MicroSoft发布11月安全更新,修复74个漏洞;MicroSoft将加州消费者隐私法案扩展至美国所有用户

发布时间 2019-11-13

1、MicroSoft发布11月安全更新,修复74个漏洞



MicroSoft在11月的Windows安全更新中修复了74个漏洞,其中包括IE脚本引擎中的一个0day。该漏洞是CVE-2019-1429,与IE脚本引擎处理内存对象的方式有关,可导致远程代码实行,该漏洞不仅影响了IE浏览器,还影响了Office Suite。如果用户允许显示富文本(例如基于Web的iframe),则攻击者可以通过恶意Office文档在用户的系统上实行恶意代码。该漏洞已在野外被攻击者利用。更多漏洞列表请参考以下链接。


原文链接:

https://www.zdnet.com/article/microsofts-november-2019-patch-tuesday-arrives-with-a-patch-for-an-ie-zero-day/


2、Magento团队敦促用户安装近期RCE漏洞补丁



Magento安全团队敦促用户尽快安装其最新发布的安全更新,以保护其商店免受最近报告的RCE漏洞(CVE-2019-8144)的攻击。该漏洞可允许未经身份验证的攻击者在网站上植入恶意payload并实行,建议用户更新至Magento 2.3.3版本或安装Magento 2.3.2-p2补丁。由于基于Magento的在线商店一直是犯罪团伙Magecart的攻击目标,因此未及时安装更新的网站风险很大。


原文链接:

https://www.bleepingcomputer.com/news/security/magento-urges-users-to-apply-security-update-for-rce-bug/


3、MicroSoft将加州消费者隐私法案扩展至美国所有用户



MicroSoft正在将加州消费者隐私法案扩展到其在美国的所有用户,这是一项出乎意料的举动,显示出该企业在保护消费者数据隐私方面的决心和力度。加州消费者隐私法案(CCPA)计划于2020年1月1日生效,该法案旨在保护消费者的隐私,要求企业在使用和传播用户数据方面提供更多的透明度并给予消费者退出选择权。MicroSoft首席隐私官朱莉?布里尔(Julie Brill)称赞了该项法律,并表示虽然CCPA的细节以及企业如何遵守该法律的方式仍在讨论中,但MicroSoft将在这些政策上保持最新,并确保在所有用户方面都遵守这些政策。

原文链接:

https://threatpost.com/microsoft-to-apply-californias-privacy-law-to-all-u-s-users/150101/


4、墨西哥石油企业Pemex遭勒索AppRyuk攻击



墨西哥国有石油企业Pemex遭到勒索AppRyuk攻击,该企业表示已经成功阻止了攻击尝试,该攻击仅影响了不到5%的系统,包括石油生产和储存在内的业务不受影响。据彭博社报道,因为意外的关闭事件,周末Pemex要求许多员工不要尝试访问企业网络或IT系统。该企业目前尚未披露更多详细信息。


原文链接:

https://www.zdnet.com/article/mexicos-pemex-oil-provider-says-attempted-ransomware-hack-neutralized/


5、爱尔兰两家企业因BEC欺诈损失65万欧元



爱尔兰中小企业协会(ISME)通知称两家企业遭到BEC欺诈,其中一家企业损失20万欧元,另一家损失了45.3万欧元。该协会没有透露企业的名称,但它们都接收到了欺诈性的电子邮件,要求将已记录的供应商银行帐户信息更改为由犯罪分子控制的新银行帐户。安全专家David Waldron表示发票重定向骗局和涉及的金额“近来已大大增加”。攻击者能够入侵供应商的电子邮件系统,使其看起来更加合法有效。这种欺诈行为对中小企业的影响“可能是灾难性的”。


原文链接:

https://www.irishtimes.com/news/ireland/irish-news/warning-as-irish-firms-lose-millions-in-sophisticated-invoice-scams-1.4079003


6、英国工党称其数字平台遭到大规模网络攻击



英国工党表示其数字平台遭到“复杂”和“大规模”的网络攻击。根据《Sky News》的报道,该党发言人称攻击未能破坏任何数据,相关系统已经恢复了正常运作。该党已经将此事报告给英国国家网络安全中心。据称该攻击是DDoS攻击,没有迹象能够表明这种攻击来自何方。Tripwire安全专家Dean Ferrando表示政治组织应该在选举这个敏感的时期尤为注意其系统的安全措施和补丁程序。


原文链接:

https://www.infosecurity-magazine.com/news/uk-labour-party-cyberattack/