去年，微软发布了有关固态硬盘驱动器（SSD）新漏洞的安全公告，该漏洞会影响SSD上基于硬件的加密。该漏洞是由荷兰拉德堡德大学的荷兰安全研究人员Carlo Meijer和Bernard von Gastel首次发现的，他们发表了一篇题为“自我加密欺骗：固态硬盘中的加密缺陷”的论文。 事实证明，微软相信SSD可以自我加密以确保安全，但是其中许多驱动器所用加密系统中的漏洞可被黑客用于轻松解密数据，这导致将驱动器的内容暴露给了黑客。 微软建议Windows 10 Admins切换到受影响驱动器的软件加密，现在，在KB4516071更新中微软默认切换到软件加密，即使SSD声称提供硬件加密也是如此。 微软指出：“在加密自加密硬盘驱动器时，更改BitLocker为默认设置。现在，默认设置是对新加密的驱动器使用软件加密。对于现有的驱动器，加密类型不会改变。” 当然，软件加密速度较慢，而且处理器的处理强度更高，并且如果用户信任驱动器，则仍可以切换到硬件加密，但是默认情况下，对所有相关人员而言，默认设置都应该更安全。   （稿源：cnBeta，封面源自网络。）

本周二微软在GitHub上发布了名为“ElectionGuard”的开源软件，并表示该软件已经融入到美国的票选系统中，从而避免这次美国总统大选免受黑客的攻击。早在今年7月份，微软就已经公开演示了ElectionGuard软件，旨在保护电子投票系统免受黑客攻击。 图片来自于 微软 微软表示随着对网络攻击的担忧不断升级，该软件使电子投票系统更加安全。在过去1年中，微软已经向超过10,000名已经被外国列为攻击目标的用户发出警告，避免他们受到伤害。微软在7月份表示，这些网络攻击主要目的是获取信息以及干扰选民，主要来自于伊朗、朝鲜和俄罗斯。 ElectionGuard允许人们直接在屏幕上投票，获取跟踪代码以确认他们的投票已被计数且未被更改，然后获得实际的打印确认。微软周二表示：“ ElectroGuard可以通过设计获得，它将使投票在美国或世界各地的民主国家中使用的任何地方都更加安全，可验证和高效。”   （稿源：cnBeta，封面源自网络。）

周一，微软向用户警告广受欢迎的 Internet Explorer 存在一个高危的漏洞，攻击者利用此漏洞可以接管你的计算机，进而在你的电脑安装和卸载程序，查看、更改或删除数据，甚至创建具有完全用户权限的新帐户。 根据微软发布的安全公告，引发此漏洞的根本原因是脚本引擎(Scripting Engine)在内存中处理对象的方式。具体来说就是，Internet Explorer 中的脚本引擎在内存中处理对象时存在一个远程代码执行漏洞，该漏洞以这种方式来破坏内存，然后攻击者可以在当前用户的上下文中执行任意代码。 成功利用此漏洞的攻击者可以获得与当前用户相同的用户权限，如果当前用户使用管理员用户权限登录，则攻击者可以控制受影响的系统。然后攻击者会在你的电脑安装和卸载程序，查看、更改或删除数据，甚至创建具有完全用户权限的新帐户。 在基于 Web 的攻击场景中，攻击者可能拥有一个旨在通过 Internet Explorer 利用此漏洞的特制网站，然后诱使用户查看该网站（例如，通过发送钓鱼电子邮件）。 虽然微软已发布安全更新，并通过修改脚本引擎处理内存中对象的方式来解决此漏洞。但微软再次提醒用户放弃这款已被淘汰的浏览器。今年 2 月，微软的安全研究人员就已敦促用户停止使用 IE 作为默认浏览器。后来在四月份的时候，我们得知，即使仅在计算机上安装 Internet Explorer 甚至不使用它都存在安全风险。     （稿源：开源中国，封面源自网络。）

