周二微软发布本月的补丁更新，修复多个严重漏洞包括一个零日漏洞、两个信息披露和三个特权升级漏洞。微软更新 6 个关键级别漏洞和 8 个其他“重要”级别漏洞，包括 IE 浏览器和 Edge 浏览器的累积更新。值得一提的是，之前谷歌安全研究员突然公开了微软 Windows 10 系统的本地提权漏洞并只给微软留了 10 天的修复时间。这让微软很“生气”并指责谷歌让 Windows 用户陷入“潜在的危险”中，并称在修复期间已经有网络间谍组织利用漏洞攻击目标。 稿源：本站翻译整理，封面来源：百度搜索

据本站报道，入侵全球知名职场社交平台 LinkedIn，窃取超过 1.17 亿 会员详细资料的俄罗斯黑客 Nikulin 已经被捕，但是仍然有人在寻找新途径窃取 LinkedIn 用户的个人数据。最近有研究员发现，犯罪分子使用复杂的网络钓鱼骗局针对 LinkedIn 用户，试图诱骗用户相信其帐户存在安全问题，必须提供更多个人信息增加验证难度，从而劫持账户并获得信息进行下一步诈骗。 钓鱼邮件含两个链接：其中一个是 Dropbox 的链接，要求用户上传付款方式，政府颁发的有效证件如驾照、护照等；另一个是 LinkedIn 密码重置链接。 稿源：本站翻墙整理，封面来源：百度搜索

据外媒报道，企业运行的 Exchange Server 服务器存在设计缺陷，攻击者可以绕过 Outlook Web Access（OWA）设置的双因素身份验证（2FA），访问目标企业的电子邮件收件箱，日历，联系人和其他敏感数据。该设计缺陷被黑山信息安全公司的研究员 Beau Bullock 发现，并于 9 月 28 日告知了 Microsoft 。Bullock 称主要的问题在于 OWA 服务与 Exchange Web Services（EWS）服务在同一个 Web 服务器上运行、共享同一端口并且都默认启用。虽然 OWA 上启用了 2FA ，但是 EWS 认使用单因素身份验证，攻击者可通过攻击 EWS 实现入侵 OWA 服务器。现实中，Bullock 使用了一个名为 MailSniper 的工具在 Microsoft Exchange 环境中搜索包含敏感数据的邮件。 稿源：本站翻译整理，封面来源：securityaffairs.co

据英国广播公司（ BBC ）报道，上周日，乐购银行( Tesco Bank ）首席执行官称银行系统遭到黑客攻击，约有 4 万个网上银行账户被入侵，其中近 2 万个账户中的钱被窃走。银行账户失窃的原因目前还不得而知，官方没有做出任何解释，只是强调正在进行刑事调查。事件发生在上周日，银行接到客户投诉电话后，立即关闭网上转账和支付功能阻止资金转移，但 ATM 交易、账单还款、借贷等业务不受影响。银行承诺此次金融欺诈行为造成的任何经济损失都将由银行来承担，顾客没有财务风险，目前已经先行赔付 25 英镑。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，英国国家犯罪局（ NCA ）上周三逮捕了 14 名罪犯分子，涉嫌使用恶意软件窃取银行卡信息洗钱 1100 万欧元。他们使用 Dridex 和 Dyre 银行木马收集受害者银行账户信息，通过虚假的身份证明文件注册数百个英国和东欧其它银行账户进行分散洗钱活动。在逮捕行动中，海关人员检获大量现金、电子器件、多个虚假的身份证明文件。但这次行动对恶意软件整体形势不会造成大的改观，该团伙只是其中外围一个很小的子集，恶意垃圾邮件还会由其他团伙继续分销、感染用户、转移资金。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，美国 NBC 新闻电视台5日援引情报部门的消息称：“美国军事黑客已经进入俄罗斯电网和电信部门，以及克里姆林宫指挥系统。美国政府担心俄罗斯使用网络能力破坏即将举行的总统选举，如有必要，美国秘密网络武器将对俄方发动攻击。” 俄新网 5 日说，美国黑客准备对俄发动攻击，是虚张声势还是实际威胁？俄外交部发言人扎哈罗娃 5 日说，俄外交部期待美国政府对军事黑客可能袭击俄电信和电网的消息做出反应。她说：” 美国官方不表态意味着那里存在国家层面的网络恐怖主义，如果媒体报道的黑客威胁成为现实，莫斯科有权对华盛顿提出相应指控。” 俄总统新闻秘书佩斯科夫也说，莫斯科正采取措施保证网络和信息安全。美国情报部门拒绝对此发表评论。此前，该部门多次指责俄罗斯企图利用网络攻击影响美总统选举，并暗示俄支持特朗普。 俄罗斯“今日经济”网 5 日称，有俄专家认为，目前俄美两国间严重不信任，美国对俄发动网络攻击并非只是虚张声势。但目前看，美方公布这一信息只是对克里姆林宫施压。俄战略与国际问题研究所专家尼古拉丘克说，网络安全对美国来说是头号问题，美国轻易不敢对他国发动网络攻击，否则会遭到对方针锋相对的回应。从这一点看，美国媒体宣称对俄发动网络攻击纯属胡说八道。美国这一宣传与其国内举行的大选有关，目的是吓唬俄罗斯。 稿源：环球网，封面来源：百度搜索

