据外媒报道，微软披露了影响Windows RDP服务的BlueKeep漏洞一年半之后 ，仍有超过245,000个Windows系统未打补丁，并且容易受到攻击。同样，超过2020万个Windows系统也仍然容易受到SMBGhost的攻击， SMBGhost是2020年3月发布的最新版本Windows附带的服务器消息块v3（SMB）协议中的漏洞。这两个漏洞可使攻击者远程控制Windows系统，并且被认为是过去几年Windows中披露的一些最严重的漏洞。

11月17日，腾讯玄武实验室发布消息称，发现了首个可以影响Apple M1芯片设备的安全漏洞，通过该漏洞可以迅速获得苹果设备的最高权限，自由访问用户的通讯录、照片、文件等隐私信息。腾讯玄武实验室表示，除了基于Apple M1芯片的MacBook Air、MacBook Pro、Mac mini，这个漏洞也会影响今年新推出的iPhone 12、iPhone 12 Pro系列。

据外媒报道，11月16日，冷库巨头 Americold 遭遇网络攻击，包括电话系统，电子邮件，库存管理和订单履行等在内的系统都受到了影响，Americold尚未提供有关攻击的详细信息。随着COVID-19疫苗准备获得FDA批准和分发，长期存放将需要冷藏设施，据相关报道称，芝加哥罗克福德机场正在寻求与Americold合作，以存储可分发的疫苗。

11月16日，GitHub恢复了YouTube-dl开源项目，该项目允许用户下载YouTube的源音频和视频文件。10月23日，YouTube收到了美国唱片业协会提出的违反了DMCA第1201条后便删除了该库，但16日，GitHub称该开源项目实际上并没有规避任何形式的版权保护系统。同时，GitHub还建立了一个100万美元的“开发者防御基金”，以帮助开源开发者对抗DMCA第1201条中滥用移除的要求

据新京报贝壳财经报道，在近期的一起督察案件中，不法分子与圆通快递多位“内鬼”勾结，通过有偿租借圆通员工系统账号的方式盗取公民个人信息，再层层倒卖个人信息至不同下游犯罪人员，导致40万条公民个人信息被泄露。     原文链接

安全公司ESET 16日透露，Lazarus恶意软件通过滥用合法的安全软件和被盗的数字证书，以在目标系统上分发远程管理工具（RAT），针对韩国供应链进行了攻击。受害者的计算机被部署了可用于维持秘密监视的木马，通过后门的持久性，可造成数据泄露或远程系统控制。Lazarus是对某些怀疑与北韩有牵连的威胁组织的总称，也被认为是索尼2014年臭名昭著的黑客事件的负责人。

微软日前表示，其检测到三个由俄罗斯及朝鲜支持的黑客组织，对包括美国、加拿大、法国、印度、韩国在内的至少七家参与新冠肺炎疫苗研发的制造公司发起了APT攻击。遗憾的是，尽管其已设法阻止了“大多数”攻击，但微软还是承认其中有些已经得逞。

上周苹果服务器宕机并被发现会检查用户启动的任何应用程序，从而引发对macOS系统隐私的担忧。苹果于16日更新了相关技术支持页面，回应称Gatekeeper会执行在线检查以验证应用程序是否包含恶意软件，以及开发者的签名证书是否已被撤销。苹果称安全检查不包含用户的 Apple ID或设备识别符。为了进一步保护用户隐私，苹果已停止记录IP地址，并移除所有收集IP地址的日志。

周一开盘还不足半小时，澳大利亚股市就因为一个数据问题被迫在今日余下时间内一直关闭，从而破坏了一个新版交易系统的首秀。ASX Ltd 表示“一个仅限于用单条指令交易多种证券（合并交易）的软件问题导致了市场数据不准确”。这是该交易所十多年来遇到的最长暂停，ASX表示该问题今夜将会得到解决，市场将于周二上午10点重新开放。

中央网信办违法和不良信息举报中心组织第七批共500家网站向社会统一公布举报受理方式，规范开展网络举报工作，提升网站落实主体责任的主动性。其中既包含地方新闻网站、政府政务网站，又包括社区、微信公众号等互动平台，以及短视频、直播、游戏、电商等互联网应用平台。猿辅导、粉笔网、微店、叮咚买菜、丁香医生、咪咕视频等热门平台均在公布名单之列。     原文链接