近日，保险咨询公司 Marsh 发布了携手微软展开的一项调查，显示大多数企业高管已将网络攻击视作其面临的最大问题，且远超对经济的不确定性预期、以及品牌和监管的损益。这项调查涉及全球 1500 多名企业领导人，其职责涵盖了对瞬息万变的组织风险采取适当的应对措施。然而受访者普遍表示，涉及网络安全的保险政策，已较过去两年变得更为常见。 （图自：Marsh / Microsoft，via ZDNet） 2017 年的时候，Marsh 和微软发现有 62% 的受访者将网络攻击视作前五大风险。但是今年，这一数字已提升至 79% 。 今年最让企业领导人关心的前 2~5 项风险，分别是经济的不确定性、品牌破坏与监管损失、以及关键岗位职工的流失、 而在《2019 全球风险报告》中，世界经济论坛（WEF）将数据盗窃和网络攻击列为可能性排名前五的较大风险，然后是极端天气事件和气候变化问题。 自 2017 年以来，全球企业领导人已经见识到了 WannaCry、以及紧随其后的 NotPetya 勒索软件爆发所造成的巨大破坏。 过去数月，美国多个地方政府持续遭到了类似的攻击。比如今年早些时候，Norsk Hydro 就付出了 4000 万美元的代价。 最近，西方各大院校又受到了有组织的黑客攻击，只是其目标从勒索、变成了靠窃取知识产权来牟利。 企业方面，电子邮件泄密（BEC）正在成为最常见和代价惨重的威胁。美国商业保险业巨头 AIG 近期透露： 其在 2018 年遭遇了一起与之相关的巨额网络保险索赔，占 EMEA 市场总额的 23%，其次才是勒索软件威胁。 另根据 Marsh 和微软的调查，47% 的组织购买了网络保险，高于 2017 年的 34% 。年收入超过 10 亿美元的大型企业，这一数字是 57%；而低于 1 亿美元的企业，也有 36% 。 几乎所有受访者（总计 89％）都认为，网络保险政策可覆盖事件所造成的成本损失，但并非所有网络保险索赔都已完成佩服。 作为 2017 NotPetya 勒索软件攻击的几大受害者这一，食品巨头 Mondelez 就遭遇了保险提供商（苏黎世保险集团 / Zurich Insurance Group）的拒赔。 这家保险公司将 NotPetya 勒索软件攻击视作‘和平时期的敌对与战争行为’，并以此为由，拒绝向 Mondelez 给予 1 亿美元的损害赔偿。 今年 1 月的时候，不服此事的 Mondelez 向苏黎世保险集团提起了诉讼。此外《纽约时报》在今年 4 月报道称，默克制药也是 NotPetya 勒索软件攻击的受害者之一，同样的扯皮事件也在该公司与保险公司之间上演。 最后，微软调查发现，超过一半受访者表示他们在‘高度关注’有深厚背景的网络攻击事件。 另有 55% 受访者表示政府应该采取更多的措施，以保护企业免受此类攻击的威胁。     （稿源：cnBeta，封面源自网络。）

据外媒MSPoweruser报道，微软总裁兼首席法律顾问布拉德·史密斯(Brad Smit)最近发行了他的新书《工具和武器：数字时代的希望和危机》（Tools & Weapons: The Promise and the Peril of the Digital Age），而这本书打开了“潘多拉魔盒”。 本周早些时候，外媒曾报道称布拉德·史密斯认为美国政府对待华为的方式一点也不美国(un-American)。史密斯在其新书中还透露，泰勒·斯威夫特的律师曾在2016年威胁要起诉微软。因为微软的聊天机器人Tay的名字和Taylor很相似。 现在，Geekwire引用了他的书中的一段话，其中揭示了特朗普政府如何希望微软帮助其监视其他国家。史密斯在书中写道：“作为一家美国公司，你为什么不同意帮助美国政府监视其他国家的人？”他指出，微软向美国政府明确表示他们不愿意接受有关这个问题的任何讨论。 我指出，特朗普酒店刚刚在中东和宾夕法尼亚大街的街道上开设了新房产。“这些酒店是否会对那些留在那里的其他国家的人进行监视活动？这对家族企业来说似乎不太好。 – 当特朗普顾问询问为什么微软不帮助他们监视其他国家的人时，布拉德·史密斯如是说 布拉德·史密斯在新书中还介绍了微软等公司面临的类似复杂的法律和道德挑战。他指出，特朗普并不是第一个对微软提出异议的总统。该书的内容还包括微软与奥巴马政府就隐私与面部识别政策等问题存在分歧的情况。 政府如何管理比自己更大的技术？这可能是技术监管未来面临的最大难题。但是一旦你提出这个问题，答案的一部分就变得清晰了：政府需要共同努力。 – 布拉德·史密斯   （稿源：cnBeta，封面源自网络。）

