据外媒报道，微软表示，其部分客户的敏感信息被配置错误的微软服务器暴露。研究人员收到泄露通知后，采取了相关措施保护服务器。该错误配置可能导致未经身份验证的攻击者获得某些业务交易数据。微软称，没有迹象表明客户帐户或系统遭到入侵，已直接通知受影响的客户。

迈克菲10月19日消息，研究人员发现了潜入在Google Play的新型Clicker恶意软件。在Google Play上，总共16个应用程序已被确认具有该恶意负载，具体安装量为2000万。Clicker恶意软件以非法广告收入为目标，并可能破坏移动广告生态系统。研究人员已经通知Google。目前，所有已识别的应用程序已在Google Play上下架。

据外媒报道，德国Stimme Mediengruppe集团遭勒索软件攻击，该集团下其他受影响的公司包括Echo、Pressedruck和RegioMail。据称，此次攻击使公司系统处于加密状态。攻击者留下了赎金票据，但尚未提出任何具体的赎金要求。目前，警方已开始进行正式调查。该集团表示，不会提供有关调查状况的相关信息。

据外媒报道，Verizon部分预付费客户的信息泄露。Verizon称，在2022年10月6日至10月10日期间，未经授权的第三方访问了用户用于自动付款的信用卡的最后四位数字，并在SIM卡交换攻击中使用了泄露的信用卡信息。Verizon表示，其最近发现了涉及约250个预付费无线账户的未经授权的活动，该公司已经采取了额外的措施，以保护其客户免受未经授权的访问或欺诈攻击。

据外媒报道，Zoom修复了适用于macOS的Zoom Client for Meetings中的漏洞（CVE-2022-28762， CVSS评分为7.3）。当通过运行特定的Zoom应用启用相机模式背景作为Zoom应用层API的一部分时，客户端会打开一个本地调试端口，本地恶意用户可以利用调试端口连接并控制在Zoom客户端中运行的应用。此外，该公司还修复了另一个漏洞CVE-2022-28761，它影响了Zoom On-Premise Meeting Connector多媒体路由器(MMR)。

SafeBreach在10月18日称其近期检测到一种新的完全不可检测(FUD)powershell后门。攻击始于带有恶意文档Apply Form.docm的电子邮件。该恶意文档于2022年8月25日从约旦上传，可安装并执行updater.vbs脚本，来创建一个计划任务冒充常规的Windows更新。VBS脚本执行两个PowerShell脚本Script.ps1和Temp.ps1，它们在VirusTotal上均未被检测为恶意脚本。Script.ps1会连接到攻击者C2，Temp.ps1解码响应中的命令。

Oracle在10月18日发布了2022年10月份的重要更新，修复了多个产品中的366个漏洞。此次修复的较为严重的漏洞包括Oracle安全备份(Apache HTTP服务器)中的漏洞CVE-2022-31813、Oracle商务平台Dynamo应用程序框架(dom4j)中的漏洞CVE-2020-10683和Oracle通信云原生核心安全边缘保护代理中的漏洞CVE-2022-1292。其中部分漏洞可被远程攻击者用来控制受影响的系统，研究人员建议用户立即查看更新并应用必要的缓解措施。

10月20日消息，易安联安全应急响应中心EnSRC正式上线。易安联希望其安全应急响应中心平台加强与业界的合作，检验零信任产品的安全防御能力，提升用户实用性，现开启测试周期，从2022年10月20日到2022年11月3日。

10月18日消息，开源网安正式发布DevSecOps纵深一体化安全研运管理平台。平台提供了需求、设计、研发、测试、运营等软件生命周期的流程与数据管理，通过威胁建模和安全工具编排，将安全融入研运全流程。该平台集产品+工具+服务于一体的纵深安全防护体系，从根本上补齐了传统DevOps缺失的安全能力。

10月19日消息，由中国主导的《量子密钥分发的安全要求、测试和评估方法》国际标准提案进入发布阶段，预计在2023年正式发布，这是首个系统性地规范量子密钥分发（QKD）安全检测技术的国际标准，由中国信息安全测评中心、国盾量子联合牵头发起。该标准将为量子密钥分发产品的设计和安全测评提供国际权威标准的指导，助力量子通信领域产业化结构的优化升级，对于完善商用密码体系具有积极作用。