作为安卓生态最大的应用市场，谷歌应用商店被发现同时也是安卓恶意程序的主要传播渠道。研究人员分析了1200万安卓设备安装的 3400万个应用，10%到24%的应用可以被归为恶意或用户不想要的应用，67%的恶意应用通过官方应用商店安装，10%来自于第三方应用商店。虽然从谷歌应用商店安装的应用中恶意应用的比例实际上非常小，但由于其规模的庞大导致总的数量仍然很惊人。

链上数据显示，去中心化金融平台Akropolis遭遇黑客攻击，攻击者利用在衍生品平台dYdX的闪电贷进行重入攻击，造成200万美元的损失。据悉，Akropolis的Delphi已接受两次审计，一次由CertiK审计，另一次由未公开的团队审计。根据安全公司 CipherTrace 的数据，尽管加密货币和区块链项目的盗窃、黑客和欺诈行为总体减少了 18 亿美元，但今年 DeFi 领域的犯罪率有所上升。

11月13日至14日，第15届政府 行业信息化安全年会在北京召开。会议旨在通过问题导向，开展实战引领，形成体系化作战，要求针对网络安全工作存在的突出问题，采取有效措施加以应对。会议还开设了“等保2 0标准实施中的关键技术问题”“新基建下的网络安全新技术新应用”等主题研讨。百余位部委、央企和行业大型企业的安全专家及安全厂商参加了本次会议。     原文链接

因新冠疫情导致学校关闭后，思科、微软和Google都向希腊提供了各自的网课平台。在未公开竞标的情况下，教育部长选择接受思科的WebEx平台。这一做法引起争议，因为教育部没有按法律要求公开合同细节。在疫情二次爆发学校再次关闭之际，教师和学生本周首次使用WebEx上网课，结果平台正常运作不到一个小时就崩溃了。在社交媒体上，希腊民众要求教育部部长引咎辞职。

两位安全研究人员披露了TCL制造的Android智能电视的两个漏洞，其中一个漏洞允许邻近的攻击者通过运行在7989端口的web server访问和下载敏感文件，包括系统文件、照片、个人数据和连接应用的安全口令。另一个漏洞位于TCL软件中，允许本地非特权用户读写文件系统内的重要供应商资源目录。受影响的TCL智能电视多达数百万，目前TCL已通过遥测方法修复了上述漏洞。

思科在11月12日发布了三季报，收益超出华尔街预期，虽然思科的应用销售额下滑了8％，至13 8亿美元，但其中一个亮点是安全产品的销售额增长了6％，至8 61亿美元，并表示安全业务及SaaS业务在一定程度上弥补了网络基础设施业务的下滑。

头豹发布《2020年中国云安全行业概览》，指出中国云安全行业的整体市场规模随着云计算市场规模增长而快速崛起，中国云安全行业营收规模由2015年的12 4亿元增长至2019年的62 8亿元，2015至2019年期间的年均复合增长率为50%，预计2024年将达到300亿元。

11月12日，深信服发布关于投资杭州默安科技有限公司的进展公告，公告称，深信服已与默安科技、默安科技原股东、拟一同增资的默安科技其他新股东签署《杭州默安科技有限公司增资协议》等相关交易文件，截止公告披露日，深信服已向默安科技指定账户支付投资款人民币3000万元。     原文链接

11月12日，微软公开敦促用户放弃基于电话的多因素身份验证（MFA）解决方案，微软身份安全总监Alex Weinert表示，短信和语音通话是当今最不安全的MFA方法。SMS和语音呼叫均以明文形式传输，并且可以使用软件定义的无线电， FEMTO小区或 SS7拦截服务等技术和工具轻松地被确定的攻击者拦截，基于SMS的一次性代码也可以通过开源代码和网络钓鱼工具获得网络钓鱼 。

11月12日，黑莓的安全团队发布了有关他们发现的一个新的黑客雇佣军组织的详细信息，并将这一组织命名为CostaRicto。黑莓安全团队称，该组织精心策划了遍及欧洲，美洲，亚洲，澳大利亚和非洲的不同国家的攻击，受害者的最大集中地似乎是在南亚，尤其是印度，孟加拉国和新加坡，这表明该组织可能在该地区。