双十一刚结束，阿里云就大面积故障，持续长达 3 个半小时。据阿里云公告，故障源于某个底层服务组件，影响地域涵盖了国内以及海外多个国家。“淘宝崩了”、“外卖崩了”、“闲鱼崩了”等迅速冲上热搜。大批依赖阿里云的设施随之崩溃：外卖派送停止、超市无法结账、停车场不抬杆。甚至洗衣机、直饮水机和充电桩等服务也停止运转。

本周二，有研究人员在 Intel、AMD 和其他公司的微处理器中发现了新的漏洞，其攻击目标是几乎所有现代 CPU 上的节电模式（power-conservation），远程攻击者可以利用该漏洞通过电源侧通道攻击窃取加密密钥。

近日，AhnLab 安全应急响应中心（ASEC）在一份新报告中表示：“自 2022 年 4 月以来，黑客组织 Lazarus 一直通过 Log4j 远程代码执行漏洞，在未应用安全补丁的 VMware Horizon 产品上收集窃取信息的有效负载。”

近日，一位 GitHub 用户 Kağan Çapar 在 Windows 归档程序 7-zip 中发现了一个零日漏洞 —— CVE-2022-29072。据 CVE-2029072 的 GitHub 自述文件显示，“当扩展名为 .7z 的文件被拖到帮助 > 内容区域时，Windows 允许权限提升和命令执行。”

40s 新闻速递微软：许多攻击者开始对 Log4j 漏洞加以利用SQLite 3.37.2 修复了潜在的数据库损坏问题全球 IT 供应商 2021 年收入排行出炉：微软坐上头把交椅谷歌终为 Android 手机加入“Fast Pair”：向苹果那样自动切换iPhone SE 最快 3 月份发布：苹果要打造旗下最便宜 5G 手机Linus 是 2021 年源代码树中提交 commit 最...

近日，安全研究员 Iustin Ladunca（Youstin）针对包括一些高流量在线服务在内的许多网站进行了调研，结果发现了 70 个具有不同影响的缓存中毒漏洞。

近日，Apache Log4j 日志库中又有另一个严重的远程代码执行漏洞被曝，被跟踪为 CVE-2021-44832，此漏洞由 Hideki Okamoto、Lederfein 以及另一位匿名漏洞研究人员独立发现。

近日，Coro 发布了一份研究报告，该报告基于 2020 年和 2021 年期间在零售、制造、专业服务、医疗保健、运输和教育行业运营的 4000 多家雇员在 100 至 1500 人之间的中型公司的数据，调查了中型市场企业网络安全情况。

40s 新闻速递123456 成今年最常用密码研究发现 97% 的应用程序存在漏洞苹果计划四年内推出自动驾驶汽车谷歌与法新社达成新闻内容付费协议苹果推出自主维修计划谷歌 Chrome 浏览器对 Win7 的支持将延长到 2023 年FBI  服务器被骇客攻击：超 10 万人收到垃圾邮件8 家网盘企业共同签署自律公约，承诺年内推出“无差别速率”产...

11 月 1日，剑桥大学研究人员发现了一个可影响当今大多数计算机软件代码编译器和软件开发环境的漏洞。这个漏洞来自数字文本编码标准 Unicode的一个组件，与 Unicode 双向算法“bidi”相关。

近日，安全研究人员在 Linux 内核文件系统中发现了一个 size_t-to-int 类型转换漏洞，并认为 2014 年以来的所有 Linux 内核版本均有可能受到影响。该漏洞被命名为 Sequoia（编号 CVE-2021-33909），是一个权限提升漏洞，可使低权限用户获得 root 权限。

据悉，在校大学生徐某利用肯德基 APP 客户端和微信客户端之间数据不同步的漏洞，骗取兑换券或取餐码，出售给他人牟利，并将该方法传授给同学，给肯德基所有者百盛公司造成 20 余万元的损失。

本周四，Checkpoint 安全研究员 Slava Makkaveev 发表博客，称高通 MSM（移动调制解调器）接口中的一个漏洞「可用于控制调制解调器」。攻击者可利用该漏洞注入恶意代码，进而攻击安卓用户，获取用户的通话记录和短信记录，还能窃听用户的通话。黑客可以利用该漏洞解锁 SIM 卡，从而逃脱服务提供商在移动设备上设置的限制。

近日，计算机巨头宏碁（Acer）近日遭到了 REvil 勒索软件攻击，威胁分子向其索要迄今为止数额最大的赎金：5000 万美元（约 3.25 亿人民币）。

标记为 CVE-2021-26411 的此漏洞使攻击者能够欺骗用户访问 Internet Explorer 上托管的特制恶意网站。此外，攻击者可能会在允许用户托管内容的网页上发布恶意广告，从而破坏现有网站。尽管攻击者首先必须使用电子邮件或即时消息诱使用户参与这些广告和网站以危害受害者，但潜在的整个 Internet 的恶意行为者都可以利用此...

