引入了自己的方式来对抗各种数据收集。...

据路透社报道，由于遭遇史上最大数据泄密事件，雅虎接受了一项修改后的1.175亿美元和解协议，与本案的数百万受害者达成和解。这项周二披露的集体诉讼和解是为了解决美国加州圣何塞地区法院法官高兰惠（Lucy Koh）之前的批评。她在1月28日驳回了之前的和解协议，此次和解协议仍然需要获得她的批准。 高兰惠表示，最初的和解协议“不够公平、充分和合理”，因为没有列出整体金额，也没有说明每个受害者具体有望获得多少赔偿。她还表示，本案的法律费用似乎过高。 这起案件在2013至2016年间导致大约30亿帐号受到影响，而雅虎则被控在披露此事的过程中反应过慢。雅虎目前已经成为Verizon电信旗下的一家公司。...

据BBC报道，一名使世界各地色情网站用户遭受网络攻击、并由此获利数十万美元的学生已被判入狱。来自伦敦巴尔金的Zain Qaiser使用他的编程技巧来欺骗世界各地色情网站的用户。调查人员已经发现了大约70万英镑的利润 - 但他的网络可能已经使他获利超过400万英镑。 24岁的Qaiser在金斯敦皇家法院被判入狱六年零五个月。Timothy Lamb QC法官表示：“你的犯罪造成的伤害是如此广泛的，以至于此前报道的类似案件似乎无法与之相比。” Qaiser大约五年前首次被捕 - 但由于调查的复杂性和心理健康问题，该案件被推迟。...

移动安全公司Lookout发现，一款强大的间谍软件正瞄准iPhone用户，并窃取他们的隐私信息。研究人员宣称，这款软件的开发者滥用了苹果公司颁发的企业证书，绕过其应用商店审查，感染毫无戒心的受害者设备。 这种伪装软件被安装后，它可以悄无声息地获取受害者的联系人、音频记录、照片、视频和其他设备信息，包括他们的实时位置数据。 研究人员发现，这款应用还可以被远程触发，监听人们的谈话。尽管没有数据显示谁可能成为攻击目标，但研究人员指出，这款恶意应用出现在意大利和土库曼斯坦手机运营商的虚假网站上。此前，也曾出现针对安卓设备的类似间谍软件Exodus。...