在8月14日宣布的调整中，微软阻止了部分Windows 7和Windows Server 2008 R2设备安装使用SHA-2签名的更新。这些设备主要安装了赛门铁克（Symantec）和诺顿（Norton）防病毒软件，由于在新版更新中不再兼容SHA-1签名，因此微软阻止了这些设备进行升级。 微软在已知问题的描述中提及了这点： 软件可能无法正确识别本次更新中所包含的文件作为Microsoft签名的代码，从而使设备面临更新延迟或不完整的风险。 现在，以下更新取消了保障措施： •KB4512514（8月份月度汇总预览）， •KB4512486（仅限8月安全更新）， •KB4512506（8月份月度汇总）。   赛门铁克在公告中表示解决了这个问题 赛门铁克已完成对此更新的影响以及对Windows 7 / Windows 2008 R2的未来更新的评估，并确定所有现场版本的Symantec Endpoint Protection都不会增加误报检测的风险。 可以安全地安装Microsoft KB4512506 / KB4512486和未来的更新，并在2019年8月27日移除了软件阻止。 适用于Windows 7的2019年8月更新汇总就是只通过SHA-2签发的，那些装有无法处理SHA-2码签名支持软件的设备将会被阻止更新升级。今天微软已经确认将会阻止安装Symantec Antivirus和Norton Antivirus防病毒产品的PC进行升级，因为均无法处理SHA-2证书。 微软表示已经暂时对那些具有不兼容版本赛门铁克软件的设备进行保护措施。赛门铁克记录了这个问题：“在安装某些版本的Symantec Endpoint Protection时，只有SHA-2签名的更新不可见可用下载。”   （稿源：cnBeta，封面源自网络。）

微软近日在其开源博客中宣布加入机密计算联盟（Confidential Computing Consortium，简称 CCC）。该组织致力于定义和加速推进机密计算的采用，并将托管在 Linux 基金会。联盟创始成员还包括阿里巴巴、Arm、百度、谷歌、IBM、英特尔、红帽、瑞士电信和腾讯等科技公司，它提供了一个让行业聚集起来的机会，以促进使用机密计算来更好地保护数据。 建立机密计算联盟的需求源于这样一个事实：随着计算从内部部署转移到公共云和边缘，对数据的保护变得更加复杂。当前的数据保护通常作用于静态（存储）或（网络）传输状态的数据。但是当数据正在被使用时，仍然存在风险，这也是数据保护中最具挑战性的一个步骤。 因此，机密计算将侧重于保护使用中的数据，并为敏感数据提供完全加密的生命周期。它将在内存中处理加密数据，而不会将其暴露给系统的其余部分，并减少敏感数据的暴露，为用户提供更好的控制和透明度。 “保护使用中的数据意味着数据在计算过程中不会以未加密的形式显示，得到访问授权的数据除外”，微软 Azure 首席技术官 Mark Russinovich 表示，“也就是说甚至连公共云服务提供商或边缘设备供应商都可能无法访问它，数据将完全处于私密状态。” 机密计算功能可以做到协作共享数据——例如训练多方数据集机器学习模型、对多方数据集执行分析，或是在数据库引擎中启用机密查询处理——但同时无需对这些数据进行直接访问。 目前，联盟成员已经为机密计算做出了一些开源贡献，包括： 英特尔®软件保护扩展（英特尔®SGX）软件开发套件，旨在帮助开发人员使用受保护的代码和数据，避免数据在硬件层被泄露或修改。 微软 Open Enclave SDK，这个开源框架创建了一种可插入的通用方法来创建可再发行的可信应用程序，以保护正在使用的数据。 红帽 Enarx，为可信执行环境（TEE）提供平台抽象，支持创建和运行“私有、可替换、无服务器”的应用程序。 Linux 基金会执行董事 Jim Zemlin 表示，现有的联盟只是一个开始，后续将会有更多企业加入。   （稿源：开源中国，封面源自网络。）

