据外媒报道，微软发布了9月份补丁，总计修复63个安全漏洞。此次修复的漏洞类型为18个提权漏洞、1个安全功能绕过漏洞、30个远程代码执行漏洞、7个信息泄露漏洞、7个拒绝服务漏洞和16个Edge-Chromium漏洞。此次共修复了两个公开披露的零日漏洞，分别为Windows通用日志文件系统驱动程序中的提权漏洞（CVE-2022-37969）和Cache Speculation Restriction漏洞（CVE-2022-23960）。其中，CVE-2022-37969已在攻击中被积极利用。

据外媒报道，研究人员透露，攻击者利用VoIP 设备中的漏洞来访问受害者的公司网络。其通过远程代码执行漏洞（CVE-2022-29499）对 MiVoice Connect 的 Mitel Service Appliance 组件进行攻击，以获取反向 shell，随后使用开源 TCP 隧道工具 Chisel 进入网络。专家表示，对于组织而言，仅监控关键资产是不够的，安全团队应监控所有面向外部的设备是否存在潜在的恶意活动，包括 VoIP 和 IoT 设备。

据公安部网安局9月13日消息，近日，盐城网安成功捣毁一个以张某堂为首的利用黑客技术实施非法控制计算机信息系统的黑客团伙，查扣定制木马U盘475个，黑客程序源代码1套。盐城网安部门抓获5名犯罪嫌疑人，目前该5人均因涉嫌非法控制计算机信息系统罪被刑事拘留。

据外媒报道，加州惩教与康复部表示（CDCR），攻击者可能窃取了加州囚犯十多年的心理健康记录，包括囚犯的姓名、监狱号码、心理健康治疗记录、心理健康史和心理健康诊断。另外，监狱系统的信托、赔偿、会计和食堂系统中包含赔偿支付记录的信息也可能被泄露。事件发生后，CDCR 表示，其已经审查和修改了相关程序和做法，以尽量减少再次发生的风险。

据外媒报道，研究人员表示Apache Xalan-J中存在任意代码执行漏洞，该漏洞被利用以破坏内部XSLTC编译器生成的Java类文件并执行任意Java字节码，从而在允许在使用 Xalan-J 处理的相关软件中执行任意代码。目前，该漏洞已在 OpenJDK 中得到修复，但尚未在 Apache 的版本中得到修复，该版本正在退市。

据外媒报道，黑客组织GhostSec声称，他们已经入侵了以色列使用的55台Berghof PLC(可编程逻辑控制器)。GhostSec在其Telegram频道上分享了一段视频，该视频展示了其成功登录PLC的管理面板。专家建议，不要将资产公开暴露在互联网上，并保持良好的密码策略。”

9月14日，安全初创厂商云起无垠于今日正式对外宣布完成天使轮融资。本轮融资金额在数千万元级别，投资方为绿洲资本。据悉，云起无垠成立于2021年7月，定位为新一代智能模糊测试技术提供商，希望通过Fuzzing模糊测试技术，为企业的整个软件生命开发周期提供助力，从开发环节即帮助企业提升整体安全能力。云起无垠CEO沈凯文表示，此次融资将用于产品设计与研发，专注于技术研究与产品打磨，不断提升产品的技术能力和应用价值，为信息安全产业发展助力。

据SentinelOne称，为提高成功率，攻击者越来越多地在其勒索软件攻击中转向一种新的加密方法“间歇性加密”。自 LockBit 以来，SentinelOne 已经确定了数个采用间歇性加密的勒索软件，包括 Qyick、Agenda、BlackCat (ALPHV)、Play 和 Black Basta。SentinelOne 警告称：“我们估计更多勒索软件系列将继续采用间歇性加密。”

据外媒报道，英国PVC制造商Eurocell通知其现员工和前员工关于他们的个人信息泄露的事件。该公司解释称，未经授权的第三方访问了其系统，被泄露的数据包括：雇佣条款和条件、出生日期、亲属、银行账户、NI和税务参考号、健康和福利文件等。这些信息后续可能被钓鱼攻击或者勒索勒索利用，Eurocell表示目前尚无证据表明数据被滥用。

据外媒9月12日报道，Apple发布安全更新，修复了用于攻击iPhone和Mac的漏洞（CVE-2022-32917）。该漏洞可通过恶意制作的应用程序以内核权限执行任意代码。其为该公司自年初以来修复的第8个零日漏洞，Apple在安全通告中透露该漏洞可能已被积极利用，但尚未发布有关这些攻击的任何信息。研究人员强烈建议用户尽快进行安全更新以阻止此类攻击。