10月19日消息，根据2022年10月14日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2022年第13号），全国信息安全标准化技术委员会归口的14项国家标准正式发布，包括，《信息技术 安全技术 网络安全 第 3 部分：面向网络接入场景的威胁、设计技术和控制》；《信息技术 安全技术 网络安全 第 4 部分：使用安全网关的网间通信安全保护》；《信息安全技术 步态识别数据安全要求》等。

据外媒报道，VisionWeb是一家为眼科护理行业提供互联网软件解决方案以提高实践效率的供应商，其最近披露了一起数据泄露事件，受此影响的患者多达35900人，其姓名、社会安全号码、医疗信息和健康保险等信息有可能被泄露。VisionWeb已向受影响的个人发出通知，并提供了相关措施防止身份盗窃和欺诈措施。

据外媒10月18日报道，Apache Commons Text库中存在一个新漏洞（CVE-2022-42889），利用该漏洞，攻击者能够远程代码执行(RCE)。Apache Commons Text是一个专注于字符串算法的库。专家表示，目前为止，没有任何迹象表明该漏洞正在被积极利用。

据外媒10月19日报道，根据Sonatype的第8次年度软件供应链状况报告，针对开源软件存储库的网络攻击同比增长了633%，攻击者正逐年增加破坏开源存储库的尝试，自2019年以来每年总体增长742%。Sonatype表示，开源软件的增长将继续攀升。在不久的将来，与开源开发相关的四个主要生态系统——Java、JavaScript、Python和.NET的下载量将超过3万亿次，但这也对网络安全提出更高要求。

据外媒报道，研究人员发现了400款旨在窃取用户Facebook登录凭据的恶意Android和iOS应用程序。此类移动恶意软件通常伪装成娱乐应用程序出现，在使用前，其要求用户登录帐户，之后，用户的用户名和密码会发送给攻击者。被盗凭据可用于破坏Facebook帐户等。Meta表示，其正在提醒Facebook用户。专家建议，请勿重复使用其他帐户上的密码，并确保在 Facebook 帐户上启用双重身份验证 （2FA）。

10月19日消息，中国信息通信研究院安全研究所牵头的《电信网和互联网未成年人网络与数据保护要求》标准已经在中国通信标准化协会TC8 WG3数据安全工作组成功立项，以进一步规范涉未成年人网络环境管理、网络素养培育、网络信息内容规范、个人信息保护、网络沉迷防治等。《要求》面向安全企业、基础电信企业、互联网企业、研究机构、高校、行业企业等相关单位征集，截止日期为10月30日。

10月17日，中国广电网络股份有限公司公示了中国广电网络安全等级保护测评项目比选中选候选人。分别为，第一候选人，北京金源动力信息化测评技术有限公司；第二候选人，润城安全技术有限公司。涉及三个项目，中国广电股份经营分析系统；中国广电股份财务报表管理系统；中国广电股份广电通协同办公平台。

据外媒报道，HelpSystems发布了一个带外安全更新，以修复其Cobalt Strike中的RCE漏洞（CVE-2022-42948），该漏洞影响了Cobalt Strike版本4.7.1。其源于2022年9月20日发布的一个不完整的补丁，该补丁用于修复XSS漏洞(CVE-2022-39197)。攻击者可以通过操控客户端UI输入字段、模拟CS植入程序签入或通过hook在主机上运行的CS植入程序来利用该XSS漏洞。HelpSystems称，在特定情况下，可以利用Java Swing框架来触发远程代码执行，Cobalt Strike 4.7.2修复了该漏洞。

据外媒报道，微软已发布带外(OOB)非安全更新，修复由2022年10月Windows安全更新引起的在客户端和服务器平台上触发SSL TLS握手失败的问题。在被影响的设备上，当与服务器的连接出现问题时，会显示SEC_E_ILLEGAL_MESSAGE错误。微软提醒，无法通过Windows Update安装更新的用户，可通过Microsoft Update Catalog 并手动将它们导入WSUS和Microsoft Endpoint Configuration Manager来安装。

据外媒报道，澳大利亚的葡萄酒零售商Vinomofo遭到黑客攻击，多达50万客户的信息可能已经暴露。该公司称，未经授权的第三方在测试平台上非法访问了他们的数据库，涉及客户的姓名、性别、出生日期、地址、邮件地址和电话号码等信息。目前尚不清楚有多少人受到该事件的影响，但有报道称Vinomofo拥有约500000个客户。不久前，澳大利亚电信运营商Optus曾泄露超过200万客户的数据。