全球动态

1.德国医疗软件巨头遭遇勒索攻击，用户数据存在泄露风险

11月9日，Bleeping Computer网站披露，德国医疗软件巨头Medatixx遭遇了勒索攻击，波及众多医疗中心，给疫情肆虐的德国带来了巨大危机。【外刊-阅读原文】

2.微软11月补丁星期二活动：共修复55个漏洞，包括两个活跃的0Day漏洞

11月9日，微软11月补丁星期二活动日，微软发布了一系列的安全更新，一共修复了55个漏洞，还包括两个正在被黑客积极利用的0Day漏洞。【外刊-阅读原文】

3.配置不当的Docker 服务器，正在成为黑客的目标

自2021年10月开始，安全研究人员报告称，配置不当的 Docker 服务器正在成为TeamTNT 黑客的目标，而他们最终的目的则是为了挖矿。【外刊-阅读原文】

4.BusyBox曝出14个新的安全漏洞

据JFrog和Claroty公司的联合报告显示，BusyBox存在14 个全新的关键漏洞。这些漏洞影响了该工具的多个版本，黑客可利用这些漏洞发起DDoS攻击，甚至是远程代码执行攻击。【外刊-阅读原文】

5.Windows 10 2004 将于12月终止服务

微软发布公告称，Windows 10 2004 版和 Windows Server 2004 将于2021年12月14日正式终止服务，且不再为其提供漏洞发现、安全更新等技术支持服务，建议依旧在使用的用户更新至最新版本。【外刊-阅读原文】

6.《提升全民数字素养与技能行动纲要》发布

《行动纲要》从加强组织领导、加大政策支持、开展试点示范、强化考核评估、加强宣传推广、深化国际合作等六个方面保障实施，确保目标任务落到实处。【阅读原文】

安全事件

1.NUCLEUS:13系列漏洞影响大量医疗保健设备和OT系统

Forescout近日警告称，可以利用Nucleus TCP/IP堆栈中发现的13个漏洞来远程执行代码、导致拒绝服务或获取敏感信息。NUCLEUS:13是研究人员在西门子拥有的 Nucleus TCP/IP 堆栈中发现的13个漏洞的名称。【外刊-阅读原文】

2.伊朗国家APT组织恶意攻击 ISP、电信公司

安全研究人员报告，2021年7月至10月期间，伊朗国家背后支持的 APT组织Lyceum持续攻击中东和非洲的 ISP、电信服务提供商，并在摩洛哥、突尼斯和沙特阿拉伯也发现了Lyceum的身影。【外刊-阅读原文】

3.Facebook 与 GitHub 合作替换泄露的 API 访问令牌

Meta 安全团队今天宣布与 GitHub 建立正式合作伙伴关系，双方将替换掉已经泄露的GitHub 存储库中Facebook API 访问令牌无效。【外刊-阅读原文】

4.谷歌 Pixel 6 被曝新 Bug：陌生指纹也能解锁手机

近日，Pixel 6用户在Reddit论坛上反映，自己的Pixel 6手机可以被妻子解锁。这意味着Pixel 6在指纹识别上存在严重的安全漏洞，没有录入指纹的陌生人也可以解锁手机。【阅读原文】

5.全球平台经济再迎强监管，澳大利亚《在线隐私保护法案》呼之欲出

近期，澳大利亚宣布起草《在线隐私保护法案》，以加强对个人隐私的保护和网络平台的治理。这部新法案要求增强域外效力，强化“长臂管辖”，同时对隐私政策、个人信息的定义、删除权的设置等进行了讨论。【阅读原文】

6.山东省消协调查显示超八成消费者发生过个人信息泄露  

报告显示，超过八成的消费者发生过个人信息被泄露情况，个人信息泄露后，多数消费者因证据不足或者没有产生实质性伤害而没有采取任何措施。同时，超四分之一的消费者不会阅读网络服务前的安全隐私协议和提示信息。【阅读原文】

优质文章

1.OSS密钥复用研究以及常用渗透利用方式总结

OSS渗透目前最常见的方式就是得到Secret Key，那么如果Secret Key并没有被泄露难道就不可以被利用了吗？【阅读原文】

2.基于网络攻击链的安全防护思考

国最大的军火商洛克希德马丁公司提出“网络攻击链”（ Cyber Kill Chain）模型，也被称为“网络杀伤链”模型，其描述了一次完整的网络攻击需要经历七个阶段。【阅读原文】

3.SecStudent ：全场景视频流隐私增强算法（附代码）

与当前最先进的方法相仿，SecStudent框架的核心同样由生成对抗网络驱动。不同之处在于我们以模型蒸馏为整体框架，可以针对不同的用户/不同场景快速生成所需的模型，同时避免了复杂的场景数据处理。【阅读原文】

本文档内容收集自全球范围内的媒体与刊物，制作者对其完整性负责，但不对其真实性和有效性负责。

标注为【外刊】的内容主要来源为英语国家的媒体与刊物，部分内容需要注册免费账号后方可阅读。