在过去的一整年里，各企业的 CISO 和 CIO 及其网络安全团队面临着大量的入侵、广泛的供应链攻击，以及攻击者对工程系统的利用。黑客还利用了疫情所造成的混乱破坏了有价值的企业系统。黑客攻击的目标是数以百万计的远程工作者，这些远程工作者没有足够的安全保护，也没有接受过足够的培训，无法识别黑客和网络钓鱼企图，...

思科在其应用程序中心基础设施(ACI)多站点协调器(MSO)中解决了一个最严重的漏洞，该漏洞允许未经身份验证的远程攻击者绕过易受攻击设备上的身份验证。

近日，Python 软件基金会 (PSF) 紧急推出 Python 3.9.2 和 3.8.8 稳定版，解决了两个严重的安全缺陷，其中一个从理论上攻击者可远程代码执行漏洞。

最近，一位名叫 Alex Birsan 的黑客，正式通过一种非常简单却实用的方法，发现了 30 多家科技公司存在的漏洞，并因此获得了高额的漏洞赏金。

就在 2020 年的最后两个月，数个知名组织和政府遭到了不同黑客团体的攻击，而这些方法却被网络安全专家所忽视。了解攻击的变化方式以及应该采取什么新的防御策略并不是一件容易的事情。网络安全公司 Cynet 深入回顾了 2020 年一些备受瞩目的攻击事件，并在网络研讨会上对 2021 年网络安全的工作做出了指导。

网络安全研究人员披露了 TikTok 中一个现在已经修补好的安全漏洞，这个漏洞可能会让攻击者建立一个应用程序用户及其相关电话号码的数据库，以备未来恶意活动之需。

谷歌威胁分析小组发现了一个攻击活动组织，经过几个月的努力，确认该活动组织是针对在不同的公司和组织中从事漏洞研究和开发的安全研究人员进行攻击。

这个间谍软件已经被使用了将近一年的时间，利用了 iPhone 在 iOS 14 更新前的一个明显漏洞，配备了一种计算机安全超级武器，零足迹、零点击、零日漏洞，利用 iMessage 中的一个漏洞，只需按下一个按钮，就能控制一部 iPhone。

恶意软件利用了最近披露的在 Linux 系统上运行的网络连接存储（NAS）设备中的漏洞，将计算机加入 IRC 僵尸网络，以发起分布式拒绝服务（DDoS），攻击并挖掘 Monero 加密货币。

这 7 个漏洞被以色列研究公司 JSOF 统称为“ DNSpooq”，与之前披露的 DNS 架构的弱点相呼应，使得 Dnsmasq 服务器无法抵御一系列攻击。恶意攻击者可以发起 DNS 缓存中毒攻击并远程执行恶意代码。

最近，美国联邦政府遭遇了史上最大规模的黑客入侵。美国国防部、国土安全部、商务部、财务部、能源部等至少六个部门被渗透长达数月。美国方面称，造成大面积攻击的黑客来自俄罗斯。

随着继续调查大规模的 SolarWinds 攻击，微软发现，黑客能够查看微软软件底层的某些代码，但无法对其进行任何更改。微软并没有透露黑客查看了其多少代码，也没有公开这些代码的用途。尚未发现黑客访问客户数据的证据微软淡化了与其他入侵相关的任何风险，并指出其软件开发依赖于公司内部的代码共享，这种做法称为“内部源...

事件源于 Doggy 取得了「携程安全应急响应中心2020年年度第一成绩」，但携程工作人员要求 Doggy 证明自己不是“网络尖刀成员”，或者因此事被“网络尖刀团队”除名，否则无法获得自身的“年终奖励”。

今年 7 月苹果曾宣布推出一个新的苹果安全研究设备项目，为研究人员提供经过特殊配置的 iPhone，并配备独特的代码执行和遏制政策，以支持安全研究。

微软今天宣布计划开始强行阻止和隔离已知包含 Solorigate（SUNBURST）恶意软件的 SolarWinds Orion 应用程序版本。