北京时间8月23日早间消息，微软宣布将停止监听Xbox用户，并表示此举已经“不再必要”。 微软发言人在一份声明中表示：“几个月前，我们已经停止为改进产品而对通过Xbox获取的语音信息进行评估，因为我们认为这不再必要，我们也不准备重新启动这些评估。” 微软还补充说：“当有报道称录音违反了我们的服务条款，并认为我们应该展开调查时，我们偶尔会审查从一个Xbox用户发送到另一个Xbox用户的少量录音。这样做是为了保持Xbox社区安全，我们的Xbox服务条款中也有明确说明。” 之前有报道称，该公司从2014年就开始录制和监听游戏玩家的私人谈话，其中许多人都是儿童。微软称这样做是为了改善Xbox的语音控制功能。 今年四月有报道称，亚马逊、谷歌和苹果都雇佣员工专门监听从智能音箱和语音助手应用程序收集的用户录音。但许多用户都不知情。之前还有报道称，微软工作人员还监听了一些Skype电话以及其虚拟助手Cortana录制的音频。   （稿源：，稿件以及封面源自网络。）

据外媒报道，上周，Vice Motherboard网站上的一份报告显示，微软正在通过人工承包商来监听Skype翻译和Cortana的语音对话。虽然微软并不是唯一一家使用人工承包商来改进语音识别技术的公司，但问题是这家公司没有在其隐私文件中明确指明这点。 而被公布之后这家软件巨头公司在其隐私政策以及Skype和的支持页面上承认了这点。 其中在Skype翻译隐私FAQ中，微软解释了什么样的音频内容会被收集以及如何被使用。“这可能包括微软职工和供应商的转录录音，但会受制于为保护用户隐私设计的程序，包括采取措施去标识化数据、需要跟供应商和职工达成保密协议并要求供应商遵守高隐私标准的欧洲法律和其他规定。“ 看起来即便苹果和谷歌最近因隐私问题暂停了Siri和Google Assistant对语音记录的人工审查，微软眼下也不会这么做。不过微软发言人告诉媒体，公司显然正在考虑做出进一步的改变。“我们已经更新了我们的隐私声明和产品常见问题，以此来增加更大的清晰度并将继续研究我们可能采取的进一步措施。”   （稿源：cnBeta，封面源自网络。）

在2019年8月的补丁星期二活动日中，面向Windows 10发布累积更新的同时微软还修复了存在于Remote Desktop Services组件中的两个漏洞，微软认为这些漏洞是“wormable”。和两年前的WannaCry攻击类似，无需用户进行任何输入的情况下在网络的电脑之间传播恶意软件，因此这些补丁是非常重要的。 CVE-2019-1181和CVE-2019-1182利用了和今年5月发布的Bluekeep相同漏洞，推荐用户尽快修复。Windows 7 SP1，Windows Server 2008 R2 SP1，Windows Server 2012，Windows 8.1，Windows Server 2012 R2和所有版本的Windows 10（包括服务器变体）都受到漏洞的影响。只有较旧版本的Windows（如Windows XP，Windows Server 2003和Windows Server 2008）才不受该漏洞影响。 虽然它们使远程桌面服务（RDS）易受攻击，但它们不会影响远程桌面协议（RDP）本身。为了缓解这两个漏洞，微软建议那些启用了网络级别身份验证（NLA）的人可以对漏洞进行部分防御： 在启用了网络级别身份验证（NLA）的受影响系统上进行了部分缓解。在安装该补丁之后可以缓解该漏洞引发的“wormable”恶意程序或者高级恶意程序威胁，因为NLA在触发漏洞之前需要进行身份验证。如果攻击者拥有可用于成功进行身份验证的有效凭据，受影响的系统仍然容易受到远程执行代码执行（RCE）的攻击。 微软建议公司立即安装修复补丁，可以从此处的Microsoft安全更新指南下载。微软指出，这些漏洞是公司内部工程师发现的，是企图加强RDS安全性的一部分。微软还指出，它还没有任何证据表明这些漏洞已经被任何恶意行为者利用。   （稿源：cnBeta，封面源自网络。）