9月12日消息，夏季治安打击整治“百日行动”开展以来，江西公安网安部门持续出重拳、破大案、除团伙，严打涉网违法犯罪活动，全面整治网络乱象，共侦办涉网案件1523起，抓获犯罪嫌疑人1672人，其案件包括有偿删帖、帮信跑分、网络招嫖、刷量控评等。下一步，公安机关网安部门将继续强化责任担当，重拳严打网络犯罪，严肃整治网络乱象，全力保卫网络安全。

按照工业和信息化部办公厅《关于开展工业互联网安全深度行活动的通知》关于“加强工业互联网安全教育培训，打造地方工业互联网安全人才体系”的工作部署，推动各地方、各行业培养认定一批工业互联网安全技术技能人才，建设全国工业互联网安全人才库，中国信息通信研究院现面向全国范围开展工业互联网安全人才岗位能力评价认证工作。截止日期为2022年9月20日。

Harbor 是由云原生计算基金会 (CNCF) 和VMWare开发的开源工件注册表。据外媒报道，Oxeye 安全研究团队在 Harbor 中发现了数个高危IDOR漏洞。据悉其中一个导致了 webhook 策略的披露，而另一个导致了作业执行日志的披露。目前漏洞正在修复。

据外媒报道，Binarly安全研究团队披露了该公司在一年中发现的六个高危固件漏洞，这些漏洞影响 HP EliteBook 设备。与此同时，Binarly表示已在其GitHub 存储库中提供了针对其最新公告中惠普漏洞的 FwHunt 规则。

据外媒报道，国家网络总监Chris Inglis的团队正在制定一项计划，以解决网络安全专业人员的短缺问题，并推动更广泛的网络安全意识和教育。根据美国国家标准与技术研究院支持的项目CyberSeek的最新估计，网络安全职位空缺数量超过714000个。目前，国家网络主管办公室正在着手制定国家网络劳动力和教育战略。

据外媒9月12 日消息，在联邦贸易委员会(FTC)关于商业监控的听证会上，美国前驻OECD大使兼联邦通信委员会(FCC)执行董事Karen Kornbluh敦促监管机构采取更强有力的数据隐私措施来保护消费者。Kornbluh表示，企业的数据收集和存储做法有助于外国网络间谍。其数据可以被用于间谍活动、选民操纵和勒索软件攻击，以及人肉搜索和现实生活中的骚扰。

据Vedomosti报道 ，俄罗斯战略研究中心(CSR)提议对不可替代代币(NFT)和确保代币化产权转移的同步性和一致性以及其在区块链中的会计记录的人进行单独监管 。CSR指出，NFT概念的轮廓及其法律制度仍不清楚。因此，首先有必要修改民法典关于数字权利的条款，并在其中指出数字权利的概念可以涵盖法律未规定的代币。对于代币化物权的单独监管，CSR建议作为选项之一，引入功能类似于托管代理的代理。这样的代理可以监控代币化事物的安全性，从而确保区块链中的变化与物权转移的同一。

9月9日消息，近日，国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布《互联网弹窗信息推送服务管理规定》。《规定》旨在加强对弹窗信息推送服务的规范管理，维护国家安全和社会公共利益，保护公民、法人和其他组织的合法权益，促进互联网信息服务健康有序发展。《规定》自2022年9月30日起施行。

据外媒报道，葡萄牙武装部队总参谋部（EMGFA）与北约相关的机密文件在暗网上被出售。攻击者发布了被盗文件的样本作为攻击证据，美国信息服务部发现了这些文件，并通知葡萄牙当局。根据初步调查，这些文件是从EMGFA、秘密军队(CISMIL)和国防资源总局的系统中泄露的。研究人员发现，机密文件传输的安全规则已被破坏，攻击者能够访问军事通信综合系统(SICOM)，并接收和转发机密文件。

据外媒报道，美国网络安全和基础设施安全局 (CISA) 在其 已知利用漏洞目录中添加了 12 个新漏洞，其中包括 D-Link 路由器中的四个漏洞、两个 Chrome 零日漏洞以及最近披露的 QNAP Photo Station 漏洞。CISA 命令联邦机构在 2022 年 9 月 29 日之前修复这些漏洞。