据本站 11 月 2 日报道，网络安全法草案三次审议稿 10 月 31 日提请全国人大常委会审议。现在有了最新进展。十二届全国人大常委会第二十四次会议 11 月 7 日上午经表决，通过了《中华人民共和国网络安全法》。此次表决共 155 人参与，最终以 154 票赞成、1 票弃权，表决通过了网络安全法。网络安全法将于明年 6 月 1 日起施行。法律进一步界定关键信息基础设施范围；对攻击、破坏我国关键信息基础设施的境外组织和个人规定相应的惩治措施；增加惩治网络诈骗等新型网络违法犯罪活动的规定等。 稿源：IT之家，封面来源：百度搜索

据外媒报道，“内部文件”显示，在某些情况下英国警察或安全情报机构可能有权向其他机构提供监控支持。据称，伦敦警察向英国竞争和市场管理局( Competition and Markets Authority ,以下简称“ CMA ”)提供监控工具和技术支持，以便调查时进行必要的监视或财产干扰操作。 CMA 主要负责调查可能限制竞争的公司兼并活动、以及调查潜在的可能违反英国和欧盟实施的反竞争协议的行为。按照信息自由法案（FoI）的要求伦敦警察局和 CMA 之间制定了谅解备忘录（简称MoU，相当于协议）详细描述了两个部门之间的关系和具体合作情况。 伦敦警察局提供的技术支持让 CMA 具备了“设备干扰”的能力如在车辆中安装音频监视设备等，当然，目前CMA在许多情况下获得的支持不可能达到相应的“国家级”高标准，比如获得 CoLP 专家团队支持进行定向监控，在部署以及保密性上也有很大限制和要求。 伦敦警方目前尚未就此事发表任何意见。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，思科已经修复了其招聘门户网站的一个漏洞，可能暴露了部分求职的个人信息。思科已经向受影响的用户发送了一封告知邮件，因第三方网站系统维护后“不恰当的的安全设置”导致部分应聘者的相关信息从移动版本的网页上泄露。不恰当的的安全设置出现在 2015 年八月到九月以及 2016 年七月到八月，目前思科还没有发现未经授权访问的实质证据，但出现过一次原因不明的异常连接服务器事件。据称，疑泄露的数据包括真实登录名、密码、联系方式、密保问题、学历、简历信息等。 思科遵守“信任和透明的承诺”及时发布官方报告（PDF）并重置用户密码。此外，还对有需要的用户提供 90 天免费的欺诈警告服务。 稿源：本站翻译整理，封面来源：百度搜索

国际象棋世界冠军 Magnus Carlsen 将于下周与顶级大师 Sergey Karjakin 进行比赛，而他认为自己已经成为俄罗斯黑客的网络攻击对象，因此向微软寻求网络保护。 Carlsen 称他十分依赖电脑技术来为这场比赛做准备，他很害怕俄罗斯黑客会入侵他的电脑，以获得能帮助克里米亚的 Karjakin 选手获胜的信息。微软将保护 Carlsen 的数据和通讯安全，同时也会为 Carlsen 的比赛顾问们提供网络安全保护。 几天前微软称其Windows系统中一个未打补丁的漏洞被俄罗斯黑客利用，这些黑客来自一个叫 Strontium group 的组织。微软认为这个黑客组织和俄罗斯政府有关联，而且还与美国总统候选人邮件泄露等其他攻击有关。另外，微软称漏洞已经修复，用户需要对 Adobe Flash Player 进行更新，并使用微软的 Edge 浏览器来保障安全。 稿源：cnbeta.com，封面来源：百度搜索