据外媒报道，Mozilla 宣布计划一年后逐步取消数字证书 SHA-1 。据 Firefox 遥测数据显示， SHA-1 的使用率已经大幅下降，使用率从 5 月份的 3.5% 降至本月的 0.8% 。为了加快淘汰 SHA-1 证书，Firefox 将从明年一月起对 SHA-1 证书展示连接不可信的错误信息。预计该政策将在 Firefox 51 上实现，Mozilla 督促 SHA-1 使用者尽可能快地迁移出。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，一位曾担任美参谋长联席会议副主席的退休海军陆战队将军，被指控在调查机密信息泄露过程中向联邦调查局作出虚假陈述。四星上将詹姆斯·卡特赖特被指在 2012 年向纽约时报记者戴维·桑格透露美国利用恶意软件程序“ Stuxnet ”病毒破坏伊朗核计划。“ Stuxnet ”是一个复杂的计算机病毒，在 2009 年和 2010 被隐蔽部署旨在摧毁伊朗铀浓缩离心机设备，从而破坏核计划。之前该病毒被认为是美国和以色列军队联合开发，但双方从未公开承认。周一下午卡特赖特出席了听证会承认误导了 FBI 的调查，但拒绝承认是该机密信息泄露源头。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，安全团队 MalwareHunter 在 10 月 12 日发现了一个新的勒索软件 Exotic ，它采用 AES-128 算法加密文件、以希特勒图像为背景、勒索 50 美元，除了可加密可执行文件外并没有其他亮点。最让人感到奇怪的是，研究人员将分析视频上传到YouTube后，勒索软件作者 EvilTwin 竟然用Twitter联系安全研究人员称想做“朋友”。EvilTwin 表示，很感谢这么用心的研究他制作的勒索软件还录制成视频、希望研究员留下 Skype 联系方式继续交流。接下来两天勒索软件升级到 V2、V3 ，但变化不大，目前还没有垃圾邮件或恶意广告活动传播这一勒索软件。 稿源：本站翻译整理，封面来源：百度搜索

在 DuckDuckGo 和 VikingVPN 的资助下，QuarksLab 对开源加密软件 VeraCrypt 进行了安全审计。VeraCrypt 是 TrueCrypt 的分支，主要开发者是法国的 Mounir Idrassi，他在 TrueCrypt 基础上强化了防暴力破解功能。QuarksLab 刚刚公布了审计报告，发现了 8 个高危漏洞和十多个中低威胁级别漏洞。VeraCrypt 发布了 1.19 版本，修复了报告披露的部分漏洞，但还有部分漏洞因为其复杂性而尚未修复。已经修复的漏洞包括：VeraCrypt 使用了旧版本的 zlib 库， 1.19 版移除了旧版本用新版本替换；移除 GOST 28147-89 加密选项，原因是其实现不安全；修复了多个 UEFI 支持问题，等等。 稿源：solidot，封面来源：百度搜索

新闻机构 First Look 发布一款 Mac 和 Linux 平台应用 GPG Sync .该应用是一款免费的开源加密和数字签名工具,大多用于加密信息的传递，可同步公司所有员工的 GPG 密钥。 GPG 是一种技术，允许用户发送加密邮件到另一个用户，收件人导入了发件人使用的 GPG 钥匙即可解密消息。对于中大型公司，由于人员流动大，很难保证所有员工都有最新的密钥。GPG Sync 允许企业的系统管理员设置每个人的 GPG 密钥列表，员工可一键获取密钥并自动更新本地电子邮件客户端。只需保证网络管理员每日及时更新密钥。 稿源：本站翻译整理，封面来源：百度搜索

根据 邮件安全软件开发商 Proofpoint 发布的 2016 年第三季度威胁报告，在过去三个月中，如果您收到的垃圾邮件带有文件附件，它很可能包含一个勒索软件 Locky ， Proofpoint 发现相较于第二季度的相对平静，第三季度垃圾邮件数量急剧增多。在数十亿封利用垃圾邮件活动来传播恶意软件的所有勒索软件中，勒索软件 Locky 占了被发现总数的 96.8 ％，在第二季度它占 28 ％、第一季度它占 64 ％。在绝大多数情况下，垃圾邮件附件包含一个含 JavaScript 文件的 ZIP 文件，此外还有恶意脚本宏， HTA（ HTML 可执行文件）文件， WSF（ Windows 脚本）文件。 稿源：本站翻译整理，封面来源：百度搜索

据外媒报道，一名安全研究人员发现新西兰的在线零售网站遭到黑客攻击，黑客使用信用卡“揩油”软件窃取用户的支付信息。这些商店都运行一种存在漏洞而且未经修复的购物车软件 Magento ，Magento 是一套专业开源的电子商务系统，黑客利用这一安全漏洞，向系统注入 Javascript 编写的恶意代码。由于不知情的客户去支付他们的商品和服务，这套恶意软件会后台悄悄复制下他们的信用卡信息，并将这些发回架设在俄罗斯的服务器。通过检索发现，共有 47 家新西兰网站被安装了恶意软件，澳大利亚有 220 家。 稿源：本站翻译整理，封面来源：百度搜索

来自30个国家和地区的超过 700 名网络安全人士眼下正在参加由欧盟网络和信息安全局组织的网络演习。其内容包括模拟入侵联网基础设施、圣诞节期间遭遇全国断网等一系列网络攻击场景，以此演练欧洲国家网络防御和应对黑客攻击的能力。为了尽可能增强现实感，组织方还聘请了演员，模拟新闻报道和社交媒体等响应，在演习中引入与网络危机有关的公关事务。英国《每日邮报》 14 日报道，这项名为“ 2016 欧洲网络”的演习自今年 4 月开始，计划历时 7 个月结束，演习眼下已达到“高潮”阶段，随后将发布演习具体细节和报告分析，以助完善欧洲各国的网络防御系统。 稿源：网易新闻，封面来源：百度搜索

美国司法部在一个案件中继续要求微软提供存储在外国服务器上的用户数据。美国司法部周四请求联邦上诉法院重新考虑在 7 月作出的决定。当时联邦上诉法院裁定微软必须应执法部门要求提交存储在美国境内服务器上的用户数据。这项裁决被认为是有利于微软，因为微软无需向美国执法部门提交存储在国外服务器上的用户数据具体来说，现在美国政府正在寻求访问存储在海外服务器上的信息，声称只要这些数据由美国公司运营，就应该允许它提出这种请求。另一方面，Microsoft 同意数据请求只涉及本地存储的数据，并声称在这种情况下，托管在爱尔兰服务器上的信息，必须按照爱尔兰国家法规由爱尔兰执法机构提出数据请求。 稿源：cnbeta，封面来源：百度搜索

思科 AnyConnect 安全移动客户端 4.2.05015 及 4.3.02039 之前版本，由于错误地处理路径名导致本地用户可通过一个精心设计的 INF 文件获得特权。该漏洞允许经过身份验证的本地攻击者，以相当于 Microsoft Windows 操作系统系统账户的权限，安装和执行任意可执行文件。 稿源：securiteam.com，封面来源：百度搜索